- 그룹 정책 계획
- 응용 프로그램의 GPO 순서
- GPO 새로 고침
이 글의 마지막 부분에는 이 글에 대한 이해를 돕는 연습 문제가 있다.
아직 1부를 읽지 않았다면, 이 연재 글의 1부를 읽어 보는 것이 좋다.
1부는 읽었지만 아직 1부의 보충설명을 읽지 않았다면 이 글을 읽기 전에 먼저 읽어 보길 바란다.
1. 그룹 정책 계획하기
GPO는 사이트, 도메인 및 조직구조(OU, Organization Units)에 연결될 수 있다.
사이트 GPO
사이트에 연결된 GPO는 그 사이트에 있는 모든 컴퓨터 및 사용자에게 적용된다. 대개 사이트는 다소 느린 WAN 링크를 사용하여 서로 연결되었기 때문에 사이트 GPO를 한 번 사용하면 사이트를 벗어난 곳에서 소프트웨어를 설치하지 못하는 문제가 발생할 수 있다.
도메인 GPO
도메인에 연결된 GPO는 그 도메인에 위치한 모든 컴퓨터와 사용자에게 적용된다. Windows 2000의 도메인은 네트워크에서 보안 경계를 나타내기 때문에 도메인 GPO는 가장 많이 사용되는 GPO이다. 도메인 GPO는 일반적으로 도메인에 대해 계정 잠금과 암호 정책을 설정하는데 사용된다. 또한 도메인 GPO는 워크스테이션에서 바탕 화면 잠금을 관리하고, 소프트웨어를 원격으로 배포 및 관리하며, 시작 및 로그온 스크립트를 구성하고, 도메인 컨트롤러 및 구성원 서버에서 감사(audit)와 이벤트 로그 설정을 관리하는 등 여러 곳에서 사용될 수 있다.
OU GPO
OU에 연결된 GPO는 그 OU에 있는 모든 컴퓨터와 사용자에게 적용된다. 대규모 기업 환경에서는 OU GPO가 가장 많이 사용된다. 왜냐하면 관리자들이 자신의 권한을 다른 믿을 만한 사용자에게 위임할 수 있기 때문이다(이렇게 하면 관리자들의 작업 부하를 줄일 수 있음). OU GPO는 일반적으로 워크스테이션에서 바탕 화면 잠금을 관리하고, 소프트웨어를 원격으로 배포 및 관리하며, 시작 및 로그온 스크립트를 구성하고, 도메인 컨트롤러 및 구성원 서버에서 감사(audit)와 이벤트 로그 설정을 관리하는 등 여러 곳에서 사용된다.
▶Tip 1. 사이트가 여러 도메인에 걸쳐 있으면 그 사이트에 연결된 모든 GPO는 사이트 내의 모든 도메인에 적용된다.
▶Tip 2. 기존 사이트의 사용자가 다른 사이트로 이동하면서 그 곳에서 네트워크에 연결하면, 이 사용자는 원래 사이트에 연결된 GPO에 의해 영향 받지 않는다.
▶Tip 3. 도메인 GPO는 관리자만 구성할 수 있으며 이 그룹 외부의 다른 사용자에게 관리를 위임할 수 없다.
▶Tip 4. 사이트에 도메인 하나만 존재하면 사이트 GPO 대신 도메인 GPO를 구성하는 것이 좋다.
▶Tip 5. OU GPO는 계정 잠금이나 암호 정책 설정을 관리하는 데 사용될 수 없다.
2. 응용 프로그램의 GPO 순서
사용자 또는 컴퓨터에 적용되는 GPO들은 Active Directory내에서 사용자 또는 컴퓨터가 저장되어 있는 사이트, 도메인, OU에 의해 결정된다. 특히, GPO는 다음과 같은 순서로 사용자 및 컴퓨터에 적용된다.
1. 처음에는, 컴퓨터의 로컬 보안 정책(Local Security Policy) 이 적용된다. 사이트나 도메인, 구성된 GPO가 없거나, 로컬 컴퓨터 또는 로그온 된 사용자에게 영향을 주는 GPO가 없으면, 로컬 보안 정책 설정이 적용된다.
2. 다음으로 사용자 또는 컴퓨터의 사이트에 연결된 GPO가 적용된다. 사이트 GPO에 컴퓨터의 로컬 보안 정책과 충돌되는 설정이 있으면 사이트 GPO의 설정이 우선한다(사용자 또는 컴퓨터에 GPO 설정을 적용하는 과정에서 나중에 적용된 GPO 설정이 이전에 적용된 GPO 설정에 우선한다는 것을 기억하라).
3. 그 다음으로 사용자 또는 컴퓨터의 도메인에 연결된 GPO가 적용된다.
4. 마지막으로, Active Directory에서 사용자 또는 컴퓨터가 저장된 OU에 연결된 GPO가 적용된다.
단지 다음과 같이 기억하면 된다.
1. 로컬 보안 정책
2. 사이트 GPO
3. 도메인 GPO
4. OU GPO
▶Tip 6. GPO 필터링이나 블록킹이 연관된 경우에는 상황이 좀 더 복잡해질 수 있다. 이 문제에 대해서는 다음에 다룰 것이다.
3. GPO 새로 고침
다음은 GPO가 언제 사용자 또는 컴퓨터에 적용되는지에 관한 세 가지 내용이다.
- 시작
- 로그온
- 새로 고침 간격
그러나 이 내용을 논의하기 전에 모든 GPO에는 두 가지 부분이 있다는 것을 명심해야 한다(그림 참고).
- 컴퓨터 구성 (GPO에 의해 영향 받는 어떠한 컴퓨터에도 적용되는 컴퓨터 관련 특정 설정)
- 사용자 구성 (GPO에 의해 영향 받는 어떠한 사용자에게도 적용되는 사용자 관련 특정 설정)
사용자 구성 및 컴퓨터 구성과 관련된 다양한 GPO 설정에 대해서는 이 연재의 다음 글에서 알아볼 것이다.
시작
컴퓨터가 다시 부팅될 때, GPO 컴퓨터 구성 설정은 Active Directory 내의 사이트, 도메인, OU에 연결된 모든 컴퓨터에 적용된다.
로그온
사용자가 로그온할 때, GPO 사용자 구성 설정은 Active Directory 내의 사이트, 도메인, OU에 연결된 모든 컴퓨터에 적용된다.
새로 고침 간격
GPO 설정이 계속 적용되고, GPO가 변경되었을 때 새로운 설정이 적용되도록 하려면 다음과 같이 Windows 2000 컴퓨터에서 이들 설정이 아래와 같이 주기적으로 새로 고쳐질 수 있도록 하면 된다.
- 도메인 컨트롤러에서는 5분 마다
- 0에서 30분 사이의 임의의 오프셋을 더해서 클라이언트 컴퓨터와 구성원 서버에서 90분 마다
▶Tip 7. 소프트웨어 설치 및 폴더 리디렉션 정책 설정은 클라이언트 컴퓨터 및 구성원 서버에서 새로 고쳐지지 않으므로, 컴퓨터를 시작하거나 사용자가 로그온 할 때에만 적용된다.
<연습 문제>
이 연습 문제를 통하여, 그룹 정책의 작동 방법을 이해했는지 알아보자.
■ 사전 지식
Windows 2000 Professional을 실행하는 HANDEL이라는 클라이언트 컴퓨터와 이 컴퓨터를 사용하는 Bob이라는 도메인 사용자가 있다고 하자.
그리고 Active Directory에 다음과 같은 구조의 도메인과 OU가 있다고 하자.
도메인:
- mtit.com (포리스트 루트 도메인)
- canada.mtit.com
mtit.com의 OU:
- Bosses
- Slaves (사용자 Bob이 들어 있는 OU)
- Cadillacs
- Edsels (Bob의 컴퓨터 HANDEL이 들어 있는 OU)
각 도메인은 별개의 사이트이고(mtit.com은 미국에 있음) WAN 링크(T1)로 연결되어 있다.
■ 목표
여러분의 클라이언트 컴퓨터에서 실제 GPO 정책 설정이 다음과 같이 되도록 이벤트 로그 설정을 관리하려고 한다.
컴퓨터 구성
Windows 설정
보안 설정
이벤트 로그
이벤트 로그 설정
보안 로그 보관 기간
이 설정의 값은 7일이다. 실제 GPO 설정에 대한 설명은 이전 글(1부) 참고.
■ GPO와 GPO 정책 설정
다양한 사이트, 도메인 및 OU GPO와 클라이언트 컴퓨터의 로컬 보안 정책에서 서로 다르게 구성된 다음과 같은 정책 설정을 가진다 (표 참조).
| GPO 이름 | GPO가 연결될 대상 | 정책 설정 |
| Canada | canada.mtit.com | 14 일 |
| Headquarters | mtit.com | 1 일 |
| Canucks | canada.mtit.com에 대한 사이트 | 7 일 |
| Yanks | mtit.com에 대한 사이트 | 정의되지 않음 |
| PointyHaired | Bosses | 정의되지 않음 |
| FatEngineers | Slaves | 21 일 |
| DriveMePlease | Cadillacs | 정의되지 않음 |
| MyMotherGaveMeThisCar | Edsels | 3 일 |
| 로컬 보안 설정 | HANDEL에서 | 적용할 수 없음 |
■ 질문:
컴퓨터를 다시 부팅하거나 Bob이 로그온할 때 HANDEL에서 보안 로그 보관 기간에 대한 실제 설정은 몇 일인가?
정답 (아래 부분을 마우스로 선택하시면 답이 보입니다)
댓글 없음:
댓글 쓰기