문제
Active Directory에 대한 인바운드 사용자 프로비저닝은 대부분의 사용자에게 예상대로 작동합니다. 그러나 일부 사용자의 경우 프로비저닝 로그에 다음과 같은 오류가 표시됩니다.
ERROR: InsufficientAccessRights-SecErr: The user has insufficient access rights.. Access is denied. \nError Details: Problem 4003 - INSUFF_ACCESS_RIGHTS.
OR
ERROR:
"Message":"The user has insufficient access rights.",
"ResponseResultCode":"InsufficientAccessRights",
"ResponseErrorMessage":"00002098: SecErr: DSID-03150F94, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0",
The user has insufficient access rights.
프로비전 로그에 HybridSynchronizationActiveDirectoryInsufficientAccessRights 오류 코드가 표시됩니다.
원인
프로비전 에이전트 GMSA 계정에 provAgentgMSA$ 는 기본적으로 도메인의 모든 사용자 개체에 대한 읽기/쓰기 권한이 있습니다. 이전에 설명한 오류로 이어질 수 있는 두 가지 가능한 원인이 있습니다.
- 원인-1: 사용자 개체는 도메인 수준 권한을 상속하지 않는 OU의 일부입니다.
- 원인-2: 사용자 개체가 보호된 Active Directory 그룹에 속합니다. 디자인상 사용자 개체는
AdminSDHolder라고 불리는 특수 컨테이너와 연결된 권한에 의해 제어됩니다. 이는provAgentgMSA$계정이 보호된 Active Directory 그룹에 속하는 계정을 업데이트할 수 없는 이유를 설명합니다. 사용자 계정에 대한provAgentgMSA$계정의 쓰기 권한을 재정의하고 명시적으로 제공하려고 할 수 있지만, 이는 작동하지 않을 것입니다. 위임된 권한의 오용으로부터 권한 있는 사용자 계정을 보호하기 위해 60분마다 실행되고 보호된 그룹에 속한 사용자가 항상 컨테이너에 정의된 권한으로 관리되도록 하는AdminSDHolder이라는 백그라운드 프로세스가 있습니다. 도메인 관리자 그룹에 계정을 추가하는provAgentgMSA$방법조차도 작동하지 않습니다.
해결 방법
먼저 문제의 원인을 확인합니다. Cause-1이 문제의 원인인지 확인하려면 다음을 수행합니다.
- Active Directory 사용자 및 컴퓨터 관리 콘솔을 엽니다.
- 사용자와 연결된 OU를 선택합니다.
- 마우스 오른쪽 단추를 클릭하고 속성 - 보안 ->> 고급으로 이동합니다. 상속 사용 단추가 표시되면 원인 1이 문제의 원인임을 확인합니다.
- 도메인 수준 권한이 이 OU에 적용되도록 상속 사용을 선택합니다.
비고
도메인 수준에서 영향을 받는 계정을 보유하는 OU까지 전체 계층 구조를 확인해야 합니다. 도메인 수준에서 적용된 사용 권한이 최종 개체까지 계단식으로 이동될 수 있도록 모든 부모 OU/컨테이너에 상속을 사용하도록 설정해야 합니다.
Cause-1이 문제의 원인이 아닌 경우 잠재적으로 Cause-2가 문제의 원인입니다. 가능한 두 가지 해결 옵션이 있습니다.
옵션 1: 보호된 AD 그룹에서 영향을 받는 사용자 제거 이 AdminSDHolder 권한이 적용되는 사용자 목록을 찾기 위해 Cx는 다음 명령을 호출할 수 있습니다.
Get-AdObject -filter {AdminCount -gt 0}
참조 문서:
- 다음은 AdminCount 플래그를 지우고 영향을 받은 사용자에 대한 상속을 다시 사용하도록 설정하는 데 사용할 수 있는 예제 PowerShell 스크립트 입니다.
- 이 문서에 설명된 단계 사용 - 분리된 계정을 찾아 분리된 계정 찾기(보호된 그룹에 속하지 않지만 AdminCount 플래그가 1로 설정된 계정)
옵션 1이 항상 작동하지 않을 수 있습니다.
PDC 에뮬레이터 FSMO 역할을 보유하는 도메인 컨트롤러에서 매시간 실행되는 SDPROP(보안 설명자 전파) 프로세스라는 프로세스가 있습니다. 이 프로세스는 특성을 1로 설정합니다 AdminCount . SDPROP의 주요 기능은 높은 권한의 Active Directory 계정을 보호하는 것입니다. 이렇게 하면 사용자 또는 권한이 적은 프로세스에서 실수로 또는 의도적으로 이러한 계정을 삭제하거나 해당 권한을 수정할 수 없습니다.
PDC 에뮬레이터 FSMO 역할을 보유하는 도메인 컨트롤러에서 매시간 실행되는 SDPROP(보안 설명자 전파) 프로세스라는 프로세스가 있습니다. 이 프로세스는 특성을 1로 설정합니다 AdminCount . SDPROP의 주요 기능은 높은 권한의 Active Directory 계정을 보호하는 것입니다. SDPROP 프로세스는 권한이 적은 사용자나 프로세스가 계정을 삭제하거나 권한을 실수로 또는 의도적으로 변경할 수 없도록 합니다.
이유를 자세히 설명하는 참조 문서:
옵션 2: AdminSDHolder 컨테이너의 기본 권한 수정
옵션 1이 가능하지 않고 예상대로 작동하지 않는 경우 Cx에 AD 관리자 및 보안 관리자에게 컨테이너의 기본 사용 권한을 수정할 수 있는지 확인하도록 요청합니다 AdminSDHolder . 이 문서는 AdminSDHolder 컨테이너의 중요성을 설명합니다. Cx가 AdminSDHolder 컨테이너 권한을 업데이트하기 위한 내부 승인을 받으면, 권한을 업데이트하는 두 가지 방법이 있습니다.
-
ADSIEdit을 이 문서에서 설명된 대로 사용하기. - 명령줄
DSACLS스크립트 사용. 다음은 시작점으로 사용할 수 있는 예제 스크립트이며 Cx는 요구 사항에 따라 조정할 수 있습니다.
$dcFQDN = "<FQDN Of The Nearest RWDC Of Domain>"
$domainDN = "<Domain Distinguished Name>"
$domainNBT = "<Domain NetBIOS Name>"
$dsaclsCMD = "DSACLS '\\$dcFQDN\CN=AdminSDHolder,CN=System,$domainDN' /G '$domainNBT\provAgentgMSA$:RPWP;<Attribute To Write To>'"
Invoke-
Expression $dsaclsCMD | Out-Null
Cx에서 온-프레미스 AD 권한 문제 해결에 더 많은 도움이 필요한 경우 Windows Server 지원 팀에 문의하세요. Microsoft Entra Connect의 AdminSDHolder 문제에 대한 이 문서에는 DSACLS 사용에 대한 더 많은 예제가 있습니다.
옵션 3: provAgentgMSA 계정에 모든 권한 할당
계정에 모든 권한을 할당합니다 provAgentGMSA . 사용자 개체가 보호된 사용자 그룹에 속하지 않을 때 한 컨테이너 OU에서 다른 컨테이너로 사용자 개체를 이동하는 데 문제가 있는 경우 이 단계를 수행하는 것이 좋습니다.
이 시나리오에서는 Cx에 다음 단계를 완료하고 이동 작업을 다시 테스트하도록 요청합니다.
- AD 도메인 컨트롤러에 관리자로 로그인합니다.
- PowerShell 명령줄을 관리자 권한으로
run엽니다. - PowerShell 프롬프트에서 프로비저닝 에이전트 GMSA 계정에 일반 All/Full Control을 부여하는 다음 DSACLS 명령을 실행합니다.
dsacls "dc=contoso,dc=com" /I:T /G "CN=provAgentgMSA,CN=Managed Service Accounts,DC=contoso,DC=com:GA"
dc=contoso,dc=com 루트 노드 또는 적절한 OU 컨테이너로 바꿉니다. 사용자 지정 GMSA를 사용하는 경우 DN 값을 업데이트합니다 provAgentgMSA.
옵션 4: GMSA 계정을 건너뛰고 수동으로 만든 서비스 계정 사용 이 옵션은 GMSA 권한 문제가 조사되고 해결될 때까지 차단을 해제하는 임시 해결 방법으로만 사용해야 합니다. GMSA 계정을 사용하는 것이 좋습니다. 레지스트리 옵션을 설정하여 GMSA 구성을 건너뛰 고 Microsoft Entra Connect 프로비저닝 에이전트를 다시 구성하여 올바른 권한으로 수동으로 만든 서비스 계정을 사용할 수 있습니다.