그룹 정책. 거의 모든 Windows 관리자가 잘 알고 있는 서비스입니다. 하지만 그룹 정책이란 무엇일까요? 그룹 정책은 구성 설정을 적용하고 소프트웨어를 설치하며 스크립트를 실행하고 기타 작업을 Active Directory (AD) 도메인에 가입된 수천 대의 컴퓨터에 걸쳐 수행하는 일반적인 방법입니다.
그룹 정책의 기능을 확장하고 세밀한 암호 정책의 관리를 간소화하려면 Specops Password Policy를 사용하여 사전 및 암호구 설정을 GPO 수준, 그룹, 사용자 또는 컴퓨터에 적용하세요. 무료로 사용해 보세요!
그룹 정책은 많은 다른 서비스와 워크플로우로 구성되어 있습니다. 대부분의 관리자들은 아마도 내부 작동 방식을 잘 모르고 있을 것입니다! 이 글에서는 그 상세 내용을 알려드릴 예정입니다.
그룹 정책이 무엇이고 어떻게 작동하는지 알고 싶다면, 한 가지도 빠짐없이 알려드릴 테니 계속해서 참고해 주세요!
그룹 정책 객체 (GPO)란 무엇인가
GPO는 그룹 정책의 핵심입니다. GPO는 도메인에 가입된 컴퓨터에 수행할 많은 다른 설정을 포함하는 개별 정책입니다.
Windows 10/2019 Server에는 Windows의 모든 관련 측면을 다루는 다섯 천 개 이상의 설정이 있습니다. 게다가 특정 응용 프로그램을 위해 더 많은 설정을 가져올 수도 있습니다. Office, Microsoft Edge, Google Chrome, LAPS-E 등이 그 중 일부입니다. 또한 직접 만들 수도 있습니다.
GPO를 단순히 하나의 정책으로 생각하세요. GPO는 로그온 스크립트 설정, 사용자의 데스크톱 변경, 소프트웨어 설치 등의 작업을 수행하는 지침을 포함하는 매니페스트입니다.
Active Directory는 GPO를 도메인 컨트롤러 간에 복제되는 Active Directory 데이터베이스에 저장합니다.
GPO에는 컴퓨터 및 사용자를 위한 두 가지 “카테고리”의 설정이 있습니다. 이러한 “카테고리”는 GPO 내의 설정이 컴퓨터에 적용되는 방식을 정의합니다. 예를 들어, 사용자의 배경을 변경해야 하는 경우, 이는 사용자 설정이 됩니다. 시스템 전체 소프트웨어를 설치해야 하는 경우, 이는 컴퓨터 설정이 됩니다.
GPO를 만든 후에는 해당 GPO를 OU 내의 컴퓨터 또는 사용자 집합에 대상으로 지정합니다. 컴퓨터는 주기적으로 새로운 GPO를 찾아 그 설정을 적용합니다 (자세한 내용은 이후에 설명됩니다).
그룹 정책 템플릿이란 무엇인가요?
그룹 정책이 주요 구성 요소라면, 그룹 정책 템플릿 (GPT)은 다음으로 중요한 개념입니다. GPT는 GPO와 밀접한 관련이 있습니다.
액티브 디렉터리는 GPO(그룹 정책 개체)를 SYSOL에 저장합니다. 이는 DC(도메인 컨트롤러)에 파일을 배포하기 위한 파일 공유입니다. GPT(그룹 정책 템플릿)에는 레지스트리 설정, 보안 파일, 응용 프로그램, 스크립트 및 설치 프로그램, 바로 가기, XML 파일, 그래픽 파일 등이 포함됩니다. 이는 해당 GPO에서 정의한 설정에 따라 다릅니다.
GPMC(그룹 정책 관리 콘솔)로 그룹 정책 관리하기
그룹 정책은 GPMC(그룹 정책 관리 콘솔)를 통해 제어됩니다. 이 콘솔은 모든 도메인 컨트롤러에 설치되며 원격 서버 관리 도구(RSAT)의 일부입니다. GPMC는 그룹 정책을 변경하기 위해 PDCe(기본 도메인 컨트롤러 역할)를 가진 도메인 컨트롤러에 연결합니다.
GPMC 내에서는 그룹 정책 개체(GPO)를 액티브 디렉터리 조직 단위(OU), 액티브 디렉터리 사이트 등에 생성하고 할당할 수 있습니다.
그룹 정책 복제 작업 방식
이전에 언급한 대로 GPO와 GPT는 AD의 일부입니다. 따라서, 일반적인 Active Directory 복제 과정의 일부입니다.
A specific workflow kicks off when you create/update a new GPO and target it to an Active Directory OU.
- GPMC를 통해 GPO가 변경되면 GPMC는 PDCe DC에 연결됩니다.
- 그런 다음 GPMC는 Active Directory 데이터베이스 내에서 GPO를 생성하거나 수정하고 SYSVOL에 GPT를 생성/업데이트합니다.
- 수정된 후에는 AD 복제가 수행되어 AD 복제 일정에 따라 GPO와 GPT가 다른 DC에 복제됩니다. 복제는 일반적으로 “로컬” DC와 PDCE가 동일한 사이트에 있는 경우 최대 5분이 걸리며, 다른 사이트에 있는 경우 더 오래 걸릴 수 있습니다.
DC는 GPMC로 생성된 GPT도 SYSVOL로 복제하지만 이는 별도의 복제 메커니즘인 DFS-R을 통해 수행됩니다. SYSVOL의 복제 일정은 AD 데이터베이스의 복제 일정과 동일합니다. GP의 구성 요소 모두가 로컬 DC에 거의 동시에 도착해야 합니다.
GPO의 적용 방법
따라서 GPMC가 GPO/GPT를 생성하고 AD 환경의 모든 DC에 복제되었습니다. 이제 클라이언트가 정책을 가져오도록 클라이언트가 DC를 확인해야 합니다.
클라이언트는 정의된 그룹 정책 갱신 간격을 따릅니다. 이 간격은 DC(Domain Controller)에서 변경 사항을 정기적으로 확인하는 시간입니다. 기본적으로 갱신 간격은 90분으로 설정되어 있으며, 0분부터 30분까지의 임의의 오프셋이 추가됩니다.
DC에 정책이 적용된 경우, 기본 갱신 간격은 단 5분입니다.
갱신 간격이 지나면, 클라이언트의 그룹 정책 클라이언트 서비스는 DC에서 새로운 정책이나 변경된 정책이 있는지 확인합니다. 발견되면, 이러한 정책을 다운로드하고 클라이언트 컴퓨터에서 지시사항을 실행하기 시작합니다.
그룹 정책 클라이언트 서비스는 즉시 새로운 설정을 적용하지 않을 수 있습니다. 로그온 후, 리다이렉트된 폴더, 다음 재시작 등과 같이 일부 설정은 즉시 적용되지 않습니다.
일부 변경 사항이 없더라도 그룹 정책은 적용될 수 있습니다. 좋은 예로, 보안 설정이 있습니다. 이 설정은 컴퓨터 시작 시와 16시간마다 다시 적용됩니다(컴퓨터가 중간에 재시작되지 않은 경우). 이는 중요합니다: 특정 보안 구성에 변경 사항이 있으면 다음 갱신에서 해당 변경 사항이 복원됩니다(Windows 방화벽의 개방된 포트 또는 로컬 컴퓨터의 제한된 그룹에 추가되거나 제거된 멤버 등).
다른 설정은 GP가 변경되지 않았더라도 다시 적용되도록 구성될 수 있습니다. GP 클라이언트의 동작을 레지스트리를 통해 또는 그렇게 추측해 보세요, GP를 통해 특정 유형의 설정을 제어할 수 있습니다.
동적 엔드 유저 피드백과 함께 Active Directory에서 컴프라마이즈된 암호를 차단하고 더 강력한 암호를 만들도록 도와줘서 30억 개 이상의 침해된 암호를 차단하고 규정 준수 요구 사항을 강화하세요. Specops Password Policy에 대해 오늘 저희에게 문의하세요!
결론
만약에 “Group Policy가 무엇인가요?”라고 스스로 질문한 적이 있다면, 이 튜토리얼이 그 질문에 대한 답변을 할 수 있기를 바랍니다. Group Policy는 오랜 시간동안 사용되어온 시스템이며, 여전히 수천 개의 조직에서 사용되고 있습니다. Windows 컴퓨터 환경 전체에 변경 사항을 적용해야 하는 많은 사람들에게 필수적인 도구입니다.
도메인에 가입된 하나, 열 또는 1,000대의 컴퓨터에 변경을 수행해야 하는 경우, Group Policy가 무엇인지 잘 알고 있어야 합니다.