본문 바로가기

Trouble Shooting

사용되지 않는 사용자 계정이 개체 선택기 대화 상자와 Active Directory 사용자 및 컴퓨터 스냅인에 제대로 표시되지 않는다

Windows Server 2003 도메인에 대해 사용되지 않는 사용자 계정을 보는 경우 다음 문제가 나타날 수 있습니다.

  • 사용자, 컴퓨터 또는 그룹 선택 대화 상자(개체 선택기 대화 상자라고도 함)에서 고급을 누르고 (사용자) 계정 사용 안 함 확인란을 눌러 선택한 다음 쿼리를 수행하면 사용되지 않는 사용자 계정 항목이 지정된 위치에 있어도 반환되지 않습니다.
  • (사용자) 계정 사용 안 함 확인란을 눌러 선택 취소한 다음 쿼리를 수행하면 쿼리에 의해 반환된 사용자 계정 항목에 사용되지 않는 사용자 계정이 사용할 수 있는 것으로 나타날 수 있습니다.
  • Active Directory 사용자 및 컴퓨터 스냅인(Dsa.msc)을 시작한 다음 사용자가 있는 컨테이너를 선택하면 세부 정보 창에 표시된 사용되지 않는 사용자 계정이 사용할 수 있는 것처럼 나타납니다.
  • Active Directory 사용자 및 컴퓨터 스냅인을 시작한 다음 컨테이너의 일반 쿼리 메뉴에서 찾기를 누르면 사용되지 않는 계정 항목이 지정된 위치에 있는 경우에도 쿼리에 반환되지 않습니다.
이 현상은 다음과 같은 경우 발생하지 않습니다.
  • 관리자 계정을 사용 중인 경우
  • 인증된 사용자 그룹의 구성원이고 Active Directory 설치 중 Windows 2000 이전 버전 호환 권한 옵션이 선택되지 않은 경우(기본적으로 설치 중에는 이 옵션이 선택되지 않음)
  • 인증된 사용자 그룹의 구성원이고 Windows 2000 이전 버전 호환 액세스 그룹의 구성원으로 Everyone 그룹이 포함되지 않은 경우
이 시나리오에서는 다음 그룹의 구성원만이 올바른 쿼리 결과를 봅니다.
  • Domain Administrators
  • Account Operators
  • RAS Servers 그룹
  • 기본 제공 Administrators
  • Enterprise Administrators
기본적으로 이러한 그룹의 구성원이 아닌 사용자는 자신의 사용자 계정과 자신이 만든 사용자 계정을 제대로 볼 수 있습니다.

원인

새 사용자 개체가 Active Directory에서 만들어지면 별도로 명시하지 않는 한 사용자 개체 클래스의 스키마에서 정의한 기본 보안 설명자는 개체의 보안 설명자로 설정됩니다. 또한 사용자 개체는 해당 부모로부터 상속 가능한 사용 권한을 상속합니다.
기본 보안 설명자 및 상속된 사용 권한에 따라 이 문서의 "요약" 절에서 설명한 다음 그룹의 구성원에게만 Active Directory에서 새롭게 만들어진 사용자의 userAccountControl 특성에 대한 읽기 액세스 권한이 주어집니다. 또한 새 사용자 계정 작성자 및 계정에 해당하는 사용자에게 Active Directory에서 새롭게 만들어진 사용자의 userAccountControl 특성에 대한 읽기 액세스 권한이 주어집니다.
개체 선택기의 고급 대화 상자와 Active Directory 사용자 및 컴퓨터 스냅인 모두 userAccountControl 특성을 사용하여 사용자 계정이 사용되지 않는지 확인합니다. 개체 선택기나 Active Directory 사용자 및 컴퓨터 스냅인을 사용 중인 사용자에게 userAccountControl 특성에 대한 읽기 액세스 권한이 없으면 사용자 계정이 사용되지 않는 상태임을 확인할 수 없고 사용되지 않는 사용자 계정이 사용할 수 있는 것처럼 나타납니다.

해결 방법

이 문제를 해결하려면 관리자가 도메인의 사용자 개체, 조직 구성 단위 또는 특정 사용자 계정에 UserAccountControl 특성에 대한 읽기 액세스 권한을 부여해야 합니다.
사용자가 관리자인 경우, 다음 방법 중 하나를 사용하여 UserAccountControl 특성에 대한 읽기 액세스 권한을 할당할 수 있습니다.
방법 1: DSACLS를 사용하여 도메인의 루트에서 읽기 전용 액세스 설정
  1. Windows Server 2003 미디어의 Support\Tools 폴더에서 DSACLS 유틸리티를 설치합니다.
  2. 시작, 실행을 차례로 누르고 cmd를 입력한 다음 확인을 누릅니다.
  3. 다음 명령을 입력한 다음 Enter 키를 누릅니다. dsacls "ds=domain,ds=com" /i:s /g "domain users":rp;useraccountcontrol;user
방법 2: DSACLS 유틸리티를 사용하여 특정 조직 구성 단위에 대해 읽기 전용 액세스 권한 부여
  1. Windows Server 2003 미디어의 Support\Tools 폴더에서 DSACLS 유틸리티를 설치합니다.
  2. 시작, 실행을 차례로 누르고 cmd를 입력한 다음 확인을 누릅니다.
  3. 다음 명령을 입력한 다음 Enter 키를 누릅니다. dsacls "ou=admin specified organizational_unit,DC=domain,dc==com" /i:s /g "domain users":rp;useraccountcontrol;user
방법 3: ACL 편집기를 사용하여 도메인 루트, 조직 구성 단위 또는 사용자 개체에 대해 사용 권한 정의
  1. 시작, 실행을 차례로 누르고 dsa.msc를 입력한 다음 확인을 누릅니다.
  2. 보기 메뉴에서 고급 기능을 누릅니다.
  3. 변경할 도메인 노드, 조직 구성 단위 또는 사용자 계정을 마우스 오른쪽 단추로 누른 다음 속성을 누릅니다.
  4. 보안 탭을 누르고 고급을 누른 다음 추가를 누릅니다.
  5. UserAccountControl 특성에 대한 읽기 액세스 권한을 부여하려는 사용자나 그룹의 이름을 입력한 다음 확인을 누릅니다.
  6. 권한 항목 대화 상자에서 속성 탭을 누릅니다.
  7. 적용 대상 상자에서 사용자 개체를 누릅니다.
  8. 사용 권한에서 userAccountControl의 읽기 권한에 대해 허용 열에 있는 확인란을 눌러 선택합니다.
  9. 확인을 누릅니다.
방법 4: 위임 마법사를 사용하여 도메인 헤드 또는 지정된 조직 구성 단위에 대해 읽기 전용 액세스 권한 부여
  1. %SystemRoot%\Inf\Delegwiz.inf 파일(예: COPY %SYSTEMROOT%\INF\DELEGWIZ.INF.ORIG)의 백업 복사본을 만듭니다.
  2. 다음 텍스트를 Windows 클립보드에 복사합니다.
    ;---------------------------------------------------------
    [templateXX]
    AppliesToClasses=domainDns,organizationalUnit
    
    Description = "Read-only access to UserAccountControl attribute for user accounts"
    
    ObjectTypes = user
    
    [templateXX.user]
    userAccountControl=RP
    ;---------------------------------------------------------
    					
  3. 시작, 실행을 차례로 누르고 다음 명령을 입력합니다.

    notepad %systemroot%\inf\delegwiz.inf

  4. 새로 번호를 부여한 템플릿을 Delegwiz.inf 파일의 [DelegationTemplates] 섹션에 추가합니다.
    Delegwiz.inf에 추가 중인 새 위임 항목에 대해 템플릿xx 항목을 새로 추가합니다. 새 항목을 추가할 때 쉼표(,)를 입력하고 스페이스바를 누른 다음 템플릿xx 문자열을 입력합니다. 여기에서 xx 는 증가하는 숫자로, [DelegationTemplates] 섹션의 마지막 항목보다 하나 큽니다. 예를 들면 다음과 같습니다.
    [DelegationTemplates]
    
    Templates = template1, template2, template3, template4,
    template5, template6, template7, template8, template9,
    template10, template11, template12, template13 <-- add ",(spacebar)template14">            
    					
  5. 2단계에서 복사한 클립보드의 내용을 Delegwiz.inf의 마지막 줄에 붙여넣습니다.
    이렇게 하려면 Ctrl+End를 눌러 Delegwiz.inf 파일의 끝으로 간 다음 새 줄에 클립보드의 결과를 붙여넣습니다. 예를 들어, .inf 파일의 [DelegationTemplates] 섹션에서 마지막 템플릿 번호가 13이면 [template13] 섹션 표시 다음에 결과를 붙여넣습니다.
    ;---------------------------------------------------------
    [template13]
    AppliesToClasses=container
    
    Description = "Create, Delete, and Manage WMI Filters"
    
    ObjectTypes = SCOPE, msWMI-Som
    
    [template13.SCOPE]
    msWMI-Som=CC,DC
    
    [template13.msWMI-Som]
    @=GA
    ;----------------------------------------------------------           <--Add Hard Return Here
    <Paste contents of clipboard here>
    					
  6. 템플릿xx 문자열을 올바른 버전 번호로 대체합니다.
    방법 3의 3단계에서 변경한 [DelegationTemplates] 섹션에 사용된 템플릿 값으로 방금 붙여넣기한 템플릿 섹션의 템플릿xx 문자열을 모두 수정합니다.
  7. 파일을 저장합니다.
  8. Active Directory 사용자 및 컴퓨터 스냅인을 시작합니다.
    이렇게 하려면 시작, 실행을 차례로 누르고 dsa.msc를 입력한 다음 확인을 누릅니다.
  9. 위임 마법사를 시작합니다.
  10. 도메인 또는 조직 구성 단위의 루트를 마우스 오른쪽 단추로 누르고 위임 마법사를 누릅니다.
  11. 위임 마법사를 사용하여 필수 사용자 또는 그룹에 UserAccountControl 특성에 대한 읽기 전용 액세스 권한을 부여합니다.