다음을 통해 공유

  • 아티클

인증된 사용자 권한이 제거됨

 

마지막으로 수정된 항목: 2010-10-17

잠겨 있는 Active Directory 환경에서는 사용자 및 컴퓨터 개체가 저장되는 OU(조직 구성 단위), 구성 또는 시스템, 사용자를 비롯한 기본 Active Directory 컨테이너에서 인증된 사용자 ACE(액세스 제어 항목)가 제거됩니다. 인증된 사용자 ACE를 제거하면 Active Directory 정보를 읽을 수 없습니다. 그러나 Lync Server 2010에서 사용자가 도메인 준비를 실행하려면 이러한 컨테이너에 대한 읽기 권한이 있어야 하기 때문에 ACE를 제거하면 문제가 발생합니다.

이 상황에서 도메인 준비, 서버 활성화 및 풀 만들기를 실행하는 데 필요한 Domain Admins 그룹의 구성원이 기본 컨테이너에 저장된 Active Directory 정보에 대한 읽기 권한을 더 이상 부여할 수 없습니다. 필요한 포리스트 준비 절차가 완료되었는지 확인하려면 포리스트 루트 도메인의 여러 도메인에 대한 읽기 권한을 수동으로 부여해야 합니다.

포리스트 루트 도메인이 아닌 모든 도메인에서 도메인 준비, 서버 활성화 또는 풀 만들기를 활성화하기 위한 방법은 다음과 같습니다.

  • Enterprise Admins 그룹의 구성원인 계정을 사용하여 도메인 준비를 실행합니다.

  • Domain Admins 그룹의 구성원인 계정을 사용하고 포리스트 루트 도메인의 다음 컨테이너에 대한 읽기 권한을 이 계정에 부여합니다.

    • 도메인

    • 구성 또는 시스템

Enterprise Admins 그룹의 구성원인 계정을 사용하여 도메인 준비 작업이나 기타 설치 작업을 실행하지 않으려는 경우 사용할 계정에 포리스트 루트의 관련 컨테이너에 대한 읽기 권한을 명시적으로 부여하십시오.

사용자에게 포리스트 루트 도메인의 컨테이너에 대한 읽기 권한을 부여하려면

  1. 포리스트 루트 도메인에 대한 Domain Admins 그룹의 구성원인 계정으로 포리스트 루트 도메인에 가입된 컴퓨터에 로그온합니다.

  2. 포리스트 루트 도메인에 대해 adsiedit.msc를 실행합니다.

    인증된 사용자 ACE가 도메인, 구성 또는 시스템 컨테이너에서 제거된 경우에는 다음 단계를 따라 컨테이너에 대한 읽기 전용 권한을 부여해야 합니다.

  3. 컨테이너를 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.

  4. 보안 탭을 클릭합니다.

  5. 고급을 클릭합니다.

  6. 사용 권한 탭에서 추가를 클릭합니다.

  7. 사용 권한을 부여할 사용자 또는 그룹의 이름을 domain\account name 형식으로 입력하고 확인을 클릭합니다.

  8. 개체 탭의 적용 대상에서 이 개체만을 클릭합니다.

  9. 사용 권한에서 허용 열을 클릭하여 내용 보기, 모든 속성 읽기읽기 권한 허용 ACE를 선택합니다.

  10. 확인을 두 번 클릭합니다.

  11. 2단계에 나열된 모든 관련 컨테이너에 대해 위의 단계를 반복합니다.