Active Directory에서 OpenDNS Connector 서비스와 동기화하도록 사용자, 그룹 및 컴퓨터 구성

다운로드 옵션

PDF (653.6 KB)
다양한 디바이스에서 Adobe Reader로 보기
ePub (498.5 KB)
iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
Mobi (Kindle) (395.6 KB)
Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기

업데이트:2025년 9월 24일

문서 ID:225007

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 Active Directory의 사용자, 그룹 및 컴퓨터를 OpenDNS Connector 서비스와 동기화하는 방법에 대해 설명합니다.

개요

작업의 일부로 OpenDNS Connector 서비스는 LDAP 프로토콜을 사용하여 Active Directory의 사용자, 그룹 및 컴퓨터 목록을 동기화합니다. 이 문서에서는 OpenDNS_Connector 계정에 해당 개체를 읽을 수 있는 올바른 권한이 있는지 확인하는 방법에 대해 설명합니다.

Active Directory의 각 개체(사용자/그룹/컴퓨터)에는 ACL 보안 권한이 연결되어 있으며 각 개체는 OpenDNS_Connector 사용자 계정이 해당 특성을 읽을 수 있도록 허용해야 합니다.

참고: 이 문서에서는 'OpenDNS_Connector' 어카운트의 일반 전제 조건을 이미 확인한 것으로 가정합니다. AD 사용자/그룹이 대시보드에서 누락된 경우 먼저 이 문서를 참조하십시오.
Umbrella 대시보드에서 AD 사용자/그룹이 누락되었습니다.

기본 권한

기본적으로 인증된 모든 사용자는 사용자/그룹/컴퓨터의 속성을 읽을 수 있으므로 OpenDNS_Connector 사용자는 LDAP 동기화를 수행하는 데 추가 권한이 필요하지 않습니다.

기본 권한은 일반적으로 다음과 같이 설정됩니다.

1) 'Pre-Windows 2000 Compatible Access' 그룹은 도메인에 대해 'Descendant User Objects', 'Descendant Group Objects' 및 'Descendant Computer Objects'에 대한 읽기(모든 속성 읽기) 권한이 할당됩니다.

다음과 같이 이를 다시 확인할 수 있습니다.

Active Directory 사용자 및 컴퓨터 열기

'보기'를 클릭하고 '고급 기능' 옵션을 선택합니다.

Domain 개체를 마우스 오른쪽 단추로 클릭하고 'Properties'를 선택한 다음 'Security > Advanced'를 선택합니다.

'Special' 권한이 있는 'Pre Windows 2000 Compatible Access' 항목을 선택합니다.
115011616667

이러한 권한을 자세히 보려면 '편집'을 클릭하십시오.

적용 대상 섹션에서 '하위 사용자 개체'를 선택합니다.

다음 권한을 찾습니다.
115011616687

'하위 그룹 개체' 및 '하위 컴퓨터 개체'에 대해 이 단계를 반복합니다

2) All 'Authenticated Users' 그룹은 모든 사용자에게 이러한 설정을 제공하는 'Pre-Windows 2000 Compatible Access' 그룹의 구성원입니다.

일반적으로 Builtin AD 컨테이너에 있는 Pre-Windows 2000 Compatible Access 그룹을 마우스 오른쪽 단추로 클릭합니다.
'등록 정보'를 선택하고 '구성원' 탭으로 이동합니다.
'인증된 사용자'가 나열되어 있는지 확인합니다.
115011616707

그러나 일부 AD 환경에서는 이 권한 모델이 변경되고 인증된 사용자가 제거되었을 수 있습니다. 이는 일부 사용자가 Umbrella Dashboard에서 누락되거나 그룹 멤버십이 잘못된 것으로 나타날 수 있습니다. 이 경우 OpenDNS_Connector 사용자를 이 그룹에 추가하고 커넥터 서비스를 다시 시작하면 누락된 항목이 Umbrella에 표시됩니다.

드문 경우이지만 이 방법으로는 여전히 문제가 해결되지 않습니다. 이 경우에 해당되는 경우 Active Directory의 그룹 보안 탭을 확인하고, 여기에 체크 인 읽기 액세스 권한이 있는 인증된 사용자가 나열되어 있는지 확인합니다. 이 확인란을 선택하지 않은 경우, 확인란을 해제한 후 커넥터 서비스를 다시 시작하여 그룹 구성원이 표시되는지 확인합니다. 또한 모든 그룹에서 이 보안 설정이 누락된 경우 모든 그룹에 전체적으로 변경 사항을 적용해야 합니다.

28728163336852

유효한 액세스 보기

Windows 'Effective Access' 도구를 사용하여 OpenDNS_Connector 사용자가 누락된(또는 잘못된 그룹 멤버십이 있는) 특정 개체를 읽을 수 있는지 확인할 수 있습니다.

Active Directory 사용자 및 컴퓨터 열기
'보기'를 클릭하고 '고급 기능' 옵션을 선택합니다.
사용자 개체를 찾은 다음 마우스 오른쪽 단추를 클릭하여 '등록 정보'를 선택합니다.
'Security(보안) > Advanced(고급) > Effective Access(유효 액세스)'로 이동합니다('Effective Permissions'라고 할 수 있음).
'사용자 선택'을 클릭한 다음 'OpenDNS_Connector' 사용자 계정을 선택합니다.
'OK(확인)', 'View Effective Access(유효한 액세스 보기)'를 차례로 클릭합니다.
커넥터 사용자가 모든 속성을 읽을 수 있는지 확인합니다.
115011616727

OpenDNS_Connector LDAP 권한 설정

AD의 'Delegate Control' 마법사를 사용하면 필요한 권한을 'OpenDNS_Connector' 사용자에게 빠르게 할당할 수 있습니다.

1) 관리 도구로 이동하여 Active Directory 사용자 및 컴퓨터 스냅인을 엽니다.
2) OpenDNS_Connector가 포함된 도메인을 마우스 오른쪽 버튼으로 클릭하고 "Delegate Control..."을 선택한 후 Next(다음)를 클릭합니다.
3) OpenDNS_Connector 사용자를 추가한 다음 Next(다음)를 클릭합니다.
4) "모든 사용자 정보 읽기"를 선택하고 다음을 클릭합니다. [그림 3 참조]
7) Finish(마침)를 클릭합니다. [그림 6 참조]

참고: 일부 개체에서 상속이 비활성화되면 이 단계는 실패할 수 있습니다. 이러한 개체의 경우 사용 권한을 수동으로 설정해야 합니다.

userPerms 스크립트

연결된 powershell 스크립트는 특정 개체의 사용 권한을 얻기 위한 또 다른 방법입니다(예: AD에 있습니다. Umbrella 기술 지원에 문의할 때 이 스크립트의 출력을 포함하십시오.

개정 이력

개정	게시 날짜	의견
1.0	24-Sep-2025	최초 릴리스

Cisco 엔지니어가 작성