뇌를 자극하는 Windows Server 2008 15장. 그룹 정책의 구성과 운영

그룹 정책 개요 (1) [P604] 그룹 정책 이란? Active Directory를 구성할 때는 네트워크 상에 많은 컴퓨터 및 사 용자가 존재한다. 이런 상황에서 관리자가 각 컴퓨터 또는 사용자 에게 일일이 사용할 프로그램과 그렇지 않을 프로그램을 지정하 자면 시간과 노력이 너무 많이 들게 된다. 이러한 네트워크 상에 많은 컴퓨터 및 사용자에 대한 환경을 일 일이 설정하는 것이 아니라 '그룹 정책'을 설정한 후 적용시켜서 할 수 있다. 그 결과 Active Directory 도메인 컴퓨터와 사용자를 일관되게 관 리할 수 있게 된다.

그룹 정책 개요 (2) [P605] 그룹 정책의 기본 개념과 GPO 그룹 정책(Group Policy)을 통해 관리자할 수 있는 예 Active Directory 내의 컴퓨터나 사용자에게 사용 가능한 프로그램을 지정하거나 제한할 수 있음. 로그온 시 보여지는 바탕화면을 지정할 수 있음. 시작 메뉴의 사용 옵션, USB나 CD/DVD의 사용 제한 등을 구성할 수 있음. 잘못된 사용자의 시스템 구성 변경이나 네트워크 바이러스 침투 등의 사고를 예방할 수 있음. 그룹 정책 개체(Group Policy Object, 약자로 GPO) 그룹 정책을 생성한 후에 그 그룹 정책을 묶은 개체 GPO는 도메인 단위에 저장 글로벌 카탈로그(Global Catalog, 약자로 GC)에 해당 정보가 저장 종류 : 로컬 GPO <사이트 GPO < 도메인 GPO < OU GPO

그룹 정책 개요 (3) [P606] 그룹 정책의 상속 일반적으로 부모 컨테이너에서 자식 컨테이너로 상속 필요할 경우에는 상속을 재정의하거나 상속을 차단할 수 있음. (예: hanbit.com 도메인에 적용된 그룹 정책을 기술1팀 OU에는 적용 되지 않도록 상속을 차단) 반대로 상속 차단을 하지 못하도록 강제 상속하는 것도 가능 (예: 회사(도메인)의 정책을 부서(OU)가 거부하지 못하도록 설정)

Windows Server 2008에서 제공하는 그룹 정책의 종류는 2,000개가 넘는다. 그룹 정책 개요 (4) [P606] 그룹 정책의 가능한 작업 보안 설정 보안 강화를 위한 사용자의 암호 및 계정 잠금 방식 등에 대해서 도메 인의 모든 사용자에게 강제로 적용할 수 있음. 스크립트 지정 사용자의 로그온/로그오프 시, 또는 컴퓨터의 부팅과 종료 시 등에 자 동으로 실행될 작업을 스크립트에 지정할 수 있음. 폴더 리디렉션(Folder Redirection) 사용자가 도메인 내의 어느 컴퓨터에서 로그온하더라도 자신의 문서 등에 대한 폴더가 동일한 환경으로 제공되도록 할 수 있음. 소프트웨어 설정 사용자가 사용할 소프트웨어에 대해서 설치, 삭제, 업데이트를 제어할 수 있음. Windows Server 2008에서 제공하는 그룹 정책의 종류는 2,000개가 넘는다.

<실습1> 기본적인 그룹 정책 적용 [P607] 실습목표 그룹 정책을 적용하고 해제하는 기본적인 실습을 한다. 기본적으로 적용되어 있는 그룹 정책을 확인한다. 새로운 GPO를 생성하고 적용하는 방법을 익힌다. 실습 화면 (기본 그룹 정책 확인 & 그룹 정책 생성)

그룹 정책의 실제 적용 (2) [P615] 생성한 그룹 정책이 적용되는 시점 사용자가 로그온할 때 컴퓨터를 재부팅했을 때 사용자가 강제로 직접 그룹 정책을 받아올 때 (명령어: gpupdate /force) 정책을 받아오는 주기적인 시간이 되었을 때 종종 정책이 반영되지 않는 경우가 있다. 이는 네트워크 상황 등으로 인해서 아직 정책이 전파되지 않았기 때문이다. 그룹 정책 개체인 GPO의 전파는 실시간으로 되지 않고 약 90분마다 적용되도록 설정되어 있다. 이 시간을 조절 할 수도 있는데 0분 ~ 64,800분(45일)까지 설정할 수 있다. 만약 0으로 설정하면 약 7초 단위로 GPO가 업데이트되어서 거의 실시간으로 GPO가 적용되지만, 네트워크 트래픽이 대폭 증가하여 문제가 될 수 있다

<실습2> 그룹 정책 상속 실습 [P616] 실습목표 그룹 정책의 상속 거부와 강제 상속에 대해서 실습한다. 실습 화면 (상속 차단 & 강제 상속)

<실습3> 컴퓨터에 적용되는 그룹 정책 [P621] 실습목표 사용자가 아니라 컴퓨터에 적용하는 그룹 정책을 실습한다. 컴퓨터에 모든 사용자가 로그온하면 자동으로 Internet Explorer 가 실행되고 www.paran.com에 접속되도록 설정한다. 실습 화면 (그룹 정책 생성)

<실습4> 로그온 스크립트 이용 그룹 정책 실습 [P624] 실습목표 그룹 정책을 Windows Server 2008에서 제공하지 않을 경우에 필요 한 기능을 로그온 스크립트로 작성하는 방법을 실습한다. 교육장 컴퓨터를 시작하면 Brain Server의 C:\실습파일\ 폴더가 Z: 로 네트워크 드라이브 연결이 되도록 설정 실습 화면 (로그온 스크립트 & GPO에 스크립트 파일 추가)

<실습5> 그룹 정책 모델링 마법사 실습 [P627] 실습목표 그룹 정책을 보고서로 만드는 방법을 실습한다. 그룹 정책 모델링 결과를 확인한다. 실습 화면 (그룹 정책 모델링 결과)

<실습6> 그룹 정책의 백업/복원 실습 [P630] 실습목표 그룹 정책의 백업과 복원 방법을 실습한다. 백업한 그룹 정책을 다른 도메인에 적용한다. 그룹 정책의 복사/붙여넣기 방법을 확인한다. 실습 화면 (그룹 정책 복사)

폴더 리디렉션 그룹 정책 [P634] 폴더 리디렉션 개요 폴더 리디렉션(Folder Redirection)은 도메인의 사용자가 도메인 내의 어떤 컴퓨터에서 접속하든지 자신이 사용하던 폴더(주로 ’내 문서’)가 그대로 보이도록 하는 것 어느 컴퓨터에서 접속하든지 자신의 컴퓨터로 착각(?)하는 효과 를 낼 수 있음 폴더 리디렉션 그룹 정책을 쓸 때는 고려사항 도메인 사용자의 폴더는 도메인 서버에 저장되므로, 서버의 부하를 고 려해야 한다. 용량이 큰 파일을 바람직하지 않다. 폴더 리디렉션이 가능한 항목은 내 문서/응용프로그램 데이터/바탕화 면/시작 메뉴 등이 있다.

<실습7> 폴더 리디렉션 그룹 정책 실습 [P634] 실습목표 폴더 리디렉션 방법을 실습한다. 리디렉션된 폴더의 접근 권한을 확인한다. 실습 화면 (폴더 리디렉션 설정 & 폴더 접근)