Active Directory를 사용하는 IT 전문가라면, 그룹 정책을 사용하여 사용자 컴퓨터와 기업 서버의 Windows 환경을 구성할 수 있습니다. 그룹 정책 객체(GPO)를 사용하여 그룹 정책을 만들고 연결, 삭제, 비활성화하는 방법을 설명하겠습니다. 이 문서를 마치면 그룹 정책의 복잡한 세계의 세세한 부분을 더 잘 이해하게 될 것입니다.
GPO 작업
GPO를 사용하는 두 가지 방법이 있습니다: 로컬 컴퓨터에서 정책을 조정하기 위해 로컬 그룹 정책 편집기를 사용하거나 기업 환경에서 작업하기 위해 그룹 정책 관리 콘솔(GPMC)를 사용할 수 있습니다. 로컬 정책이 도메인 정책보다 먼저 처리되고 견고한 환경을 유지하고 설계하기 위해, 이 문서에서는 기업 시나리오에 초점을 맞출 것입니다.
그룹 정책 RSAT 도구 설치
그룹 정책 관리 콘솔은 전통적인 원격 서버 관리 도구 (RSAT) 도구 세트의 일부입니다. 이는 MMC(Microsoft Management Console) 기반 도구로, 현대적인 Windows 설정 앱과 함께 Windows에 설치됩니다. 다음에 설치하는 방법을 보여 드리겠습니다.
도메인 컨트롤러 (DC)에서 그룹 정책 설정은 ‘SYSVOL’ 공유 폴더에 저장되어 도메인 내 모든 다른 DC에 복제됩니다 (그리고 포리스트, 그렇게 설정한 경우). 이는 그룹 정책 인프라의 내장된 중복성을 설명합니다.
그룹 정책 관리 콘솔 도구를 설치하는 방법을 보여드리겠습니다. Hyper-V 랩에서 Windows Server 2022 Active Directory 도메인을 실행 중인 환경을 사용하겠습니다. Windows 10 버전 22H2 워크스테이션에 로그인했으므로 시작해 봅시다:
- 먼저 시작 버튼을 클릭하고 ‘optional’을 입력합니다.
- ‘선택적 기능 관리‘를 클릭하고 위쪽에 있는 ‘기능 추가’ 버튼을 클릭합니다.
- 아래로 스크롤하여 ‘RSAT: 그룹 정책 관리 도구’에 체크 표시를 하고 설치를 클릭합니다.
- 완료되면 시작을 클릭하고 ‘Windows 관리 도구’를 엽니다.
- ‘그룹 정책 관리‘를 두 번 클릭합니다.
이제 그룹 정책 관리 콘솔이 나타납니다. 여기서 그룹 정책이 어떻게 구성되고 조직 내에서 특정 논리적 엔티티를 대상으로하는 방법에 대해 소개됩니다.
이 시점에서 IT 전문가들은 보안 및 규정 준수 팀과 상의하여 다음 중 하나를 수행할 수 있습니다:
- 기존 그룹 정책 개체(GPO) 수정
- 새로운 GPO 생성
- 특정 GPO의 필터링을 그룹 수준에서 수정
- WMI 필터링을 사용하여 특정 컴퓨터를 대상으로합니다.
‘테스트’ 또는 ‘What-If’ 시나리오를 수행하려면 그룹 정책 모델링 및 결과를 사용하십시오.
새 GPO 만들기
다른 방법으로 사용자 컴퓨터를 수정하는 방법을 보여줄 새로운 설정을 만들어 보겠습니다.
- 먼저 ‘도메인 Windows 컴퓨터’를 마우스 오른쪽 단추로 클릭하고 ‘이 도메인에서 GPO 만들기 및 여기에 연결하기…’를 클릭합니다.
- I will name it ‘Start Menu Cleanup‘ and click OK.
- 그런 다음 새 GPO를 마우스 오른쪽 단추로 클릭하고 편집을 클릭합니다.
- 컴퓨터 구성 -> 정책 -> 관리 템플릿 -> 시작 메뉴 및 작업 표시줄로 이동하겠습니다.
- 여기서 종료, 다시 시작, 절전 및 최대 절전 명령에 대한 액세스 제거 및 방지를 두 번 클릭합니다.
- 도움말을 읽은 후 사용으로 전환하고 확인을 클릭합니다.
이 설정은 이제 환경에서 실시간으로 적용됩니다. 해당 OU의 모든 컴퓨터 객체는 다음 새로고침 시 이 설정을 볼 수 있습니다. 기본적으로 도메인 컴퓨터 및 서버는 30분의 랜덤 오프셋을 가진 90분마다 그룹 정책을 처리합니다. 그러나 테스트(및 문제 해결)할 때 gpresult 명령어가 도움이 됩니다.
컴퓨터를 강제로 그룹 정책을 업데이트하도록 하려면 즐겨 사용하는 터미널/셸에서 다음 gpupdate 명령어를 실행할 수도 있습니다. 이렇게 하면 컴퓨터와 로그인한 사용자의 모든 그룹 정책 변경 사항이 처리됩니다. ‘/force’ 스위치는 승인 요청 없이 변경 사항을 강제로 적용합니다.
gpupdate /force
좋아요, 변경 사항이 이제 처리되었습니다. 시작 단추를 마우스 오른쪽 버튼으로 클릭하고 종료 또는 로그오프 메뉴로 이동하면… 작동합니다! 제거하도록 설정한 항목들이 이제 숨겨졌습니다.
이러한 비교적 간단한 변경으로 사용자가 컴퓨터를 다시 시작하거나 종료하지 못하게 방지할 수 있습니다. 분명히, 이러한 설정과 관련된 많은 변수와 사용 사례가 있습니다. 어떤 상황에서는 이상적이고 다른 경우에는 고통스러울 수 있습니다. 이것이 IT 전문가로서 조직에 가장 적합한 방법을 결정하기 위해 겪게 될 균형입니다.
GPO 연결
기존 GPO를 Active Directory의 특정 위치에 연결하는 방법을 보여드리겠습니다. 이전 생애에서 저는 ‘Domain Controller Security Lockdown’이라는 GPO를 만들었습니다. 이 GPO의 설정에는 저희 회사의 지침에 따른 도메인 컨트롤러의 보안 준수 기준이 포함되어 있습니다. 이러한 새로운 설정을 쉽게 저의 도메인 – reinders.local의 DC에 연결할 수 있습니다.
- 먼저, 도메인 컨트롤러 OU를 오른쪽 클릭하고 기존 GPO 연결을 선택합니다.
- 다음으로, 목록에서 Domain Controller Security Lockdown을 선택하고 확인을 클릭합니다.
이제 해당 GPO가 도메인 컨트롤러에 연결되어 있음을 알 수 있습니다. 다음 번에 저희 DC가 그룹 정책 업데이트를 확인할 때 해당 GPO의 설정을 처리합니다. 이것이 한 번 생성하고 제작한 설정 그룹을 쉽게 환경의 컨테이너에 배포(연결)할 수 있는 중앙 제어의 아름다움입니다. 완료되었습니다!
기존 GPO 수정
저의 도메인 – reinders.local을 살펴보겠습니다.
이것이 실험실이기 때문에, 이는 상당히 기본적이며 거의 primitiv합니다. 대규모 기업에서는 단일 도메인에 수백 개 또는 수천 개의 GPO를 발견하는 것이 흔하지 않습니다. 특정 운영 체제를 대상으로 하는 WMI를 사용하여 일부 GPO의 상속 복잡성, 로컬 GPO, 하위 OU 및 혼합된 로컬 정책과의 처리 – 모든 것이 상당히 두려울 수 있습니다.
또한 도메인 내 GPO의 숫자가 많아지면 컴퓨터 부팅 및 사용자 로그인 시 전반적인 성능에 일부 페널티가 발생하기 시작합니다. 오늘날 아마 가장 큰 논쟁은 아마도 다음과 같을 것입니다: 각각에 하나의 설정만 포함하여 다수의 GPO를 생성하여 관리 용이성을 높이는 것인가? 아니면 처리 시간을 줄이기 위해 정책 변경이 포함된 소수의 GPO를 생성하는 것인가? 이것은 아마도 별도의 기사가 될 수 있습니다!
GPO 범위
I previously installed Windows Server Update Services (WSUS) – there’s my GPO for the setup – ‘WSUS_Config_01’. If I click on it, you’ll see the scope defined.
위치는 도메인의 루트(reinders.local)에 있습니다. 이는 기본적으로 도메인 내 모든 컴퓨터 및 서버 객체가 이 GPO를 볼 수 있고 이를 적용할 것을 의미합니다. 다시 말하면, 특정 사용자, 컴퓨터, OU 및 보안 그룹을 걸러내는 방법이 있습니다. 이에 대해서는 나중에 더 다루겠습니다.
여기서 보안 필터링 섹션에는 인증된 사용자 그룹이 표시됩니다. 이는 거의 ‘모두’를 의미합니다: 도메인에 인증된 모든 계정이 이 GPO를 볼 수 있을 것입니다.
WMI 필터링
WMI 필터링 설정 아래에서 특정 SKU를 대상으로 지정할 수 있습니다. 예를 들어, 특정 WSUS 설치를 Windows 10 버전 21H2 및 22H2 컴퓨터에만 적용할 수 있습니다.
GPO 편집
GPO를 편집하는 방법을 보여드리겠습니다.
- 먼저, 수정하려는 GPO에 마우스 오른쪽 버튼을 클릭하고 ‘편집…‘을 클릭합니다.
- A new window will open showing you the logical layout – Computer Configuration and User Configuration trees.
- WSUS 설정을 찾으려면 컴퓨터 구성 -> 정책 -> 관리 템플릿 -> Windows 구성 요소 -> Windows 업데이트를 확장합니다.
- 여기에서 ‘활성화’ 또는 구성된 두 가지 설정을 볼 수 있습니다. 자동 업데이트 구성을 열어봅시다.
이것은 좀 더 복잡한 설정이지만, 기본 아이디어를 이해하실 수 있습니다. 이것은 내 도메인에 Windows 업데이트가 적용되는 방법에 대한 설정입니다. 꽤 세밀하죠? 하지만, 여기서 중요한 점은 모든 컴퓨터(또는 일부)를 여기에서 중앙에서 관리할 수 있다는 것입니다.
다음은 GPO가 컴퓨터의 설정을 “잠그 는” 방법의 예입니다. ‘다른 Microsoft 제품에 대한 업데이트 설치‘ 옵션이 아래쪽에 선택되어 있는 것을 눈치채셨나요? 이 워크스테이션에서 ‘Windows Update‘ -> ‘고급 옵션‘을 확인하면 첫 번째 설정인 ‘Windows 업데이트 시 다른 Microsoft 제품에 대한 업데이트 받기’가 이제 그룹 정책에 의해 제어되고 있음을 알 수 있습니다. 이 옵션은 ‘설정’으로 표시되고 회색으로 표시되어 편집할 수 없습니다.
바로 이것이 위쪽에 있는 “일부 설정은 조직에서 관리됩니다”라는 문구의 의미입니다. 기술적으로, 이는 해당 컴퓨터에 일부 그룹 정책이 적용되었으며 해당 설정을 조정할 수 없음을 의미합니다.
기본 GPO 관리
새 도메인을 만들 때 ‘기본 도메인 정책’과 ‘기본 도메인 컨트롤러 정책’이라는 두 개의 GPO가 생성됩니다. 최소한 이러한 GPO는 도메인 암호 정책, 계정 잠금 정책, Kerberos 정책, 기본 보안 옵션 및 기타 네트워크 보안 옵션을 결정합니다.
수십 년 동안 IT 전문가로서 이러한 2가지 정책을 수정해서는 안 되며, 대신 새로운 GPO를 만들어야 한다고 강력하게 권고되어 왔습니다. 이렇게 해야 하는 이유는 여러 가지지만, 가장 근본적인 이유는 도메인 문제 해결 시 기본 구성이 변경되지 않았음을 확신할 수 있기 때문이라고 생각합니다.
이것은 오랜 시간 동안 Microsoft 기술 지원과 함께 작업하면서 Active Directory/그룹 정책 문제에 대해 작업했을 때 그들로부터 가장 먼저 받은 질문이었습니다. 그들은 그 핵심 설정을 알고 있으며 정확한 기준선을 설정하기 위해 바닷바닥에서 시작해야 합니다.
그래서 기본 GPO를 관리하는 방법에 대한 나의 권장도 동일합니다 – 하지 마세요!
GPO 비활성화
특정 GPO를 비활성화하고 미래 컴퓨터에 적용되는 설정을 방지하려면 해당 GPO를 마우스 오른쪽 버튼으로 클릭하고 링크 비활성화를 클릭하십시오. 그렇게 하면 링크가 제거되고 GPO가 “휴면” 상태로 설정됩니다.
GPO 삭제
정리 및/또는 문제 해결을 수행하는 경우 해당 GPO를 마우스 오른쪽 버튼으로 클릭하고 삭제를 클릭하여 삭제할 수 있습니다. 철저하고 효율적으로 하려면 트리에서 그룹 정책 개체 보기로 이동하여 삭제하십시오.
결론
그룹 정책을 구현하는 것은 처음에는 속임수 같이 간단합니다. 그룹 정책 개체 인프라를 구성하는 것은 상당히 쉽습니다. 그러나 특정 컴퓨터의 Office 설치가 자동으로 업데이트되는 이유를 확인하고 유효성을 검사하며 나중에 사용자에게 프롬프트가 표시되는 이유를 해결하는 것은 재미있는 과정입니다.
모든 것을 종합하면 이야기의 교훈은 매우 간단합니다: 테스트하고, 테스트하고, 테스트하세요! 처음에 가능한 한 많이 확인하고 준수를 얻을수록 환경이 더 효율적이고 간소화됩니다. 문제 해결이 쉬워지고 새로운 정책을 활성화하는 것도 쉬워집니다.
아래에 질문이 있으면 댓글을 남겨주세요!