활성 디렉터리(AD) 그룹 정책 개체(GPO)를 수백 대 또는 수천 대의 대상 컴퓨터에 적용하면 모두가 그것을 수신하는 데 시간이 걸릴 수 있습니다. 컴퓨터가 새 정책을 수신하거나 업데이트된 정책 설정을 검색하는 방법은 무엇인가요? RSOP 도구를 사용합니다.
RSOP 도구 또는 정책의 결과 집합은 내장된 Windows 도구로 로컬 및 원격 컴퓨터에 적용된 정책 설정을 확인할 수 있게 해줍니다. PC에서 GPO가 설정하는 구성이 궁금하다면 계속 읽어보세요!
시작해 봅시다.
전제 조건
이 튜토리얼은 몇 가지 다른 데모를 실행합니다. 따라하려면 다음이 있는지 확인하세요:
- 활성 디렉터리 도메인 – AD의 모든 버전이 작동합니다. 이 튜토리얼에서는 HomeLab.Local이라는 도메인을 사용합니다.
- A domain-joined Windows PC with at least one GPO applied to it to test local GPOs. This tutorial will use a PC called Win10VM1.
- A second domain-joined Windows PC if you want to run RSOP remotely. This tutorial will use a PC called Win10VM3.
- TCP 포트 445, 135, RPC 동적 포트, 그리고 WMI를 위한 모든 포트가 원격 컴퓨터에서 열려 있습니다. 모든 포트가 열려 있는지 확인하려면 그룹 정책 보고 방화벽 포트라는 시작 GPO를 만들 수 있습니다.
- 로컬 PC와 원격 PC 모두에 로컬 관리자 권한이 있어야 합니다.
- A GPO with an AD group configured with deny permissions. DeniedGPOUsers AD group with no users added to it and deny permissions will be used in this tutorial.
RSOP 도구는 무엇인가요?
Active Directory에서 컴퓨터에 GPO를 할당할 때 해당 컴퓨터는 도메인 컨트롤러에 연결하여 정의된 GPO 새로고침 간격을 기반으로 해당 GPO를 곧바로 확인한 후 해당 GPO가 정의한 설정을 적용하려고 시도해야 합니다.
그 컴퓨터가 GPO 설정을 적용하면 해당 정책 설정은 공통 정보 관리 객체 모델 (CIMOM) 데이터베이스에 Windows Management Instrumentation (WMI)을 사용하여 컴퓨터에 저장됩니다. 이 적용된 설정을 검사하려면 RSOP 도구를 실행하십시오. RSOP 도구는 PC의 사용자 및 컴퓨터에 대해 적용된 (또는 계획된) 정책에 대한 보고서를 생성합니다.
RSOP는 여러 충돌 정책이있는 경우 문제 해결에 탁월합니다. RSOP를 사용하면 어떤 GPO가 우선되고 다른 것을 덮어쓰는지 검사할 수 있습니다.
모드
RSOP에는 대상 컴퓨터에 GPO가 어떻게 영향을 미치는지 찾는 데 도움이되는 두 가지 다른 모드가 있습니다. 로깅 및 계획 모드
- 로그 모드 – 로그온 한 모든 사용자 및 컴퓨터에 대한 모든 적용된 정책에 대한 보고서를 생성하는 데 사용되는 RSOP의 가장 일반적인 용도입니다.
- 계획 모드 – RSOP의 덜 일반적인 사용으로 하나 이상의 GPO가 적용된 경우 컴퓨터에 적용될 설정을 시뮬레이트할 수 있습니다. 예를 들어 사용자가 다른 AD 그룹으로 이동 될 때 어떤 일이 발생할지 결정하는 데 계획 모드가 작동합니다.
RSOP를 사용하여 지역 적용된 GPO 검사
이제 RSOP의 실제 실행 예시를 살펴보겠습니다. 먼저 RSOP 도구를 실행하는 방법과 예상되는 정보에 대해 알아보겠습니다.
로컬 도메인에 가입된 Windows PC에서 관리자 권한으로 명령 프롬프트나 PowerShell 창을 엽니다.
명령 프롬프트나 PowerShell을 관리자 권한으로 실행하지 않으면 RSOP가 컴퓨터 설정(로그인한 사용자의 설정만)에 접근할 수 없습니다. RSOP를 실행하면 권한이 부족하다는 오류가 표시됩니다.
다음으로, 명령어 rsop.msc를 실행합니다. 이 작업은 RSOP MMC 스냅인을 표시합니다.
RSOP를 실행하면 즉시 적용된 모든 정책을 읽고 보고서를 생성합니다. RSOP는 기본적으로 기록 모드로 설정됩니다. 아래에서는 사용자 이름이 LabAdmin인 컴퓨터 WIN10VM1에서 RSOP를 실행한 결과를 볼 수 있습니다.
각 폴더를 확장하면 해당 사용자 또는 컴퓨터에 적용된 모든 GPO의 설정을 볼 수 있습니다.
최근에 생성한 GPO에 예상한 정책 설정이 표시되지 않는 경우, PC에서 gpupdate /force 명령어를 실행하여 정책 설정을 수동으로 새로 고침하세요.
예를 들어 아래에서 로컬 정책인 HostName.bat이라는 이름의 사용자 로그온이 PC에 할당되어 있습니다. 정책 내에는 HostName.bat이라는 이름의 배치 파일이 있습니다. 이 파일은 사용자 구성 —> Windows 설정 —> 스크립트 —> 로그온 아래에 있습니다.
로컬 정책이 구성된 컴퓨터에서 RSOP를 실행하면 적용된 로그온 스크립트와 그를 적용한 정책 이름이 표시됩니다.
RSOP의 계획 모드로 정책 변경 테스트
여러 컴퓨터에 중요한 GPO를 배포할 준비가 되었다면 즉시 모든 컴퓨터에 적용하여 “운영 중 테스트”할 수도 있고 RSOP의 계획 모드를 사용할 수도 있습니다.
계획 모드를 사용하면 다음과 같은 경우에 GPO를 컴퓨터에 적용할 때 발생할 수 있는 여러 가지 시나리오를 시뮬레이션할 수 있습니다:
- 대상 PC의 네트워크 연결이 느린 경우
- 루프백 처리를 활성화한 경우
- 대상 PC에 많은 GPO가 적용되어 있어 정책 우선순위를 테스트하는 경우
- A user logs onto the target PC or the computer account is in different AD groups and an AD group is denied permission to the GPO.
- A user or computer is moved between domains, OUs or even AD sites.
- A WMI filter is applied to an OU
계획 모드를 사용하면 GPO가 던져 줄 수 있는 모든 조건 변수를 고려할 수 있습니다.
계획 모드에서 RSOP를 실행하려면:
1. 명령 프롬프트 또는 상승된 PowerShell 콘솔을 열고 mmc를 입력하십시오. 이렇게 하면 MMC 콘솔이 열립니다.
이 경우에는 간단히 rsop.msc를 실행할 수 없습니다. RSOP 모드를 변경하는 유일한 방법은 MMC 스냅인을 추가할 때입니다.
2. MMC 콘솔에서 파일 메뉴를 열고 스냅인 추가/제거를 클릭하십시오. 아래 그림과 같이 표시됩니다.
3. 스냅인 추가 또는 제거 대화 상자에서 결과 정책 집합 을 선택하고 추가를 클릭하여 스냅인을 왼쪽 창에서 오른쪽 창으로 이동하십시오.
4. 다음으로, 아래 그림과 같이 결과 정책 집합 MMC 스냅인을 마우스 오른쪽 버튼으로 클릭하고, RSOP 데이터 생성을 클릭하고 다음을 클릭하여 소개 단계를 건너뛰십시오.
5. 모드 선택 화면에서 계획 모드를 선택하고 다음을 클릭하여 컴퓨터 선택 화면으로 이동하십시오.
6. 그다음, 사용자 정보 아래의 찾아보기를 클릭하여 향후 GPO에 영향을 받을 수 있는 사용자를 선택하십시오. 또한, 컴퓨터 정보 아래의 찾아보기를 클릭하고 사용자가 로그인할 수 있는 PC를 포함할 OU를 선택하십시오.
다음 스크린샷에서 시뮬레이션은 사용자인 HOMELAB\User01이 데스크톱 VMs OU의 컴퓨터에 로그인하는 경우에 받게 될 모든 설정을 제공합니다.
7. 이제 몇 가지 추가 상황을 시뮬레이션하려면 옵션을 선택하세요:
- 그룹 정책의 느린 링크 감지
- 루프백 처리 – 대체 또는 병합을 선택하면 충돌이 발생할 경우 사용자 정책 설정과 컴퓨터 정책 설정을 대체하거나 병합합니다.
- 사이트 – 데스크톱이 로그인한 AD 사이트를 시뮬레이션합니다.
완료하면 다음을 클릭하세요.
8. 사용자 또는 컴퓨터에 GPO를 직접 적용할 계획이 없다면, 사용자 또는 컴퓨터의 OU를 변경하려면 찾아보기를 클릭하세요. 완료되면 다음을 클릭하세요.
여섯 번째 단계에서는 사용자와 대상 컴퓨터가 위치한 OU를 정의했습니다. 여기서는 GPO를 적용할 OU를 정의합니다.
9. 이제 사용자가 속할 AD 그룹을 추가하여 입력하세요. 이 튜토리얼에서 사용자는 DeniedGPOUsers 그룹에 속합니다.
아래에서 DeniedGPOUsers 그룹이이 GPO의 적용을 거부받았음을 확인할 수 있습니다.
10. 다음으로,이 튜토리얼에서는 WMI 필터 및 컴퓨터 그룹을 정의하는 단계를 따릅니다. 그러나 GPO에 WMI 필터를 설정하거나 컴퓨터 계정이 속한 AD 그룹으로 GPO 적용을 거부/허용하는 경우 이러한 모의 변경 사항을 만들 수 있습니다.
11. 마지막으로 요약 화면에서 모든 세부 정보를 검토하십시오. Gather extended error information 옵션을 사용하고 다음을 클릭하십시오. 확장된 오류 정보 옵션을 활성화하면 RSOP 스냅인이 쿼리를 수행할 때 더 많은 오류 정보를 수집합니다. 이 오류 메시지에는 구현될 때 정책에 영향을주는 네트워크 또는 AD 문제가 포함됩니다. 이 옵션을 활성화하면 시뮬레이션 처리 시간이 크게 증가할 수 있지만 오류가 발생할 경우 더 자세한 정보를 제공합니다.
RSOP 콘솔이 생성되면 컴퓨터 구성 또는 사용자 구성 노드를 마우스 오른쪽 단추로 클릭하고 속성을 클릭합니다. 그런 다음 오류 정보 탭을 클릭하여 정책을 시뮬레이션하는 동안 생성된 오류를 확인할 수 있습니다.
12. RSOP가 완료되면 컴퓨터 구성 및 사용자 구성 아래의 폴더를 찾아 적용된 정책을 확인합니다.
왼쪽에는 실제로 적용된 GPO (로그 기록 모드의 RSOP)를 볼 수 있고, 오른쪽에는 사용자가 DeniedGPOUsers AD 그룹에서 제거되었을 경우 RSOP가 어떻게 보일지 확인할 수 있습니다.
RSOP로 원격으로 적용된 GPO 검사
각 컴퓨터의 로컬 콘솔에 가지 않고도 RSOP를 통해 로깅 및 계획 모드의 설정을 원격으로 검사할 수 있습니다. 이 데모에서는 로깅 모드를 사용합니다.
1. 위의 RSOP의 계획 모드로 정책 변경 테스트하기 섹션의 단계 1-4를 따라 RSOP를 엽니다.
2. 모드 선택 화면에서 로깅 모드를 선택하고 다음을 클릭하여 컴퓨터 선택 화면으로 이동합니다.
3. 컴퓨터 선택 화면에서 원격 컴퓨터를 쿼리할 것이므로 다른 컴퓨터를 선택하고 찾아보기를 클릭합니다.
4. 컴퓨터 선택 상자에 원격 PC 이름을 입력하고 이름 확인을 클릭합니다. 이 작업은 컴퓨터의 AD 컴퓨터 계정을 검색합니다. 찾으면 PC 이름을 밑줄로 표시합니다.
5. 컴퓨터 선택 화면에서 다음을 클릭합니다. 여기에서는 선택한 컴퓨터의 정책 설정을 결과에 표시하지 않음…을 선택할 수 있지만 컴퓨터와 사용자 설정을 모두 검사할 것입니다.
6. 다음으로, 적용된 사용자 정책을 검사할 사용자를 선택합니다. 원격 컴퓨터에 한 번 이상 로그인한 사용자 목록이 표시됩니다.
목록에서 사용자를 선택하고 다음을 클릭합니다.
현재 사용자 옵션이 회색으로 표시됩니다. RSOP는 원격으로 로그인한 사용자를 찾을 수 없습니다. 명시적으로 사용자를 선택해야 합니다.
7. 확장된 오류 정보 수집 확인란을 해제하십시오. 계속하려면 다음을 클릭하십시오. RSOP는 이제 원격 컴퓨터에 연결하여 선택한 사용자와 컴퓨터의 모든 RSOP 설정을 검색하려고 시도합니다.
8. 완료되었을 때 완료를 클릭하십시오.
9. 이제 로컬 설정을 검사할 때와 똑같은 MMC 스냅인이 표시됩니다. 다만 이번에는 설정이 원격 PC에서 가져온 것입니다.
결론
RSOP 도구는 컴퓨터 또는 사용자를 대상으로 적용된 모든 GPO 설정을 빠르게 찾아야 할 때 유용합니다. 이 도구를 사용하면 특정 컴퓨터 또는 사용자를 대상으로 한 GPO의 설정뿐만 아니라 적용된 설정도 확인할 수 있습니다.
앞으로 RSOP를 어디에 활용할 계획이 있으십니까?