AD서버 A global group cannot have a cross-domain member 오류 해결 방법

여러 개의 도메인 서버를 하나의 서버에 통합했다.

새 서버를 구성하고 AD서비스를 올려서 최상위 포레스트 하위에 추가했다.

그리고 기존 포레스트 3개가 하위에 존재하는 구조이다.

꽤나 복잡한 구조의 AD이다.

최종 하나의 포레스트에 도메인을 통합하는 데는 시간이 꽤 필요하다.

새로운 도메인 서버가 추가되는데는 문제가 없었다.

그런데 기존 그룹을 사용하려는데 오류가 발생한다.

The following Active Directory Domain Services error occurred:

A global group cannot have a cross-domain member.

The following Active Directory Domain Services error occurred: A global group cannot have a cross-domain member.

 

해석해 보면 글로벌 그룹은 크로스 도메인 멤버를 가질 수 없다는 의미이다.

그룹에 추가하려는 계정이 상위 포레스트 안에 있지만 다른 포레스트에 다른 도메인이다.

그래서 문제가 발생한 것인데 유저의 도메인을 바꾸면 문제가 커질 거 같았다.

MS 문서에서 AD Group에 대해 검색해 보았다.

AD 그룹 scope에는 Domain local, Global, Universal이 있다.

그리고 그룹이 적용되는 범위가 모두 다르다.

기본으로 생성시 Global로 설정된다.

AD서버 Group scope. 출처 : Microsoft

 

 

 

 

현재 그룹은 전역(Global)으로 설정되어 있다.

그리고 전역 그룹의 경우 동일한 도메인 내에서만 가능하다.

상위 포레스트 하위에 있는 도메인 간에는 그룹이 전역(Global)으로 설정되어 있어도 되지만, 나의 상황처럼 상위 포레스트 하위에 있는 다른 포레스트간에는 그룹이 전역(Global)이라면 사용이 불가능한 게 맞다. 따라서 기존의 전역 그룹을 유니버설 그룹으로 변경해야 한다. 유니버설 그룹의 경우 설명을 보면 동일 포레스트 및 트러스트 포레스트의 도메인 그룹에서도 사용할 수 있다.

AD서버 Group Scope Universal Global Domain local에 대한 설명. 출처 : Microsoft

 

 

Group scope를 Universal로 변경하고 아무 문제없이 적용되었다.

Group scope를 Universal로 변경하고 나니 문제 없이 잘 적용되었다.

 

 

참조 링크 : https://learn.microsoft.com/ko-kr/windows-server/identity/ad-ds/manage/understand-security-groups

Active Directory 보안 그룹