Windows server 2008 그룹 정책의 이해

그룹 정책의 이해

◆그룹 정책:

관리자들이 사용자와 컴퓨터 권한(privileges), 사용 권한(permissions)을 중앙에서 제어할 수 있도록 하여 관리 작업을 단순화 한다

사용자와 컴퓨터를 관리하는데 도움을 주는 규칙들의 집합

 

◆그룹정책으로 할 수 있는 일

-windows 구성 요소, 시스템 리소스, 네트워크 리소스, [제어판] 유틸리티들, 데스크탑, 시작메뉴에 대한 접근을 제어

-사용자의 "내문서" 폴더와 같은 특수 폴더에 대한 중앙 집중화된 관리 디렉터리를 생성

-지정된 시점에 수행되는 사용자 및 컴퓨터 스크립트를 정의

-계정 잠금 및 암호, 감사, 사용자 권한 할당, 보안에 관련된 정책을 구성

 

◆개별 시스템에 적용되는 정책은 로컬 그룹 정책이라고 부르며 이 정책 정보는 해당하는 로컬 시스템 내에만 저장

 

◆그룹 정책 설정은 GPO(그룹 정책 개체, Group Policy Object)에 저장

GPO 라는 것은 적용할 정책과 정책 설정 정보를 담고 있는 일종의 컨테이너라고 볼 수 있음

 

◆여러 정책들이 적용되는 순서(번호가 작을수록 먼저 적용, 번호가 클수록 우선순위 높음)

1. 로컬 그룹 정책
2. 사이트 그룹 정책
3. 도메인 그룹 정책
4. OU 그룹 정책
5. 자식 OU 그룹 정책

 

◆컴퓨터 정책은 보통 시스템의 시작 시에 적용되는 반면 사용자 정책은 보통 사용자 로그온 시에 적용됨

 

그룹 정책의 변경

◆Microsoft는 그룹 정책 관리 기능을 Active Directory 관련 도구에서 제거하고, 그룹 정책 관리 콘솔(GPMC: Group Policy Management Console)이라는 주 콘솔을 통해 제공

GPMC는 windows server 2008의 기능 추가 마법사를 통해 추가할 수 있는 하나의 기능

-그룹 정책 스타터 GPO 편집기: 스타터 GPO를 생성하고 관리하는데 사용하는 편집기

-로컬 그룹 정책 개체 편집기: 로컬 컴퓨터를 위한 정책 개체를 생성하고 관리하는데 사용하는 편집기

 

로컬 그룹 정책 관리

◆windows server 2008은 하나의 컴퓨터 내에서(컴퓨터가 도메인 컨트롤러가 아닌 경우) 여러 개의 로컬 그룹 정책 개체(LGPO: Local Group Policy Object)사용을 허용

 

여러 로컬 그룹 정책 개체

여러 개의 LGPO는 컴퓨터가 도메인에 참여하는 경우보다 독립 실행하도록 구성된 경우(워크그룹에 참여하는 경우)에 더 유용. 그 이유는 관리자 작업을 수행하기 전에 명시적으로 로컬정책 설정을 비활성화 하거나 제거해야 하는 성가신 작업이 더 이상 필요 없기 때문임

 

◆로컬 그룹 정책: 컴퓨터의 모든 사용자에게 적용되는 컴퓨터 구성과 사용자 구성 설정 모두를 가진 정책이다

◆administrators 와 non-administrators 로컬 그룹 정책: administrators와 non-administrators 로컬 그룹 정책은 사용자 구성 설정만을 가진다. 이 정책은 사용자 계정이 로컬 administrators 그룹의 멤버인지 여부에 따라 그 적용 여부가 결정된다

◆user-specific 로컬 그룹 정책: user-specific 로컬 그룹 정책은 사용자 구성 설정만을 가진다 이 정책은 개별 사용자와 그룹에 적용된다

 

최상위 레벨의 로컬 정책 설정에 접근

로컬 정책 설정을 관리하기 위해 정책 편집기 사용

 

Administrator, Non-Administrator, 그리고 User-Specific 로컬 그룹 정책에 접근

기본적으로 컴퓨터상에 존재하는 로컬 정책 개체만이 LGPO(로컬 그룹 정책 개체)임 필요한 경우 다를 로컬 개체를 생성하고 관리할 수 있음

 

사이트, 도메인, 조직 단위(OU) 정책 관리

사이트, 도메인, OU 는 하나 이상의 그룹 정책을 가질 수 있음.

 

도메인과 기본 정책에 대한 이해

조직 내의 각 도메인은 두 개의 기본 GPO를 가짐

-기본 도메인 컨트롤러 정책 GPO: 도메인 컨트롤러 OU를 위해 생성되고 연결된 GPO. 도메인 내의 모든 컨트롤러에 적용할 수 있는 GPO(도메인 컨트롤러가 이 OU에서 제거되지 않는 이상)

-기본 도메인 정책 GPO: Active Directory 내 해당 도메인 자체 위해 생성되고 연결된 GPO.

기본 계정 정책 설정과 특히 계정 정책의 세 가지 영역을 관리하기 위해 사용(암호 정책, 계정 장금 정책, Kerberos 정책) 네 가지 보안 옵션 (계정: administrator 계정 이름 바꾸기, 계정: guest 계정 이름 바꾸기, 네트워크 보안: 로그온 시간이 만료되면 강제로 로그오프, 네트워크 액세스: 익명 SID/ 이름 변환 허용)들이 GPO를 이용해 관리됨

 

그룹 정책 관리 콘솔 사용

-도메인: 선택한 포리스트 내의 도메인을 위한 정책 설정에 대한 접근을 제공.

-사이트: 선택된 포리스트 내의 사이트를 위한 정책 설정에 대한 접근을 제공.

-그룹 정책 모델링: 그룹 정책 모델링 마법사로의 접근을 제공. 이 마법사는 정책 배포 계획과 테스팅을 위해 설정을 시뮬레이트할 수 있도록 해줌.

-그룹 정책 결과: 이 마법사는 특정 사용자나 컴퓨터의 정책 설정을 확인할 수 있도록 해줌

 

정책 편집기 알아보기

-컴퓨터 구성: 컴퓨터 레벨에 적용되어야 하는 정책을 설정 가능. 이 정책은 컴퓨터에 로그온 하는 사용자에 상관없이 컴퓨터 단위로 적용

-사용자 구성: 사용자 레벨에 적용되어야 하는 정책을 설정 가능. 사용자가 어떤 컴퓨터를 이용해 로그온 하든지 상관없이 사용자 단위로 적용

 

-소프트웨어 설정: 소프트웨어 설정과 설치에 관련된 정책을 설정.

-windows 설정: 폴더 리디렉션, 스크립트, 보안에 관련된 정책

-관리 템플릿: 운영체제, windows 구성 요소, 프로그램에 관련된 정책을 설정

 

정책 설정을 위해 관리 템플릿 사용

◆관리 템플릿: 레지스트리 기반 정책 설정에 보다 쉽게 접근할 수 있도록 해줌

(레지스트리 기반 정책 설정: 적용될 대상 컴퓨터의 레지스트리를 변경하여 적용되는 정책들을 말함. 사용자 인터페이스를 제어하는 정책들)

 

◆관리 템플릿을 이용하여 관리하는 것들

: 제어판, 데스크탑, 네트워크, 프린터, 공유 폴더, 시작 메뉴와 작업 바(taskbar), 시스템, windows 구성 요소

 

중앙 저장소 생성

◆중앙 저장소: 조직 내 각 도메인의 도메인 컨트롤러상에 존재하는 sysvol 디렉터리 내에 생성된 일련의 폴더들

(SYSVOL: 그룹 정책 및 로그온 스크립트가 저장되며 도메인 컨트롤러간에 복제. 만약 SYSVOL폴더가 제대로 만들어지지 않으면 그룹 정책 및 스크립트가 도메인 컨트롤러간에 복제되지 않음[출처] SYSVOL|작성자 카이)

 

GPO 생성과 연결

어떠한 도메인, 사이트, OU에도 연결되지 않는 GPO 생성 가능, 나중에 해당 GPO를 특정 도메인, 사이트, OU로 연결 가능, GPO를 생성함과 동시에 자동으로 도메인, 사이트, OU로 연결 가능

 

스타터 GPO 생성과 사용

스타터 GPO의 설정들 모두가 생성될 새로운 GPO에 전달되기 때문에 스타터 GPO는 새로운 GPO를 위한 기본적인 구성 설정을 정의하는 것

 

그룹 정책 관리를 위한 권한 위임

위임을 통해서 다른 사용자들도 GPO 생성과 생성한 GPO 관리, 설정 보기, 설정 수정, GPO 삭제, 보안 수정, 기존 GPO나 생성된 RSoP(정책 결과 집합, Resultant Set of Policy)로의 링크 관리

등의 작업을 수행할 수 있도록 권한을 부여 가능

 

 

정책의 차단, 오버라이딩, 비활성화

◆상속은 도메인, 사이트 또는 OU 내의 모든 사용자와 컴퓨터 개체가 그룹 정책에 영향을 받을 수 있도록 함

 

◆상속의 작동 방식을 변경 가능

-(GPO) 연결 순서와 우선 순위 변경

-상속 오버라이딩(강제 적용 옵션이 없는 경우에 해당함)

-상속 차단(완전하게 상속을 방지하기 위한)

-상속 강제 적용(오버라이딩이나 차단을 방지하기 위함)

 

그룹 정책 관리와 문제 해결

그룹 정책 관리 작업은 그 여파가 광범위하게 적용되므로 수행 시 반드시 주의해야만 하는 작업.

문제를 해결하기 위해서는 정책이 처리되는 방식과 새로 고침 되는 방식을 정확하게 이해 그리고 그룹 정책에 관련된 일반적인 유지 관리 작업과 문제해결 작업에 대해 정확하게 이해

 

그룹 정책 새로 고침

◆클라이언트 컴퓨터들은 – 컴퓨터가 시작할 때 –사용자가 로그온할 때 –응용 프로그램이나 사용자가 새로 고침을 요청하는 경우 – 그룹 정책에 설정된 새로 고침 간격이 도래한 경우등에 정책을 요청

일단, 정책이 적용되면 그 정책은 자동으로 새로 고침 됨

↑그룹 정책을 위한 새로 고침 간격 구성

도메인 컨트롤러의 새로 고침 간격 구성

60~240분 사이의 값으로 설정

 

그룹 정책 계획을 위한 그룹 정책 모델링

다양한 그룹 정책 구현과 구성 시나리오를 시뮬레이션(테스트)해 보고자 할 때 유용

 

정책 개체 복사 및 붙여넣기와 정책 개체 가져오기

복사하기와 붙여넣기 기능을 사용하여 직관적인 관리 작업을 수행 가능

그룹 정책 설정 편집 권한을 가진 사용자는 가져오기 작업을 수행 가능(덮어 씌여짐)

 

정책 개체의 백업과 복원

GPO 백업은 주기적으로 수행해야 하는 관리 작업의 일부

 

현재의 그룹 정책 설정과 새로 고침 상태 확인하기

정책 결과 집합을 기록하기 위해 그룹 정책 모델링을 사용 가능

 

그룹 정책의 사용되지 않는 부분 비활성화

정책을 비활성화시키는 방법의 하나로 GPO의 사용되지 않는 부분을 비활성화하는 것

정책 처리의 우선 순위 변경

루프백 처리가 작동하는 방식 변경

-바꾸기: 컴퓨터의 GPO에 있는 사용자 설정 부분이 처리 , 사용자 GPO의 사용자 부분은 처리 안됨

-병합: 컴퓨터의 GPO에 있는 사용자 설정 부분이 먼저ㅓ 처리되고 난 뒤 사용자의 GPO에 있는 사용자 설정 부분이 처리

 

저속 연결 감지 구성

저속 연결 감지 옵션은 그룹 정책 클라이언트가 네트워크상의 지연과 느린 응답 속도를 감지하고 더 나아가 그룹 정책 처리가 네트워크 트래픽을 잠식해 버리는 사태의 발생 가능성을 줄이기 위해 적절한 행동을 취할 수 있도록 하는 용도로 사용

저속 연결이 감지되면 처리 되지 않는 것들

-디스크 할당 정책 처리중

-EFS 복구 정책 처리중

-폴더 리디렉션 정책 처리중

-Internet Explorer 유지 관리 정책 처리중

-IP 보안 정책 처리중

-스크립트 정책 처리중

-소프트웨어 설치 정책 처리중

-무선 정책 처리중

 

GPO 연결 제거와 GPO 삭제

◆GPO 연결을 제거 하는 것: 해당하는 도메인, 사이트 또는 OU가 GPO에 관련된 정책 설정을 더 이상 사용할 수 없도록 하는 것이지 GPO 자체를 삭제하는 것이 아님

◆영구적으로 GPO를 삭제 하는 것: GPO 자체를 삭제함과 동시에 관련된 모든 연결도 제거

 

그룹 정책 문제해결

해당 정책 설정으로 문제를 겪고 있는 사용자, 컴퓨터 혹은 둘 다에 대한 정책 결과 집합(RSoP)을 검사해 보는 일

 

기본 그룹 정책 복원

기본 도메인 정책과 기본 도메인 컨트롤러 정책 GPO는 Active Directory 도메인 서비스에 있어 매우 중요한 정책들

 

그룹 정책을 통한 사용자 및 컴퓨터 관리

사용자와 컴퓨터를 다양한 방식으로 관리하기 위한 용도로 그룹 정책을 사용 가능

 

중앙에서 관리하는 특수 폴더들

폴더 리디렉션(redirection, 재지정)을 통해 windows server 2008에 의해 사용되는 특수 폴더들을 중앙에서 관리 가능

 

사용자 및 컴퓨터 스크립트 관리

◆Windows server 2008에서는 4가지 유형의 스크립트를 구성 가능

-컴퓨터 시작: 컴퓨터 시작 시에 실행됨

-컴퓨터 종료: 컴퓨터 종료 시에 실행됨

-사용자 로그온: 사용자 로그온 시에 실행됨

-사용자 로그오프: 사용자 로그오프 시에 실행됨

◆컴퓨터 시작과 종료 스크립트 할당

도메인, 사이트, OU에 속한 모든 컴퓨터들이 부팅하거나 종료할 때 스크립트가 자동적으로 실행됨

 

그룹 정책을 통한 소프트웨어 배포

◆소프트웨어 설치 정책 알아보기

그룹 정책을 통해 컴퓨터 기반 혹은 사용자 기반으로 소프트웨어를 배포 가능

 

◆소프트웨어 설치 정책은 정책 설정을 포그라운드로 처리하는 동안에만 반영되기 때문에 컴퓨터 단위 응용프로그램 배포는 컴퓨터 시작 시에, 그리고 사용자 단위 응용 프로그램 배포는 로그온시 처리

 

 출처: Windows server 2008 책