WindowsServer 2019 - AD (그룹 정책 관리, 설정)

목차

1. 그룹 정책
2. OU (Organizational Unit)
3. OU 생성 후 조직 구성
4. 그룹 정책 관리 설정

---

 

1. 그룹 정책

 

- Active Directory의 그룹 정책을 이용하면 Active Directory내의 컴퓨터나 사용자에게 동일한 업무 환경을 제공하거나, 소프트웨어 등의 사용에 제한을 걸거나, 암호 사용 기간을 정하는 등 생산성 향상과 보안 강화를 위한 작업을 일괄적으로 적용할 수 있다.

 

1.1 사용자 그룹 정책 부여

 

- 사용자에게 그룹 정책을 부여할 경우 Domain Join 되어있는 컴퓨터에 적용되는 것이 아니라 사용자 별 그룹 정책이 적용되는 것이기 때문에 어떤 사용자가 로그인 하는지가 중요하다.

- 만약 'a' 사용자에게 그룹 정책이 부여되었다면 사용자 'a'가 Domain Join 되어 있는 어느 컴퓨터에 가서 로그인 하더라도 해당 정책이 반영된다.

 

1.2 컴퓨터 그룹 정책 부여

 

- 컴퓨터에 그룹 정책을 부여할 경우 해당 컴퓨터 자체에 그룹 정책이 적용된다. 즉, 그룹 정책이 부여된 컴퓨터에 어떤 사용자로 Domain Logon을 하더라도 컴퓨터 자체에 그룹 정책이 적용되어 있기 때문에 어떤 사용자인지는 전혀 중요하지 않다.

---

2. OU (Organizational Unit)

 

2.1 도메인 내부의 디렉터리 객체이다.

2.2 그룹 정책 설정을 부여하거나 관리 권한을 위임할 수 있는 가장 작은 범위 또는 구성 단위이다.

2.3 사용자와 컴퓨터, 그룹, 프린터, 다른 조직단위들을 포함할 수 있다.

2.4 로컬 < (포리스트)사이트 < 도메인 < OU 순으로 뒤에 적용된 정책일수록 적용의 우선 순위를 갖는다.

---

3. OU 생성 후 조직 구성

 

- 그룹 정책을 관리하기 위해선 우선 OU를 구성해야 한다.

- OU를 생성해야 해당 OU에 그룹 정책을 생성하여 부여할 수 있다.

---

AD DC에서 작업

 

- 'Active Directory 사용자 및 컴퓨터'에서 조직 구성 단위를 통해 OU를 생성해준다.

- admin과 sales라는 컨테이너를 2개 만들어 줄 것이다.

 

- 현재 W10-1, WIN11-1이라는 Client 컴퓨터 2개다 Domain Join이 되어있는 것을 확인 할 수 있다.

- W10-1, WIN11-1를 각 컨테이너 admin, sales에 하나씩 집어 넣는다.

- 개체는 하나의 OU 밖에 속하지 못한다. (둘 이상의 OU에 속할 수 없다.)

 

- AD DC에 생성되어 있는 사용자 a, b도 마찬가지로 각 admin, sales 컨테이너에 하나씩 넣는다.

- OU는 비슷한 역할들끼리 모아놓는다.

- 같은 컨테이너에 있으면 정책을 구성한 뒤 해당 컨테이너를 통해 정책을 한번에 부여하기가 수월하다.

 - 개체들은 여러곳에 속할 수 있지만 OU는 하나밖에 속하지 못한다.

OU는 비슷한 역할들끼리 모아놓는다.

---

4. 그룹 정책 관리 설정

---

AD DC에서 설정

 

- (포리스트)사이트 < 도메인 < OU 순으로 나열되어 있는 것을 볼 수 있다.

---

4.1 바탕 화면 지정 정책 설정

 

- 그룹 정책을 통해 바탕 화면을 관리자가 원하는 이미지로 특정 사용자에게 부여하고, 해당 사용자로 로그인 할 경우 관리자가 지정한 바탕 화면이 뜨도록 설정할 것이다.

 

---

Server 1에서 작업

 

- 바탕 화면으로 지정할 사진이자, AD에서 가져다 쓸 수 있도록 임의의 jpg의 사진 파일 2개를 desk라는 폴더에 넣는다.

- desk 폴더를 다른 사용자들이 사용할 수 있도록 모두에게 읽기 권한을 부여한다.

---

AD DC에서 작업

 

- 새로운 그룹 정책을 생성한다.

- 그룹 정책 생성 -> 컨테이너에 적용하는 방식으로 정책을 구성한다.

- 그룹 정책의 이름은 되도록 어떤 정책인지 알아보기 쉽게 작성하는 것이 좋다.

 

- '편집'을 통해 해당 그룹 정책은 어떤 정책을 '사용' 또는 '사용하지 않음'을 택할 것인지 선택한다.

 

- 현재 바탕 화면 지정에 관한 그룹 정책을 설정 중이기 때문에 바탕 화면과 관련된 그룹 정책을 찾는다.

- 여기서 중요한 것은 사용자 구성을 통해 정책을 지정하고 있기 때문에 이 그룹 정책은 사용자에게 적용되는 정책이다. 즉, 어떤 컴퓨터에서 로그인 하는지보다 어떤 사용자로 로그인하는지가 중요하다.

 

- 우선 '사용'에 체크 한 다음 바탕 화면으로 지정할 파일의 경로를 지정한다. (해당 파일은 Server 1에서 생성한 jpg 파일의 경로에 해당한다. \\10.0.0.2를 통한 공유 폴더 경로로 해당 사진 파일의 경로를 지정했다.)

- 바탕 화면 사진 경로를 지정하고 '사용'을 체크한 순간 해당 그룹 정책은 앞으로 지정되는 컴퓨터나 사용자에게 지정된 이미지의 바탕 화면을 제공하게 될 것이다.

 

- 그룹 정책을 지정하고 싶은 컨테이너를 지정하여 '기존 GPO' 연결을 통해 그룹 정책을 부여한다.

 

- 여러 정책들 중 부여하고 싶은 그룹 정책을 선택한다.

- 현재 부여하고 싶은 그룹 정책은 바탕 화면 지정과 관련된 그룹 정책이고 해당 그룹 정책의 이름은 'desk_admin'이기 때문에 해당 정책을 선택한다.

 

- 해당 컨테이너에 그룹 정책이 적용된 것을 확인 할 수 있다.

- admin 컨테이너에는 현재 사용자 'a'와 'W10-1'이 포함되어 있다.

---

사용자 a로 로그인한 PC에서 설정

- 그룹 정책은 기본적으로 60~90분정도 뒤에 자동으로 적용이 되지만 바로 적용 시키기 위해 'gpupdate /force'라는 명령어를 사용하여 바로 정책을 적용 시킬 수 있다.

 

- 그룹 정책을 적용 시키고 업데이트 한 뒤 해당 사용자를 Logoff 한 뒤 다시 Logon 하게되면 위의 사진과 같이 지정한 바탕 화면이 뜨는 것을 확인 할 수 있다.

- AD DC 즉, 관리자가 지정한 바탕 화면이기 떄문에 사용자가 임의로 변경하는 것은 불가능하다.

---

4.2 제어판 사용 제한

 

- 두번째로 제어판 사용을 제한하는 그룹 정책을 생성하여 특정 사용자에게 부여할 것이다.

 

- 마찬가지로 새로운 그룹 정책을 알아보기 쉬운 이름으로 생성한다.

 

- '편집'을 통해 제어판 제한과 관련된 설정을 찾는다.

- 이번 그룹 정책도 첫번째와 마찬가지로 사용자에게 지정된 그룹 정책이기 때문에 이 그룹 정책도 사용자에게 적용되는 정책이다.

 

- 해당 그룹 정책을 부여하고 싶은 컨테이너 그룹 정책을 추가한다.

- admin 컨테이너에는 현재 사용자 'a'와 'W10-1'이 포함되어 있다.

---

사용자 a로 로그인한 PC에서 설정

 

- 마찬가지로 새롭게 추가한 그룹 정책을 바로 업데이트 시키기 위해 'gpupdate /force' 명령어를 사용하여 업데이트 시킨다.

 

- 실행창을 통해 제어판을 실행 시키게 되면 아래 오류 메시지와 함께 제어판을 실행 시킬 수 없는 것을 볼 수 있다.

---

4.3 검색 기록 삭제 관련

 

- 세번째로 인터넷 검색 기록 삭제 관련 그룹 정책을 설정해 볼 것이다.

 

- 새로운 그룹 정책을 새로 생성한다.

 

- 검색 기록 삭제 항목을 찾은 다음 사용자에게 맞게 설정을 변경한다.

- 세번째도 이전 그룹 정책과 마찬가지로 사용자 구성을 통해 적용시키기 때문에 사용자에 따라 정책이 적용된다.

 

- 해당 그룹 정책을 부여하고 싶은 컨테이너 그룹 정책을 추가한다.

- admin 컨테이너에는 현재 사용자 'a'와 'W10-1'이 포함되어 있다.

---

사용자 a로 로그인한 PC에서 설정

 

- 마찬가지로 정책을 바로 적용 시킨다.

 

- '인터넷 옵션' -> '일반' -> '삭제' 항목을 들어가보면 그룹 정책을 통해 방지를 해놓은 항목들은 회색으로 선택 할 수 없게 설정되어 있는 것을 확인 할 수 있다.

- 아래 관리자에 의해 관리되는 항목이 있다는 메시지도 함께 확인 할 수 있다.

---

4.4 소프트웨어 제한 정책

 

- 네번째로 소프트웨어 제한 정책을 설정해 볼 것이다.

- 소프트웨어 제한 정책은 원하는 APP을 실행시키 못하게 제한 할 수 있다.

- 해당 실행 파일의 경로를 직접 지정하여 제한 할 수 있다.

 

- 마찬가지로 새로운 정책을 생성해준다.

 

- '편집' -> ... -> '소프트웨어 제한 정책' -> '새 경로 규칙 만들기'를 선택한다.

 

- '새 경로 규칙 만들기' 항목에서 제한하고 싶은 소프트웨어의 경로를 지정해준다.

- 현재 iexplore의 경로를 지정해줌으로써 iexplore의 실행을 제한 시킨다.

- 세번째까지 정책과는 다르게 이번에는 컴퓨터 구성에 정책을 설정하였다. 이는 사용자가 아닌 컴퓨터에 해당 그룹 정책이 적용된다. 즉, 해당 컴퓨터에 어떤 사용자로 Logon하더라도 컴퓨터 자체에 정책이 적용되어 있기 때문에 해당 컴퓨터를 사용하는 사용자는 전부 해당 그룹 정책을 적용 받을 수 밖에 없다.

 

- 해당 iexplore 경로가 지정된 것을 확인한다.

 

- 해당 그룹 정책을 부여하고 싶은 컨테이너 그룹 정책을 추가한다.

- admin 컨테이너에는 현재 사용자 'a'와 'W10-1'이 포함되어 있다.

---

W10-1의 컴퓨터에 사용자 a, b로 각각 로그인한 PC에서 설정

 

W10-1 : 사용자 a, PC에서 설정

 

- 마찬가지로 정책을 바로 업데이트 시켜준다.

 

- 사용자 a로 Logon한 컴퓨터에서 iexplore 실행 시 해당 메시지와 함께 접속이 불가능한 것을 볼 수 잇다.

---

W10-1 : 사용자 b, PC에서 설정

 

- 마찬가지로 정책을 바로 업데이트 시켜준다.

 

- 마찬가지로 사용자 b로 Logon한 컴퓨터도 iexplore 실행이 불가능 한 것을 볼 수 있다.

---