Active Directory GPO (Group Policy Object)

그룹 정책의 기본 개념
GPO 기본 개념 
그룹 정책의 상속과 가능한 작업

 

그룹 정책의 기본 개념

 

Active Directory에서 그룹 정책은 관리자가 Active Directory 내의 컴퓨터나 사용자에게 사용 가능한 프로그램을 지정하거나 제한할 수 있으며, 로그온 시 보여지는 바탕 화면을 지정할 수 있고, [시작] 메뉴의 사용 옵션, USB나 CD/DVD의 사용제한 등 엄청나게 많은 기능을 제한/허용 할 수 있다. 

 

그룹 정책을 생성한 후에 그 그룹 정책을 묶은 개체를 GPO(Group Policy Object), 그룹 정책 개체라고 한다. GPO는 컴퓨터에 대해서 설정할 수 있고, 사용자에 대해서 설정할 수 있다. 

 

※ 컴퓨터에서 설정한 그룹 정책과 사용자에 설정한 그룹 정책이 충돌되는 경우에는 우선 순위는 '컴퓨터'에 설정한 그룹 정책이 더 높다.

 

그룹 정책의 상속과 가능한 작업

그룹 정책은 일반적으로 부모 컨테이너에서 자식 컨테이너로 상속이 된다.

아래 사진과 같이 hanbit.com이라는 도메인 아래, 기술부(OU)가 있고, 기술1팀(OU)과 기술 2팀(OU)로 나눠져 있다고 가정해보자. 

그렇다면 hanbit.com 도메인 -> 기술부 OU -> 기술 1팀 OU 순서대로 그룹 정책이 상속된다. 

 

 

그룹 정책을 사용한 작업 예시

그룹정책을 사용하여 관리자는 다음 작업을 할 수 있다. 

 

1. 보안 설정: 보안 강화를 위한 사용자의 암호 및 계정 잠금 등에 대해서 도메인의 모든 사용자에게 강제로 적용할 수 있다. 
2. 스크립트 지정: 사용자의 로그온/로그아웃 시에 또는 컴퓨터의 부팅과 종료 시에 자동으로 실행될 작업을 스크립트에 지정할 수 있다. 
3. 폴더 리디렉션: 사용자가 도메인 내의 어느 컴퓨터에서 로그온하더라도 자신의 문서 등에 대한 폴더가 동일한 환경으로 제공될수 있도록 한다. 
4. 소프트웨어 설정: 사용자가 사용할 소프트웨어에 대해서 설치, 삭제, 업데이트를 제어할 수 있다. 

---

 

실습 1 계정/암호 정책

 

아래 사진은 hanbit.com 이라는 도메인의 계정/암호 정책을 보여주고 있다.

['암호는 복잡성 조건을 만족해야 함' -> 사용] 설정이 되어 있다면, 오른쪽 사진에 나와있는 복잡성을 만족해야 한다. 

 

hanbit 도메인 계정 생성 시, 사진에 나와있는 계정 정책을 만족하지 않는다면 어떻게 될지 확인해 보겠다. 

 

 

새로운 사용자 계정을 만드는 설정이다. 암호는 (보이지는 않지만) 'password' 라는 8개의 영대소문자만 사용하여 비밀번호 설정 시도시, 오른쪽 사진과 같이 에러 메시지가 발생한 것을 확인할 수 있다. 

 

---

실습 2 제어판 사용 제한

 

이번에는 회계부 OU 직원들을 [제어판]을 사용할 수 없도록 그룹 정책을 만들고 적용해 보겠다. 

 

 

왼쪽 사진과 같이 '그룹 정책 개체'에 '제어판 제어 정책' 이라는 새로운 그룹 정책 생성 후, 오른쪽 사진과 같이 회계부에 제어판 제어 정책을 적용 시킨다. 

 

 

[그룹 정책 관리 편집기] -> 사용자 구성 -> 정책 -> 관리 템플릿: 로컬 컴퓨터에서 정책 -> 제어판 -> prohibit access to Control Panel and PC settings -> 사용함 

 

위 설정을 완료 하면, 오른쪽 사진과 같이 해당 GP가 적용된 도메인 계정은 제어판 접속이 안되는걸 확인할 수 있다.