그룹 정책

Group Policy
Windows 7의 로컬보안 정책 에디터

그룹 정책은 마이크로소프트 윈도우즈 NT 운영 체제 제품군(Windows 7, 윈도우즈 8.1, 윈도우즈 10, 윈도우즈 11 및 윈도우즈 서버 2003+ 포함)의 기능으로, 사용자 계정 및 컴퓨터 계정의 작업 환경을 제어합니다.그룹 정책은 Active Directory 환경에서 운영 체제, 응용 프로그램 및 사용자 설정을 중앙 집중식으로 관리하고 구성합니다.그룹 정책 구성 집합을 그룹 정책 개체(GPO)라고 합니다.로컬 그룹 정책(LGPO 또는 LocalGPO)이라는 그룹 정책 버전을 사용하면 독립 실행형 [1][2]컴퓨터에서 Active Directory 없이 그룹 정책 개체를 관리할 수 있습니다.

Active Directory 서버는 그룹 정책을 LDAP 디렉토리의 클래스 오브젝트 아래에 나열하여 배포합니다.groupPolicyContainer이것들은 파일 서버 패스(속성)를 참조합니다.gPCFileSysPath실제 그룹 정책 오브젝트를 저장하는 (일반적으로 SMB 공유 \\)domain.comActive Directory 서버가 공유하는 \SYSVOL.그룹 정책에 레지스트리 설정이 있는 경우 연결된 파일 공유에 파일이 있습니다.registry.pol클라이언트가 적용해야 [3]하는 레지스트리 설정을 지정합니다.

정책 에디터(gpedit.msc)는 Windows XP/Vista/7/8/8.1/10/11 Home 버전에서는 제공되지 않습니다.

작동

그룹 정책은 부분적으로 사용자가 컴퓨터 시스템에서 수행할 수 있는 작업과 수행할 수 없는 작업을 제어합니다.예를 들어, 그룹 정책을 사용하여 사용자가 지나치게 단순한 암호를 선택하지 못하도록 암호 복잡성 정책을 적용할 수 있습니다.기타 예로는 원격 시스템에서 식별되지 않은 사용자의 네트워크 공유 연결 허용 또는 금지, 특정 폴더에 대한 액세스 차단/제한 등이 있습니다.이러한 설정의 집합을 그룹 정책 개체(GPO)라고 합니다.

Microsoft 의 IntelliMirror 테크놀로지의 일환으로서 그룹 정책은, 유저 서포트 코스트의 삭감을 목표로 하고 있습니다.IntelliMirror 기술은 연결이 끊긴 시스템 또는 로밍 사용자의 관리와 관련이 있으며 로밍 사용자 프로필, 폴더 리디렉션오프라인 파일을 포함합니다.

실시

컴퓨터 그룹의 일원 관리라는 목표를 달성하려면 머신은 GPO를 수신하여 실행해야 합니다.단일 시스템에 있는 GPO는 해당 컴퓨터에만 적용됩니다.GPO를 컴퓨터 그룹에 적용하기 위해 그룹 정책은 배포 시 Active Directory(또는 ZENworks Desktop Management와 같은 타사 제품)에 의존합니다.Active Directory는 Windows 도메인에 속하는 컴퓨터에 GPO를 배포할 수 있습니다.

기본적으로 마이크로소프트 윈도우즈는 임의로 30분 오프셋을 사용하여 90분마다 정책 설정을 새로 고칩니다.도메인 컨트롤러에서는 Microsoft Windows가 5분마다 이 작업을 수행합니다.새로 고치는 동안 머신과 로그온한 사용자에게 적용되는 모든 GPO를 검색, 가져오기 및 적용합니다.자동 소프트웨어 설치, 드라이브 매핑, 시작 스크립트 또는 로그온 스크립트와 같은 일부 설정은 시작 또는 사용자 로그온 시에만 적용됩니다.Windows XP 이후 사용자는 를 사용하여 수동으로 그룹 정책 새로 고침을 시작할 수 있습니다.gpupdate 명령어 [4]프롬프트에서 명령어를 실행합니다.

그룹 정책 개체는 위에서 [5]아래로 다음 순서로 처리됩니다.

  1. 로컬 - 컴퓨터의 로컬 정책에 있는 모든 설정입니다.Windows Vista 이전에는 로컬 그룹 정책이 컴퓨터당1개밖에 저장되지 않았습니다.Windows Vista 이후의 Windows 버전에서는, 유저 [6]어카운트 마다 개별의 그룹 정책을 사용할 수 있습니다.
  2. 사이트 - 컴퓨터가 상주하는 Active Directory 사이트와 관련된 모든 그룹 정책입니다(Active Directory 사이트는 컴퓨터의 논리적 그룹이며, 물리적 근접성을 기반으로 이러한 컴퓨터를 쉽게 관리할 수 있도록 하기 위한 것입니다).여러 정책이 한 사이트에 연결되어 있는 경우 관리자가 설정한 순서대로 처리됩니다.
  3. 도메인 - 컴퓨터가 상주하는 Windows 도메인과 관련된 모든 그룹 정책.여러 정책이 도메인에 연결되어 있는 경우 관리자가 설정한 순서대로 처리됩니다.
  4. 조직 단위 - 컴퓨터 또는 사용자가 배치되는 Active Directory 조직 단위(OU)에 할당된 그룹 정책입니다.OU는 사용자, 컴퓨터 또는 기타 Active Directory 개체의 그룹을 구성하고 관리하는 데 도움이 되는 논리 단위입니다.여러 정책이 OU에 연결되어 있는 경우 관리자가 설정한 순서대로 처리됩니다.

특정 컴퓨터 또는 사용자에게 적용되는 그룹 정책 설정을 RSoP(Consults Set of Policy)라고 합니다.RSoP 정보는 컴퓨터 및 사용자 모두에 대해 표시될 수 있습니다.gpresult명령어를 [7]입력합니다.

상속

계층 구조 내의 정책 설정은 일반적으로 부모에서 자녀로, 자녀에서 손자 등으로 전달됩니다.이를 상속이라고 합니다.각 수준에서 적용되는 정책을 제어하기 위해 차단하거나 적용할 수 있습니다.상위 관리자(기업 관리자)가 하위 관리자(도메인 관리자)에 의해 차단된 상속이 있는 정책을 만든 경우에도 이 정책은 계속 처리됩니다.

Group Policy Preference Settings 가 설정되어 있고 이와 동등한 Group Policy Setting 이 설정되어 있는 경우 Group Policy Setting 값이 우선됩니다.

필터링

WMI 필터링은 적용할 (WMI) 필터를 선택하여 GPO 범위를 사용자 정의하는 프로세스입니다.이러한 필터를 통해 관리자는 특정 모델, RAM, 설치된 소프트웨어 또는 WMI 조회를 통해 사용할 수 있는 모든 시스템에만 GPO를 적용할 수 있습니다.

로컬 그룹 정책

로컬 그룹 정책(LGP 또는 LocalGPO)은 독립 실행형 및 비도메인 컴퓨터를 위한 보다 기본적인 버전의 그룹 정책이며, 적어도 Windows [when?]XP 이후 존재하며 [citation needed]도메인 컴퓨터에 적용할 수 있습니다.Windows Vista 이전 버전에서는 LGP는 단일 로컬 컴퓨터에 대해 그룹 정책 개체를 적용할 수 있었지만 개별 사용자 또는 그룹에 대한 정책은 만들 수 없었습니다.Windows Vista 이후에서는 LGP를 통해 개별 사용자 및 그룹의 로컬 그룹 정책 [1]관리도 가능합니다.또, 타겟 [2]머신에 정책을 Import 하기 위해서 필요한 파일을 포함한 그룹 정책 컨테이너인 「GPO 팩」을 개입시켜 스탠드 얼론 머신간의 정책의 백업, Import, export도 가능하게 됩니다.

그룹 정책 기본 설정

그룹 정책 기본 설정은 관리자가 필수 사항이 아니라 사용자 또는 컴퓨터의 선택 사항인 정책을 설정할 수 있는 방법입니다.이전에는 PolicyMaker라고 불렸던 그룹 정책 설정 확장 기능 세트가 있습니다.Microsoft는 PolicyMaker를 인수하여 Windows Server 2008과 통합하였습니다.그 후 Microsoft는 사용자가 PolicyMaker 항목을 그룹 정책 [8]기본 설정으로 마이그레이션할 수 있는 마이그레이션 도구를 출시했습니다.

Group Policy Preferences 에는 새로운 구성 항목이 다수 추가됩니다.이러한 항목에는 이러한 설정 항목의 적용을 세밀하게 제어하기 위해 사용할 수 있는 많은 추가 대상 옵션이 있습니다.

그룹 정책 기본 설정은 클라이언트확장 기능([9][10][11][12][13][14]CSE라고도 함)을 추가하여 Windows XP, Windows Server 2003 및 Windows Vista의 x86 및 x64 버전과 호환됩니다.

클라이언트 사이드 익스텐션은, Windows Server 2008, Windows 7, 및 Windows Server 2008 R2 에 포함되어 있습니다.

그룹 정책 관리 콘솔

원래 그룹 정책은 MMC(Active Directory Users and Computers Microsoft Management Console) 스냅인과 통합된 그룹 정책 편집 도구를 사용하여 수정되었지만 나중에 그룹 정책 관리 콘솔(GPMC)이라는 별도의 MMC 스냅인으로 분할되었습니다.GPMC는 현재 Windows Server 2008 및 Windows Server 2008 R2의 사용자 컴포넌트이며 Windows Vista 및 Windows [15][16][17][18]7용 리모트 서버 관리 도구의 일부로 다운로드로 제공됩니다.

고급 그룹 정책 관리

Microsoft는 또한 Advanced Group[19] Policy Management(AGPM)라고 불리는 그룹 정책을 변경하는 도구를 출시했습니다.이 도구는 Microsoft Desktop Optimization Pack(MDOP) 라이센스를 취득한 모든 조직에서 사용할 수 있습니다.이 고급 도구를 사용하면 관리자가 그룹 정책 개체 수정에 대한 체크인/아웃 프로세스를 수행하고, 그룹 정책 개체에 대한 변경 사항을 추적하고, 그룹 정책 개체에 대한 변경에 대한 승인 워크플로우를 구현할 수 있습니다.

AGPM은 서버와 클라이언트의 두 부분으로 구성됩니다.서버는 그룹 정책 개체를 동일한 컴퓨터 또는 네트워크 공유에 있는 아카이브에 저장하는 윈도우즈 서비스입니다.클라이언트는 그룹 정책 관리 콘솔에 스냅인하여 AGPM 서버에 연결합니다.클라이언트 설정은 그룹 정책을 통해 수행됩니다.

보안.

그룹 정책 설정은 대상 응용 프로그램에 의해 자발적으로 적용됩니다.많은 경우, 이것은 특정 [20]기능의 사용자 인터페이스를 디세블로 하는 것만으로 구성됩니다.

또는 악의적인 사용자가 응용 프로그램을 수정하거나 간섭하여 그룹 정책 설정을 읽을 수 없도록 함으로써 잠재적으로 낮은 보안 기본값을 적용하거나 임의 [21]값을 반환할 수도 있습니다.

Windows 8의 확장 기능

Windows 8에서는 그룹 정책 업데이트라고 하는 새로운 기능이 도입되었습니다.이 기능을 통해 관리자는 특정 조직 단위에 계정이 있는 모든 컴퓨터에서 그룹 정책을 강제로 업데이트할 수 있습니다.이렇게 하면 스케줄된 작업이 컴퓨터에 생성되어 있습니다.gpupdate도메인 컨트롤러의 과부하를 피하기 위해 랜덤오프셋에 의해 조정되는 명령어를 10분 이내에 실행합니다.

Group Policy Infrastructure Status가 도입되었습니다.이 상태는 [22]도메인 컨트롤러 간에 그룹 정책 개체가 올바르게 복제되지 않을 때 보고할 수 있습니다.

또한 그룹 정책 결과 보고서에는 그룹 정책 [23]업데이트를 수행할 때 개별 구성 요소의 실행을 곱하는 새로운 기능도 있습니다.

「 」를 참조해 주세요.

레퍼런스

  1. ^ a b LLC), Tara Meyer (Aquent. "Step-by-Step Guide to Managing Multiple Local Group Policy Objects". go.microsoft.com.
  2. ^ a b Sigman, Jeff. "SCM v2 Beta: LocalGPO Rocks!". Microsoft. Retrieved 2018-11-24.
  3. ^ "[MS-GPOD]: Group Policy Protocols Overview". Microsoft. Section 1.1.5 Group Policy Data Storage. Retrieved 2020-02-22.
  4. ^ Gpupdate
  5. ^ "Group Policy processing and precedence". Microsoft Corporation. 22 April 2012.
  6. ^ "Group Policy - Apply to a Specific User or Group - Windows 7 Help Forums". www.sevenforums.com.
  7. ^ Archiveddocs. "Gpresult". technet.microsoft.com.
  8. ^ "Group Policy Preference Migration Tool (GPPMIG)". Microsoft.
  9. ^ "Group Policy Preference Client Side Extensions for Windows XP (KB943729)". Microsoft Download Center.
  10. ^ "Group Policy Preference Client Side Extensions for Windows XP x64 Edition (KB943729)". Microsoft Download Center.
  11. ^ "Group Policy Preference Client Side Extensions for Windows Vista (KB943729)". Microsoft Download Center.
  12. ^ "Group Policy Preference Client Side Extensions for Windows Vista x64 Edition (KB943729)". Microsoft Download Center.
  13. ^ "Group Policy Preference Client Side Extensions for Windows Server 2003 (KB943729)". Microsoft Download Center.
  14. ^ "Group Policy Preference Client Side Extensions for Windows Server 2003 x64 Edition (KB943729)". Microsoft Download Center.
  15. ^ Microsoft Group Policy Team (2009-12-23). "How to Install GPMC on Server 2008, 2008 R2, and Windows 7 (via RSAT)". {{cite web}}: author=범용명(도움말)이 있습니다.
  16. ^ Windows Vista 용 Microsoft 리모트 서버 관리 도구
  17. ^ x64 기반 시스템용 Windows Vista용 Microsoft 원격 서버 관리 도구
  18. ^ Windows 7용 리모트 서버 관리 도구
  19. ^ "Windows - Official Site for Microsoft Windows 10 Home & Pro OS, laptops, PCs, tablets & more". www.microsoft.com.
  20. ^ Raymond Chen, "쉘 정책과 보안은 다르다"
  21. ^ Mark Russinovich, "제한 사용자로서의 그룹 정책 구축"
  22. ^ "Updated: What's new with Group Policy in Windows 8". 17 October 2011.
  23. ^ "Windows 8 Group Policy Performance Troubleshooting Feature". 23 January 2012.

추가 정보

  1. "Group Policy for Beginners". Windows 7 Technical Library. Microsoft. 27 April 2011. Retrieved 22 April 2012.
  2. "Group Policy Management Console". Dev Center - Desktop. Microsoft. 3 February 2012. Retrieved 22 April 2012.
  3. "Step-by-Step Guide to Managing Multiple Local Group Policy Objects". Windows Vista Technical Library. Microsoft. Retrieved 22 April 2012.
  4. "Group Policy processing and precedence". Windows Server 2003 Product Help. Microsoft. 21 January 2005. Retrieved 22 April 2012.

외부 링크

Wikdiversity에는 그룹 정책에 대한 학습 리소스가 있습니다.