이 글에서는 GPO를 구성하는 서로 다른 5가지 분류의 설정에 대하여 자세하게 살펴보게 된다. 5가지 분류는 다음과 같다.
- 관리 템플릿(Administrative Templates):사용자 데스크탑 환경을 관리하는 데 주로 사용됨
- 폴더 재지정(Folder Redirection): 내 문서나 다른 사용자 폴더의 위치를 중앙화된 네트워크 저장소로 재지정 하는 데 사용됨
- 스크립트(Scripts): 시작, 종료, 로그온, 로그오프 스크립트를 구성할 수 있게 함
- 보안(Security): 암호 정책, 계정 잠금 및 다른 네트워크 보안 항목을 구성할 수 있게 함
- 소프트웨어 설치(Software Installation): Windows 2000 클라이언트에서 원격으로 소프트웨어를 설치하고 관리하는 데 사용됨
이 글에서는 관리 템플릿에 대하여 다룰 것이며, 다른 분류에 대해서는 나중에 다루게 될 것이다.
관리 템플릿
관리 템플릿 설정은 다음 두 항목에 나타난다.
- 컴퓨터 구성 (컴퓨터를 사용하는 모든 사용자에게 적용함)
- 사용자 구성 (현재 로그온된 사용자에게 적용함)
관리 템플릿: 컴퓨터 정책
그림 1은 관리 템플릿에 대한 컴퓨터 설정을 보여준다. 이 설정에 다른 하위 분류도 있다는 것에 주의해야 한다.
<그림 1>
컴퓨터 정책은 사용자를 위해 백그라운에서 작업하는 부분(로그온, 보안, 디스크 할당량, 소프트웨어 설치 등)을 주로 다루며 사용자의 데스크탑 관리 및 잠금은 다루지 않는다(사용자 정책에서 주로 다룸).
몇 가지 주의해야 할 컴퓨터 정책은 다음과 같다.
- Windows 구성 요소\Internet Explorer: 사용자가 보안 영역 설정을 변경하거나 영역에 새 사이트를 추가 또는 추가 구성 요소를 다운로드 및 설치하지 못하도록 한다.
- Windows 구성 요소\작업 스케줄러: 사용자가 새 작업을 만들거나 작업을 삭제 또는 수동으로 시작, 종료하는 등을 할 수 없게 한다.
- Windows 구성 요소\Windows 설치: 사용자가 자신의 시스템에 소프트웨어를 설치할 때 Windows 설치를 사용할 수 없도록 하거나, 기타 다양한 방식으로 작동을 제어할 수 있다.
- 시스템: 사용자가 터미널 서비스로부터 연결을 끊거나, 시작/종료 및 로그온/로그오프 동안에 시스템 메시지를 억제(또는 삭제)하거나 자동 실행을 사용할 수 없도록 하는 것들을 통제한다. 더 나아가 Windows를 시작할 때 특정 프로그램을 실행하거나 문서를 열 때, 파일을 EFS 암호화된 폴더로 옮길 때 암호화되지 않도록 하는 등등을 할 수 있도록 관리한다.
- 시스템\로그온: 로그온 스크립트가 다 실행될 때까지(다시 말해, 동기적으로 차례차례 실행될 때까지) 데스크탑을 시작하지 못하게 하고, 시작 스크립트가 비동기적으로(동시에) 실행될 수 있도록 하며, 실행할 스크립트에 대해 시간 제한을 설정한다. 기본값은 10분인데 사용자가 너무 느리다고 불평하는 경우 로밍 프로파일(roaming profile)의 로컬 캐시를 사용하지 않게 하는(많은 사용자가 같은 시스템을 공유하거나 네트워크 연결 속도가 느릴 때 사용) 방법 등을 사용한다.
- 시스템\디스크 할당량: 할당량을 사용할 수 있게 하고 적용한다.
- 시스템\DNS 클라이언트: 주 DNS 접미사를 지정하고 영향 받는 컴퓨터에서 사용자가(관리자도 포함) 수동으로 변경하지 못하게 한다.
- 시스템\그룹 정책: 그룹 정책을 백그라운드에서 주기적으로 새로 고치지 않게 하고(대신에 시작/종료 및 로그온/로그오프 동안에만 그룹 정책이 적용되도록), 새로 고침 간격을 변경하며(WAN 링크 속도가 느릴 때 좋음), 그룹 정책이 완전히 적용될 때까지 사용자가 로그온을 기다리도록 하고(좋은 생각!), 특정한 종류의 정책 설정이 언제 업데이트 되는지를 지정할 수 있다.
- 네트워크\오프라인 파일: 영향 받는 시스템에 대해 오프라인 파일 설정을 가능하게 한다. 근사하다!
- 네트워크\네트워크와 전화접속: Internet Connecting Sharing (ICS) 을 사용할 수 있게 한다(기본적으로는 사용 안함).
- 프린터: 프린터를 Active Directory에 게시할지 여부를 구성하고 도메인 컨트롤러가 네트워크에서 비활성 프린터를 정리하는 방법을 구성한다.
▶아래 정책을 참고하기 바란다.
- 관리 템플릿\Windows 구성 요소\작업 스케줄러\새 작업 만들기 사용 안함
이 정책은 GPO의 컴퓨터 구성 섹션과 사용자 구성 섹션 둘 다에 나타나는 정책 설정의 한 예이다. 이와 같은 정책의 경우에, 컴퓨터 구성의 정책이 사용자 구성의 정책에 우선한다(나중에 적용됨). 이런 이중 정책이 많이 있으나 이들 정책에 대해 등록 정보 시트의 설명 탭에서 분명하게 정의되어 있다(정책 설정을 두 번 클릭한 다음 설명 선택).
▶의심스러울 때 컴퓨터에 관리자로 로그온 되어 있는데 일부 설정을 구성할 수 없는 경우에는, 기업 내에 어딘가에 있는 GPO가 아마도 설정을 방해하는 것일 수 있다.
관리 템플릿: 사용자 정책
그림2에서는 관리 템플릿의 사용자 설정이 나타나있다. 이 설정에 다른 하위 분류도 있는 것에 주의해야 한다.
<그림 2>
컴퓨터 정책 보다 사용자 정책이 더 많이 있으며 사용자 정책의 대부분은 사용자 데스크탑의 일부 항목을 관리하고 잠그는 일을 다룬다.
몇 가지 주의해야 할 사용자 정책은 다음과 같다.
- Windows 구성 요소\Internet Explorer: 사용자 바탕 화면에 있는 IE의 모양과 기능을 제어하고 잠그는데 필요한 설정이다. IE는 매우 복잡한 도구이기 때문에 이와 관련된 설정이 많은 편이다.
- Windows 구성 요소\Windows 탐색기: 이 도구가 보여지고 동작하는 방법을 잠근다.
- Windows 구성 요소\Microsoft 관리 콘솔: 사용자가 기존의 콘솔(관리 도구)을 작성 모드로 열지 못하게 하고 사용자가 특정 스냅인(snap-ins)을 사용 하지 못하게 한다.
- 시작 메뉴 및 작업 표시줄: 시작 메뉴 및 다른 기타 설정을 숨긴다.
- 바탕화면: 바탕화면에서 네트워크 환경과 같은 특정 아이콘을 숨기고, 액티브 데스크톱을 사용할 수 있게 하고 관리하며, 사용자가 Active Directory를 검색하는 방법을 제어한다.
- 제어판: 지정된 제어판 애플릿을 숨기고 이들 애플릿의 일부 작동을 제한한다.
- 네트워크: 오프라인 파일을 구성하고 LAN 및 RAS 연결을 구성한다.
- 시스템: 레지스트리 편집 도구를 사용하지 않게 하고(좋음!), 자동 실행과 명령 프롬프트도 사용하지 않게 하며, 실행될 수 있는 Windows 응용 프로그램을 지정하거나 또는 Explorer.exe를 사용자가 제공하는 다른 GUI 인터페이스로 바꾼다.
- 시스템\로그온/로그오프: 작업 관리자, 컴퓨터 잠금, 암호 변경을 사용할 수 없게 하고, 열려 있는 Windows 보안 대화 상자에서 Ctrl+Alt+Del 키를 눌러서 로그오프할 수 없게 한다. 또한 사용자 프로파일의 크기를 제한하거나 로그온/로그오프 스크립트를 관리하는 등등을 수행한다.
- 시스템\그룹 정책: 그룹 정책이 적용되는 방법의 다양한 항목을 관리한다.
댓글 없음:
댓글 쓰기