윈도우 그룹정책/관리작업/절차 자동화


Microsoft/윈도우 이야기 2010.10.28 16:17



[관리작업, 정책, 절차 자동화]

 

매일 반복적인 작업을 수행하는데 항상 같은 관리 작업을 똑같이 되풀이 하는 것은 그다지 효율적인 일이 아니다. 이에 여러 관련 도구가 있다.

 

자동업데이트 : 운영체제의 자동 업데이트 수행을 담당하고 있다. 이 구성요소는 운영체제가 항상 최신 정보로 유지되도록 한다.

 

BitLocker 드라이브 암호화 : 서버의 하드 디스크에 대한 추가적인 보안계층을 제공한다. 서버에 직접 물리적으로 접근하는 공격자로부터 디스크를 보호 할 수 있는 bitlocker 암호화는 서버상에서 가능하다. (제어판 – 보안 – bitlocker 드라이브 암호화)

 

원격지원 : 보다 뛰어난 엔지니어에게 원격 지원요청을 보내 제어권을 임시로 넘겨줌.

 

원격 데스크탑

 

작업 스케줄러 : 지정된 시간에 반복적으로 컴퓨터에서 자동으로 수행되는 작업을 만들 수 있다.

( [구성]노드 확장 – 작업 스케줄러 – 작업 스케줄러 라이브러리 )

 

Windows Defender : 스파이웨어나 다른 원치 않는 소프트웨어로부터 서버를 보호한다.

([데스크탑 경험] 기능의 일부 설치 – 모든프로그램 메뉴를 통해)

 

데스크탑 경험 : 서버상에 windows vista의 데스크탑 기능을 추가로 설치한다. 이 기능을 추가하면 서버의 데스크탑 기능이 강화되고 다음과 같은 프로그램도 설치 된다.

* windows 일정 , 윈도우 메일, 윈도우 미디어 플레이어, 바탕화면테마, 윈도우용 비디오, 윈도우 사진 갤러리, 윈도우 디펜더, 디스크 정리 등등

 

윈도우 방화벽: 허가 받지 않은 사용자에 의한 공격으로부터 컴퓨터를 보호한다. (windows 방화벽과 고급기능이 제공되는 [ 고급보안이 설정된 윈도우 방화벽 ] 이 있다.

(일반 방화벽 접근 : 네트워크 및 인터넷 – 윈도우 방화벽)

(고급기능이 제공되는 방화벽 : 관리도구 – 고급 보안이 설정된 윈도우 방화벽)

 

윈도우 시간 : 윈도우 및 시스템의 시간이 정확하도록 세계 시간과 동기화 한다.

 

이 외에도 많은 기능들을 효율적이고 성공적으로 운영하기 위해서는 이 "그룹정책"이 필요하다!!!

 

 

그룹정책의 이해

그룹 정책은 관리자가 사용자와 컴퓨터의 권한, 사용 권한을 중앙에서 제어 할 수 있도록 하여 관리 작업을 단순화한다. 그룹정책으로 할 수 있는 일들은 다음과 같다.

 

꼭 알아야 할 내용.

 

그룹 정책이라는 것은 사용자와 컴퓨터를 관리하는데 도움주는 규칙들의 집합이라 볼 수 있다. 그룹 정책을 적용하는 대상의 범위는 다양하다. 그룹 정책을 적용하는 대상의 범위는 다양하다. 여러 도메인, 개별적인 시스템, 도메인 내의 하위그룹 등이 될 수 있다. 그룹정책은 윈도우 2000, 윈도우 xp 프로페셔널, 윈도우 비스타, 윈도우 서버 2003, 윈도우 서버 2008, 을 실행중인 시스템에만 적용된다.

 

그룹정책은 GPO(그룹 정책 개체, Group Policy Object)에 저장된다. GPO라는 것은 적용할 정책과 정책 설정 정보를 담고 있는 일종의 컨테이너라고 볼 수 있다. 개체 지향 프로그래밍에 대해 조금 알고 있다면, 개체 지향의 부모-자식 관계와 상속의 개념이 GPO에도 그대로 반영되어 있지 않을까 기대할 수 있는데, 기대처럼 실제로 그렇다.

 

사이트 -> 도메인 -> 조직단위 (OU)

 

이 것이 의미하는 바는 특정 사이트에 대한 그룹 정책 설정은 그대로 그 하위 도메인에게 전파되고, 또 그 그룹정책 설정은 그대로 하위 조직 단위에 전파 된다는 것이다.

 

물론 오버라이드 하는 것도 가능하다. 즉, 부모로부터 상속된 설정을 무시하고 자신이 설정한 정책 설정을 적용하는 것이 가능하다는 의미이다. 이렇게 하려면 부모로부터 상속되어 내려온 정책 설정을 무시하고 자신의 정의한 정책 설정을 적용하는 것이 가능하다는 의미이다. 이렇게 하려면 부모로부터 상속되어 내려온 정책 설정을 무시하도록 자신 컨테이너에 별도의 정책 설정을 따로 해주어야 한다. 이것을 정책 오버라이딩 이라고 한다.

 

정책 오버라이딩이 허용된다면, 자식의 정책 설정이 적용될 것이다.

 

여러 개의 정책들이 존재하면 어떤 순서로 적용될까?

 

여러 정책들이 존재한다면 그 정책들이 적용되는 순서는 다음과 같다. (번호가 작을수록 먼저 적용된다)

 

1. 로컬 그룹정책

2. 사이트 그룹정책

3. 도메인 그룹정책

4. OU 그룹정책

5. OU 그룹정책

 

그룹정책은 언제 적용되는가 ?

그룹정책은 크게 두 개의 범주로 나누어진다.

 

- 컴퓨터에 적용되는 정책

- 사용자에 적용되는 정책

 

컴퓨터 정책은 보통 시스템 시작 시에 적용되는 반면 사용자 정책은 보통 사용자 로그온 시에 적용된다. 이러한 이벤트의 순서파악이 중요한 이유는 시스템 동작의 문제 해결에 있어 중요하기 때문이다.

 

1. 컴퓨터 시작이 되면, windows server 2008의 컴퓨터정책을 적용한ㄷ. 기본적으로 컴퓨터 정책들은 위에 나열된 순서대로 한 번에 하나씩 위에서부터 적용된다.

2, windows server 2008 이 시작 스크립트 실행한다. 기본적으로 시작스크립트는 한번에 하나씩 실행이 되며, 각 스크립트가 완료되거나 시간이 초과한 경우에만 다음 것이 시작된다.

3. 사용자가 로그온 하기 위해 ctrl+alt+del을 누른다. 사용자 신원이 확인되면 사용자 프로필을 로드한다.

4. 사용자 정책을 적용하기 시작한다. 기본적으로 사용자 정책들은 앞에서 언급했던 순서대로 한번에 하나씩 위에서부터 적용된다. 사용자 정책이 적용되는 동안에는 사용자 인터페이스가 표시된다.

5. 로그온 스크립트를 실행한다. 기본적으로 그룹정책에 정의된 로그온 스크립트는 동시 실행된다. 스크립트의 실행 모습은 사용자가 특별히 지정하지 않은 이상 한화면에 표시되지 않는다. Netlogon 공유에 있는 스크립트들이 일반 명령 쉘 윈도우상에서 마지막으로 실행된다.

6. Windows Server 2008은 그룹정책상에 구성된 쉘 인터페이스를 시작한다.

7.기본적으로 그룹정책은 사용자가 로그오프하거나 컴퓨터가 재시작되는 경우에 새로 고침된다. 그러나 이동작은 그룹 정책 새로고침 간격조정을 통해 변경 될 수 있다. 이에 대해서는 "그룹 정책 새로 고침" 섹션에서 설명된다. 참고로 강제로 그룹정책을 새로고치는 명령은 gpupdate이다.

 

그룹 정책의 변경

그룹 정책의 능률적인 관리를 위한 노력의 일환으로서 Microsoft는 그룹정책 관리 기능을 Active Diretory관리도구에서 제거하고, 그룹정책 관리 콘솔(GPMC)이라는 주 콘솔을 통해 제공하고 있다. GPMC는 기능 추가 마법사를 통해 추가할 수 있다.

웹에서 받거나, vista에도 포함이 되어있다.

 

GPMC상에서 GPO를 편집하려고 할 때, GPMC는 GPME(그룹정책 관리 편집기)라는 도구를 다시 열고, 우리는 이 도구를 사용하여 정책 설정을 관리하게 된다. GPME외에도,

 

그룹 정책 스타터 GPO 편집기 : 스타터 GPO를 생성하고 관리하는데 사용하는 편집기 이다. 이름에서 알 수 있듯이 스타터 GPO는 새로운 정책 개체를 만들 때 그 시작 점을 제공하는 개체이다.

 

로컬그룹정책 개체 편집기 : 로컬 컴퓨터를 위한 정책 개체를 생성하고 관리하는데 사용하는 편집기이다. 이름에서 알 수 있듯이 로컬 GPO는 특정 컴퓨터를 위한 정책 설정을 제공할 뿐 전체 사이트, 도메인 혹은 OU를 위한 설정을 제공하는 것은 아니다.

 

로컬 그룹정책 관리

하나의 컴퓨터 내에서 여러 개의 로컬 그룹 정책 개체(LGPO: Local Group Policy Objects)사용을 허용한다. 이전에는 오직 하나의 LGPO만을 가졌다. 윈도우 서버 2008에서는 각 로컬 사용자 또는 사용자 유형마다 별도의 LGPO를 할당 할 수 있다. 이것은 정책 적용을 보다 유연하게 하고 보다 다양한 구현 시나리오를 지원한다.

 

최상위 레벨의 로컬 정책 설정에 접근

도메인 컨트롤ㄹ러를 제외하고, 윈도우 2000이상의 운영체제를 실행중인 모든 컴퓨터는 편집 가능한 로컬 그룹 정책 개체를 가지고 있다. 이는 다음 명령을 이용하면 가능하다.

 

gpedit.msc /gpcomputer: "%ComputerName%"

 

이 명령은 설정 대상을 로컬 컴퓨터로 지정하여 GPOE를 MMC에서 시작한다. " "안의 컴퓨터 네임은 로컬 컴퓨터 이름을 대체 하는 환경변수이며, ㅂ입력시 쌍따옴표로 묶어서 입력해야 한다. 원격 컴퓨터의 최상위 레벨 로컬 정책에 접근하려면 ,

 

gpedit.msc /gpcomputer: "%RomoteComputer%"

 

여기서 리모트 컴퓨터는 원격 컴퓨터의 호스트명 또는 FQDN이다.

 

사이트, 도메인, 조직단위(OU)정책 관리

 

사이트, 도메인, 조직 단위(OU) 정책 관리그룹 정책 목록상 상위에 있는 그룹 정책들은 하위에 있는 그룹 정책보다 보다 높은 우선 순위를 가진다.

 

도메인과 기본정책에 대한 이해

조직 내의 각 도메인은 두 개의 기본 GPO를 가진다.

 

- 기본 도메인 컨트롤러 정책 : 도메인 컨트롤러 OU를 위해 생성되고, 연결된 GPO이다.

- 기본 도메인 정책 GPO : 해당 도메인 자체를 위해 도메인 내의 모든 사용자와 컴ㅁ퓨터에 적용할 다양한 정책 설정에 대한 기준 정보.

 

기본 도메인 컨트롤러 정책은 최상위 순위를 가진 GPO이다.

기본 도메인 정책 GPO는 기본 계정 정책 설정과 특히 계정 정책의 세가지 영역을 관리하게 된다. 그리고 네가진 보안 옵션 역시 이 GPO를 이용해 관리한다.

네가지 보안옵션 : administrator 계정 이름 바꾸기, Guest 계정 이름 바꾸기, 네트워크 보안: 로그온 시간이 만료되면 강제로 로그오프, 네트워크 액세스,

 

오버라이드 : 재정의 (& 오버로딩 : 중복)

 

이러한 그룹정책들은 도메인 컨트롤러 상의 다음폴더에 저장이된다

 

/%SystemRoot%/Sysvol/Domain/Policies

 

이 폴던 내에는 도메인 컨트롤러 상에 정의한 각 정책에 대한 하위폴더가 포함되어 있는데, 그 폴더명은 GUID이다.

 

그룹 정책 관리 콘솔 사용

[관리도구]에서 GPMC를 실행해보자.

 

적절한 권한을 가진 사용자 정보(도메인 어드민계정)으로 로그온 하게 되면, 다른 포리스트로의 연결의 추가할 수도 있다. 이를 위해서는 [그룹 정책 관리]노드에서 마우스 오른쪽 버튼 클릭 [포리스트 추가]를 선택하여, 포리스트 루트 도메인 이름을 입력한 후 확인을 클릭한다.

 

그럼 다음과 같은 노드들이 표시된다.

- 도메인 : 선택한 포리스트 내의 도메인을 위한 정책 설정에 대한 접근을 제공한다.

- 사이트 : 선택한 포리스트 내 사이트를 위한 정책 설정에 대한 접근을 제공한다.

- 그룹정책 모델링 : 이 마법사는 정책 배포 계획과 테스팅을 위해 설정을 시뮬레이트 할 수 있게 해준다.

- 그룹정책결과 : 그룹 정책 결과 마법사로의 접근을 제공한다. 이 마법사는 특정사용자나 컴퓨터의 정책 설정을 확인 할 수 있게 해준다.

신고

WRITTEN BY
ShakeJ

0 ,