그룹 정책으로 할 수 있는 일은 다음과 같다.
- 계정과 감사(audit) 정책을 중앙 관리
- 사용자의 바탕화면 잠금
- 클라이언트 컴퓨터에서 소프트웨어 응용 프로그램 자동 설치
- 시작, 종료, 로그온 및 로그오프 스크립트 구성
- 사용자 개인 폴더를 네트워크의 공유로 리디렉션(redirection) 수행
- 오프라인 폴더를 중앙 관리 및 구성
- IE, NetMeeting 및 다른 응용 프로그램에 대한 설정 구성
- 위에서 언급한 것 이상의 더 많은 것을 수행
동작 방법
그룹 정책을 구현하기 전에 다음 두 가지를 수행해야 한다.
1. 그룹 정책 개체(GPO, Group Policy Object)를 만든다.
2. GPO를 사이트, 도메인 또는 Active Directory의 조직구조(OU, Organization Units)에 연결한다.
일단 GPO가 연결되면, 사이트, 도메인 또는 OU내의 모든 사용자와 컴퓨터에 GPO의 설정이 적용된다.(다른 GPO가 무효로 하지 않는 한…)
그룹 정책 구현의 간단한 예
다음은 그룹 정책을 구현하는 간단한 테스트이다. 두 개의 컴퓨터가 있다고 하자.
- BACH는 Windows 2000 도메인 컨트롤러이다.
- HANDEL는 Windows 2000 Professional 클라이언트 컴퓨터이다.
이들 컴퓨터는 둘 다 mtit.com (필자의 회사인 MTIT Enterprises의 DNS 도메인 이름이다?자세한 내용은 www.mtit.com 참고)이라는 같은 도메인에 속해 있다.
하려는 작업은 다음과 같다.
1. BACH에 MTIT Enterprises라는 GPO를 만든다.
2. Active Directory의 도메인 컨테이너 mtit.com에 GPO를 연결한다.
3. 도메인 내의 모든 사용자에 대하여 암호 길이가 12자 이상이 될 것을 요구하도록 GPO를 구성한다.
4. HANDEL의 사용자 Bob이 자신의 암호를 변경함으로써 GPO를 테스트한다.
어떻게 수행되는지 보기로 하자.
자세한 내용
BACH에서 사용자 Bob을 만들고 공백 암호를 할당하였다. Bob은 HANDEL에 성공적으로 로그온 하였다.
이제 GPO를 만들려면:
1. BACH에서 Active Directory 사용자 및 컴퓨터 콘솔을 연다.
2. mtit.com 도메인 컨테이너를 마우스 오른쪽 단추로 클릭한다.
3. "등록 정보"를 선택한다.
4. "그룹 정책" 탭을 선택한다.
5. "새로 만들기"를 선택한다.
6. "MTIT Enterprises"를 입력한다.
7. Enter 키를 누른다.
8. "위로"를 선택한다.
왜 "위로"를 선택하는 것일까? 왜냐하면 이 도메인에 이미 기본 도메인 정책(Default Domain Policy)이 연결되어 있기 때문에 두 정책이 적용될 순서를 지정해야 한다. 목록의 맨 위에 있는 정책이 마지막에 적용되고, 도메인에 대한 이전의 모든 정책은 무효로 된다(설정이 서로 충돌하는 경우에). 계속하려면,
1. "편집"을 선택한다.
2. 콘솔 트리에서 컴퓨터 구성, Windows 설정, 보안 설정, 계정 정책, 암호 정책을 차례로 선택한다.
3. "최소 암호 길이"라는 정책을 두 번 클릭한다.
4. 이 정책 설정 정의를 선택한다.
5. 12자를 지정한다.
6. 확인을 누르고, 그룹 정책 콘솔을 닫는다.
7. mtit.com 등록 정보를 닫는다.
테스트
Bob은 현재 HANDEL에 로그온되어 있으며 그의 암호는 공백이다. 도메인 GPO의 암호 정책 설정은 사용자가 암호를 변경할 때에 비로소 적용된다. 따라서 Bob이 다음을 수행하면,
Ctrl+Alt+Del --> 암호 변경 --> 이전 암호에 대해서는 공백을 입력하고 새 암호에는 "password"를 입력 --> 확인
새 암호에는 12자 이상이 필요하다는 내용의 메시지가 나타난다!
모든 사용자에 대해 암호가 적어도 12자 이상 되도록 도메인 GPO가 설정되었기 때문에, Bob이 암호를 "password"로 변경할 수 없었던 데까지 설명하였다.
이것은 워크스테이션 HANDEL에 도메인 관리자로 로그온해서 제어판의 관리 도구에서 로컬 보안 정책(Local Security Policy)을 열면 분명하게 알 수 있다. 다음은 화면 내용이다.
로컬 보안 정책 설정은 0자 이지만 실제 설정은 12자임에 주의해야 한다. 이것은 로컬 보안 정책이 워크스테이션에 먼저 적용된 다음, 다양한 그룹 정책 개체(GPO)가 적용되므로, 도메인 GPO 설정이 로컬 보안 정책 설정을 우선하게 된다.
MTIT Enterprises라는 도메인 GPO에 대해 이번에는 최소 암호 길이가 13자가 되도록 계정 정책 설정을 다시 변경하기로 하자. 필자는 BACH에서 변경하였다
이제, HANDEL로 가서 아직 열려 있는 로컬 보안 정책 콘솔을 살펴 본다. 아직 변경되지 않았다.
콘솔을 닫고 다시 열어도 아직 12자이다.
로그 오프하고 관리자로 HANDEL에 다시 로그온한 다음 로컬 보안 정책 콘솔을 다시 열어도 아직 변경되지 않았다.
HANDEL을 다시 부트하고 로그온한 다음 콘솔을 다시 열어 보라. 바로 이거다! 콘솔을 보게 되면 최소 암호 길이의 실제 정책이 13자로 변경되어 있다.
다시 시도해보자. BACH로 가서 최소 암호 길이 정책 설정을 14자(최대값)로 변경한다. HANDEL에서 로컬 보안 정책 콘솔을 닫고 다시 열어도 아직 13자이다. HANDEL에서 콘솔을 닫아도 여전히 관리자로 로그온되어 있는 상태이다. 이제 2시간 정도 쉬려고 한다.
똑딱 똑딱.....
댓글 없음:
댓글 쓰기