none
Active Direcroty 특정 단말에 정책이 적용되지 않는 문제입니다. RRS feed

  • 질문

  • 사내에 특정 목적의 업무 PC 그룹에 관리자 계정과 사용자 계정을 구분해서 사용하기 위해서

    관리자 계정과 사용자 계정 정책을 Active Directory에 적용해서 쓰고 있습니다.

    이전 서버 2008에서 잘 사용하고 있었다가, 이번에 새 서버 도입을 하면서 2012 R2를 새로 Active Directory로 도입했는데,

    특정 단말 몇몇에 정책이 내려가지 않는 현상이 발견되었습니다.

    GPResult를 통해서 정책 결과를 살펴본 결과, 정책이 내려가지 않는 단말의 특이점은

    GPResult /R에 내용 중..

    사용자가 다음 보안 그룹에 소속되어 있습니다.

    ----------------------------------------------

    ..

    ..

    인증 기관 보장 ID

    ..

    ----------------------------------------------

    와 같이 "인증 기관 보장 ID"라는 그룹을 타고 간다는 것입니다.

    이는 로컬 로그인에서는 보이지 않는데, 이 "인증 기관 보장 ID"의 정체를 알고 싶고.

    이 그룹을 타지 않게 하려면 어디서 무슨 설정을 해야할지 전혀 모르겠습니다.

    로컬, AD 서버 등 그 어디에도 저것과 같은 그룹은 존재하지 않습니다.

    정책이 원하는대로 잘 내려가는 단말은 "인증 기관 보장 ID" 그룹이 없습니다

    참고로 모든 정책이 다 안내려가는 것은 아닙니다.

    NT의 Authentificated User 에 적용된 정책은 잘 내려가고 있으며,

    사용자 계정을 따로 만들어서 적용한 정책은 내려가지 않습니다.

    GPResult /R 옵션에서는 아예 정책 내용자체가 보이지 않지만,

    GPResult /H 옵션으로 보고서를 생성해서 보면, 정책 이름과 실패사유는 Access Denied 로 뜹니다.

    2017년 6월 28일 수요일 오후 12:41

답변

  • 안녕하세요?

    해당 이슈에 대하여 사례를 확인 및 조치 방법 확인결과 하기와 같이 공통적으로 Security filtering 관련 내용이 확인됩니다.

    하기 내용 참고하여 작업해 보시기 바랍니다.

    - Domain computers was not added to the Security filtering in group policy.

    - adding authenticated users with read permission in security filtering helped to resolve the issue

    감사합니다.

    2017년 6월 29일 목요일 오전 7:27
  • 보안필터링에 Domain computers를 추가함으로써 해결되었습니다.

    감사합니다.

    • 답변으로 표시됨 EBSRtech 2017년 7월 14일 금요일 오전 3:25
    2017년 7월 14일 금요일 오전 3:25

모든 응답

  • 안녕하세요?

    해당 이슈에 대하여 사례를 확인 및 조치 방법 확인결과 하기와 같이 공통적으로 Security filtering 관련 내용이 확인됩니다.

    하기 내용 참고하여 작업해 보시기 바랍니다.

    - Domain computers was not added to the Security filtering in group policy.

    - adding authenticated users with read permission in security filtering helped to resolve the issue

    감사합니다.

    2017년 6월 29일 목요일 오전 7:27
  • 보안필터링에 Domain computers를 추가함으로써 해결되었습니다.

    감사합니다.

    • 답변으로 표시됨 EBSRtech 2017년 7월 14일 금요일 오전 3:25
    2017년 7월 14일 금요일 오전 3:25
  • 하기 url 참고하시기 바랍니다. 

    http://onehundredpanda.blogspot.kr/2016/12/activedirectory-gpo.html

    http://onehundredpanda.blogspot.kr/2017/06/activedirectory-gpo-read-security.html

    http://onehundredpanda.blogspot.kr/2017/06/activedirectory-gpo-3gpo-status.html

    • 답변으로 제안됨 100Panda 2017년 7월 14일 금요일 오전 8:46
    • 답변으로 제안 취소됨 100Panda 2017년 7월 14일 금요일 오전 8:46
    • 답변으로 제안됨 100Panda 2017년 7월 14일 금요일 오전 8:46
    • 답변으로 제안 취소됨 100Panda 2017년 7월 14일 금요일 오전 8:46
    2017년 7월 14일 금요일 오전 8:46