강의 PPT: 15장. 그룹 정책의 적용과 운영
Download
Report
Transcript 강의 PPT: 15장. 그룹 정책의 적용과 운영
서버운영체제
15장. Active Directory 그룹 정책과 운영
2013년도 2학기 14주차
그룹 정책 개요 (1) [P604]
그룹 정책 이란?
Active Directory를 구성할 때는 네트워크 상에 많은 컴퓨
터 및 사용자가 존재한다. 이런 상황에서 관리자가 각 컴
퓨터 또는 사용자에게 일일이 사용할 프로그램과 그렇지
않을 프로그램을 지정하자면 시간과 노력이 너무 많이 들
게 된다.
이러한 네트워크 상에 많은 컴퓨터 및 사용자에 대한 환
경을 일일이 설정하는 것이 아니라 '그룹 정책'을 설정한
후 적용시켜서 할 수 있다.
그 결과 Active Directory 도메인 컴퓨터와 사용자를 일관
되게 관리할 수 있게 된다.
그룹 정책 개요 (2) [P605]
그룹 정책의 기본 개념과 GPO
그룹 정책(Group Policy)을 통해 관리할 수 있는 예
Active Directory 내의 컴퓨터나 사용자에게 사용 가능한 프로그램을 지
정하거나 제한할 수 있음.
로그온 시 보여지는 바탕화면을 지정할 수 있음.
시작 메뉴의 사용 옵션, USB나 CD/DVD의 사용 제한 등을 구성할 수 있
음.
잘못된 사용자의 시스템 구성 변경이나 네트워크 바이러스 침투 등의 사
고를 예방할 수 있음.
그룹 정책 개체(Group Policy Object, 약자로 GPO)
그룹 정책을 생성한 후에 그 그룹 정책을 묶은 개체
GPO는 도메인 단위에 저장
글로벌 카탈로그(Global Catalog, 약자로 GC)에 해당 정보가 저장
종류 : 로컬 GPO <사이트 GPO < 도메인 GPO < OU GPO
그룹 정책 개요 (3) [P606]
그룹 정책의 상속
그룹 정책의 상속
일반적으로 부모 컨테이너에서 자식 컨테이너로 상속
필요할 경우에는 상속을 재정의하거나 상속을 차단할 수 있음.
(예: hanbit.com 도메인에 적용된 그룹 정책을 기술1팀 OU에는 적용되
지 않도록 상속을 차단)
반대로 상속 차단을 하지 못하도록 강제 상속하는 것도 가능
(예: 회사(도메인)의 정책을 부서(OU)가 거부하지 못하도록 설정)
그룹 정책 개요 (4) [P606]
그룹 정책의 가능한 작업
보안 설정
보안 강화를 위한 사용자의 암호 및 계정 잠금 방식 등에 대해서 도메인
의 모든 사용자에게 강제로 적용할 수 있음.
스크립트 지정
사용자의 로그온/로그오프 시, 또는 컴퓨터의 부팅과 종료 시 등에 자동
으로 실행될 작업을 스크립트에 지정할 수 있음.
폴더 리디렉션(Folder Redirection)
사용자가 도메인 내의 어느 컴퓨터에서 로그온하더라도 자신의 문서 등
에 대한 폴더가 동일한 환경으로 제공되도록 할 수 있음.
소프트웨어 설정
사용자가 사용할 소프트웨어에 대해서 설치, 삭제, 업데이트를 제어할
수 있음.
Windows Server 2008에서 제공하는 그룹 정책의 종류는 2,000개가 넘는다.
<실습1> 그룹정책의 기본적인 적용과 해제
[Brain Server] 도메인 사용자 생성시 암호와 관련된
그룹정책의 설정 확인
간단한 암호(password)로 사용자가 만들어지는가?
[관리도구]-[Active Directory 사용자 및 컴퓨터]
“hanbit.com”-[새로만들기]-[사용자]
[새 개체-사용자] 창 – 성: 박, 이름:지성, 로그온이름: jspark
암호: password <마침> 암호를 설정할 수 없다는 창이 나옴
즉, 간단한 암호로는 사용자 생성이 안되게 되어 있음 사용
자생성 취소
6
<실습1> 그룹정책의 기본적인 적용과 해제
[Brain Server] 도메인의 기본 그룹정책인 “Default
Domain Policy” 확인
[관리도구]-[그룹정책관리]
[포리스트]-[도메인]-[hanbit.com]-[Default Domain Policy]
메시지창이 나오면 ‘다시표시안함’ 체크하고 통과
hanbit.com에 기본적으로 적용되고 있는 암호화 관련 그룹정책
보기
7
<실습1> 그룹정책의 기본적인 적용과 해제
“Default Domain Policy” 편집하기 우클릭 – [편집] – [그룹정책
관리편집기]창에서 작업
암호 복잡성 만족하기 정책 해제해 보기
8
<실습1> 그룹정책의 기본적인 적용과 해제
앞서 실패했던 박지성 사용자 다시 생성해 보기
– 안될 경우 변경한 정책이 바로 적용되지 않아서 그러니 모든 창을
닫고 조금 후에 다시 해보기
9
<실습1> 그룹정책의 기본적인 적용과 해제
[Brain Server] 회계부 OU 직원들이 [제어판] 사용못
하도록 하기
[Active Directory 사용자 및 컴퓨터]에서 회계부 OU에 ‘김
장훈’과 ‘서태지’ 있나 확인 (14장에서 생성했음)
10
<실습1> 그룹정책의 기본적인 적용과 해제
[관리도구]-[그룹정책관리]
Hanbit.com에 새 그룹정책(제어판 제한 정책) 생성
11
<실습1> 그룹정책의 기본적인 적용과 해제
‘제어판 제한 정책’편집: 우클릭 – [편집] – [그룹정책관리
편집기]창에서 작업 – 제어판 액세스 금지 사용
12
<실습1> 그룹정책의 기본적인 적용과 해제
그룹 정책을 적용할 범위로 회계부 OU 지정
13
<실습1> 그룹정책의 기본적인 적용과 해제
새로 생성한 그룹정책 생성여부 확인해보기 – 날짜와 시
간으로 확인
14
<실습1> 그룹정책의 기본적인 적용과 해제
[WinClient] 김장훈으로 로그온해서 그룹정책적용
여부 확인해보기
[email protected]으로 로그온(암호: p@ssw0rd)
만약 “시간제한…’에 의해 로그온이 안되면 Brain Server
에서 김장훈의 로그온 시간에 대한 제한을 풀것
15
<실습1> 그룹정책의 기본적인 적용과 해제
제어판이 없어진 것 확인
16
<실습1> 그룹정책의 기본적인 적용과 해제
[WinClient] 로컬사용자에게도 그룹정책적용여부
확인해 보기
로그오프 후 ‘administrator’로 로그인(암호: p@ssw0rd4)
제어판 있나 확인
17
<실습1> 그룹정책의 기본적인 적용과 해제
로그오프 후 [email protected]으로 다시 로그온
적용했던 그룹정책 해제하기
[Brain Server] 제어판 제한 정책 삭제
18
<실습1> 그룹정책의 기본적인 적용과 해제
[WinClient] ‘gpupdate /force’명령으로 그룹정책의 적용을
업데이트 한 후 제어판 보이나 확인
Capture
19
그룹 정책의 실제 적용 (2) [P615]
종종 정책이 반영되지 않
는 경우가 있다. 이는 네
트워크 상황 등으로 인해
서 아직 정책이 전파되지
않았기 때문이다.
생성한 그룹 정책이 적용되는 시점
사용자가 로그온할 때
컴퓨터를 재부팅했을 때
사용자가 강제로 직접 그룹 정책을 받아올 때
(명령어: gpupdate /force)
정책을 받아오는 주기적인 시간이 되었을 때
그룹 정책 개체인 GPO의 전파는 실시간으로 되지 않고 약 90분마다 적용되도록 설정되어
있다. 이 시간을 조절 할 수도 있는데 0분 ~ 64,800분(45일)까지 설정할 수 있다.
만약 0으로 설정하면 약 7초 단위로 GPO가 업데이트되어서 거의 실시간으로 GPO가 적용
되지만, 네트워크 트래픽이 대폭 증가하여 문제가 될 수 있다
그룹 정책과 사용자 ‘기본설정’과의 차이 [P614]
정책은 강제로 적용되고 사용자가 못 바꿈
‘기본설정’은 적용은 되지만 사용자가 변경할 수 있
는 항목임
그룹 정책의 전파간격 조정 [P615]
기본 전파간격은 90분
조정가능한 간격: 0~64,800분
0으로 설정하면 7초 간격으로 전파됨
<실습2> 그룹정책의 상속 실습
[Brain Server] 기술부 OU아래 기술1팀, 기술2팀 만
들고, 박중훈은 기술1팀, 안성기는 기술2팀으로 이
동
기술1팀 생성
<실습2> 그룹정책의 상속 실습
같은 방식으로 기술2팀 생성
박중훈 기술1팀으로 이동
<실습2> 그룹정책의 상속 실습
같은 방식으로 안성기 기술2팀으로 이동
[Brain Server] 새로운 그룹정책을 기술부OU에 적
용하되 기술1팀은 상속차단
[관리도구]-[그룹정책관리]
도메인>hanbit.com>그룹정책개체 우클릭>새로만들기
[새GPO]창에서 이름을 ‘ Internet Explorer 홈페이지 지정
정책’으로 입력하여 생성
<실습2> 그룹정책의 상속 실습
생성한‘ Internet Explorer 홈페이지 지정 정책’우클릭 – [
편집] [그룹정책관리편집기]에서 기본 홈페이지를
http: //www.hanb.co.kr 로 설정
<실습2> 그룹정책의 상속 실습
그룹정책적용범위를 기술부OU로 지정
<실습2> 그룹정책의 상속 실습
기술1팀은 상속차단 지정
<실습2> 그룹정책의 상속 실습
[WinClient] 상속과 상속차단 테스트
로그오프후 새로 만든 정책을 상속하는 기술2팀의 안성
기([email protected])으로 로그온
Internet Explorer 실행 초기홈페이지가
http://www.hanb.co.kr로 나옴
초기 홈페이지 변경시도 변경할 수 없음
<실습2> 그룹정책의 상속 실습
로그오프후 기술1팀으 박중훈([email protected])으로
로그온
Internet Explorer 실행 초기홈페이지가
http://www.hanb.co.kr가 아님
초기 홈페이지도 변경가능
<실습2> 그룹정책의 상속 실습
[Brain Server] 상속차단해도 강제상속 설정하기
기술부 강제상속 지정
<실습2> 그룹정책의 상속 실습
기술1팀 상속여부 확인
<실습2> 그룹정책의 상속 실습
[WinClient] 강제 상속 여부 확인하기
현재 로그온 사용자는 박중훈
명령창에서 그룹정책 업데이트: gpupdate /force
Internet Explorer 실행 초기홈페이지가
http://www.hanb.co.kr로 나옴
초기 홈페이지 변경시도 변경할 수 없음
Capture
사용자가 아니라 컴퓨터에 적용하는 그룹정책
OU에 소속된 컴퓨터에 그룹정책을 적용해서 어떤
사용자든지 해당 컴퓨터에 로그온하면 그룹정책이
실행됨
실습예
교육장컴퓨터에 모든 사용자가 로그온하면 자동으로
Internet explorer가 실행되고 www.naver.com에 접속되
도록 설정
<실습3> 컴퓨터에 그룹정책 적용하기
[BrainServer] 교육장OU 생성하고, WinClient 포함
시키기
[관리도구]-[Active Directory 사용자 및 컴퓨터]
Habit.com 우클릭 > 새로만들기 > 조직구성단위
[새개체]창에서 이름을 “교육장”으로 입력하여 생성
교육장OU로 WinClient 이동
<실습3> 컴퓨터에 그룹정책 적용하기
[BrainServer] 교육장에 대한 그룹정책 생성하고 교
육장OU에 적용
[관리도구]-[그룹정책관리]
도메인> hanbit.com> 그룹정책개체 우클릭> 새로만들기
[새GPO]창에서 이름을 “교육장정책”으로 입력하여 생성
“교육장정책”우클릭 > 편집
<실습3> 컴퓨터에 그룹정책 적용하기
[그룹정책관리편집기]창에서 Internet Explorer 홈페이지
를 www.naver.com으로 설정
항목추가입력내용: “c:\Program Files\Internet
Explorer\iexplorer.exe” www.naver.com
<실습3> 컴퓨터에 그룹정책 적용하기
[그룹정책관리]창에서 교육장OU에 교육장정책 연결
<실습3> 컴퓨터에 그룹정책 적용하기
[WinClient] 여러 명의 사용자가 교육장정책에 적용
되는지 확인
로그오프후 안성기([email protected])으로 로그온해서
Internet Exlorer가 자동실행되는지 확인
만약 안될경우 gpupdate /force 명령 후 로그오프 후 재 로그온
<실습3> 컴퓨터에 그룹정책 적용하기
로그오프후 이경규([email protected])로 로그온해도 그
룹정책 적용되는지 확인
로그오프후 로컬사용자인 administrator(암호는
p@ssw0rd4)로 접속해도 그룹정책 적용됨을 확인
Capture
로그온 스크립트를 이용한 그룹 정책
Windows Server가 제공하는 그룹정책이 2,000여
개가 넘지만 필요할 경우 별도로 커스텀 그룹정책
을 로그온 스크립트로 만들어 사용자가 로그온할
때 해당 스크립트가 실행되게 할 수 있음
실습예:
로그온 스크립트를 이용해 교육장 컴퓨터를 시작하면
Brain Server의 c:\실습파일\ 폴더가 z:로 네트워크 드라이
브 연결이 되도록 설정
<실습4> 로그온 스크립트를 이용한 그룹 정책
[Brain Server] 교육장에서 공유할 폴더 생성하고 공
유하기
탐색기에서 c:\실습파일 폴더 생성후 아무파일이나 몇 개
복사해 둔다.
C:\실습파일 폴더 우클릭 – 속성 – 공유 – 고급공유
<실습4> 로그온 스크립트를 이용한 그룹 정책
Everyone은 제거하고 인증된 사용자들(Authenticated
Users)에게만 모든권한, 숨김공유로 지정
<실습4> 로그온 스크립트를 이용한 그룹 정책
[BrainServer] 네트워크 드라이브 연결 스크립트 설정
메모장–스크립트 작성–파일저장(이름:드라이브연결.bat)
<실습4> 로그온 스크립트를 이용한 그룹 정책
[관리도구]-[그룹정책관리]
도메인>hanbit.com>그룹정책개체>교육장정책우클릭>
편집
[그룹정책관리편집기]창: 컴퓨터구성>정책>관리템플릿
>시스템>로그온>사용자로그온할때다음프로그램실행 더
블클릭
<실습4> 로그온 스크립트를 이용한 그룹 정책
[속성]창 - <표시> 클릭 – 기존항목선택해 제거 – 추가클
릭해서 스크립트파일의경로와이름입력
<실습4> 로그온 스크립트를 이용한 그룹 정책
[WinClient] 스크립트가 잘 동작하는 지 확인
로그오프후 다시 안성기([email protected])로 로그온
탐색기에서 z 드라이브가 보이는 지 확인
안되면 gpupdate /force 명령 후 로그오프하고 재 로그온
<실습4> 로그온 스크립트를 이용한 그룹 정책
로그오프후 박중훈(jhpark@hanbit)으로 로그온해도 보이
는지 확인
탐색기 Capture
그룹 정책 모델링 마법사
설정한 그룹정책을 그룹정책모델링마법사를 사용
해 보고서 형태의 결과를 볼 수 있음
<실습5> 그룹 정책 모델링 마법사
[BrainServer] hanbit.com 도메인의 그룹정책을 보
고서로 만들기
[관리도구]-[그룹정책관리]
포리스트:hanbit.com>그룹정책모델링 우클릭 > 그룹정
책모델링마법사
<실습5> 그룹 정책 모델링 마법사
초기화면 통과
[도메인컨트롤러선택]에서 hanbit.com 입력
<실습5> 그룹 정책 모델링 마법사
[사용자및컴퓨터선택]에서 사용자는
HANBIT\Administrator, 컴퓨터는 HANBIT\WINCLIENT
선택
<실습5> 그룹 정책 모델링 마법사
[고급시뮬레이션옵션]은 ‘Default-First-Site-Name’선택
<실습5> 그룹 정책 모델링 마법사
[대체 Active Directory 경로]는 그대로 통과
나머지들도 그대로 두고 모두 통과해 마침
<실습5> 그룹 정책 모델링 마법사
[Brain Server] 그룹정책모델링 확인
결과 창의 컴퓨터구성요약>그룹정책개체>적용된GPO
확인
<실습5> 그룹 정책 모델링 마법사
필요시 우클릭하여 [보고서저장]을 선택해 HTML 파일로
저장할 수 있음
<실습5> 그룹 정책 모델링 마법사
저장한 파일을 Internet Explorer로 볼 수 있음
Capture
그룹정책관리
그룹정책 백업 및 복원
그룹정책을 다른 도메인에 적용
Starter GPO 사용
<실습6> 그룹정책관리
[Brain Server] 백업과 복원, 그룹정책가져가기
[관리도구]-[그룹정책관리]
Second 켜고 할것
포리스트:hanbit.com>도메인 우클릭>도메인표시
>second.hanbit.com 체크해 도메인 추가
<실습6> 그룹정책관리
그룹정책개체항목에서 앞서 만들었던 정책들을 백업
<실습6> 그룹정책관리
백업을 저장할 폴더 지정
완료 후 백업종료
<실습6> 그룹정책관리
[BrainServer] 기존정책삭제 후 백업으로 복원하기
백업받아 두었던 두 정책 삭제
<실습6> 그룹정책관리
그룹정책개체 우클릭 – 백업관리
백업관리 창에서 첫번째 그룹정책 선택해 복원
같은 방식으로 두번째 그룹정책 복원
<실습6> 그룹정책관리
그룹정책개체 우클릭 – 백업관리
백업관리 창에서 첫번째 그룹정책 선택해 복원
같은 방식으로 두번째 그룹정책 복원
<실습6> 그룹정책관리
[BrainServer] hanbit.com 도메인의 그룹정책을
second.hanbit.com에 적용해보기
그룹정책 복사하기
<실습6> 그룹정책관리
[BrainServer] hanbit.com 도메인의 그룹정책을
second.hanbit.com에 적용해보기
Hanbit.com 그룹정책 복사하기
<실습6> 그룹정책관리
Second.hanbit.com에 그룹정책 붙여넣기
<실습6> 그룹정책관리
[도메인간 복사 마법사 시작]은 통과
[권한지정]은 ‘새 GPO에 대한 기본권한 사용’선택
나머지는 통과해서 완료
Capture - Second 종료
폴더 리디렉션 그룹 정책 [P634]
폴더 리디렉션 개요
폴더 리디렉션(Folder Redirection)은 도메인의 사용자가
도메인 내의 어떤 컴퓨터에서 접속하든지 자신이 사용하
던 폴더(주로 ’내 문서’)가 그대로 보이도록 하는 것
어느 컴퓨터에서 접속하든지 자신의 컴퓨터로 착각(?)하
는 효과를 낼 수 있음
폴더 리디렉션 그룹 정책을 쓸 때는 고려사항
도메인 사용자의 폴더는 도메인 서버에 저장되므로, 서버의 부하
를 고려해야 한다.
용량이 큰 파일을 바람직하지 않다.
폴더 리디렉션이 가능한 항목은 내 문서/응용프로그램 데이터/바
탕화면/시작 메뉴 등이 있다.
<실습7> 폴더 리디렉션 그룹 정책 사용
[BrainServer] 도메인사용자가 사용할 폴더 생성하
고 공유하기
탐색기에서 “c:\도메인사용자폴더” 생성
“C:\도메인사용자폴더”를 “도메인사용자폴더$”로 숨김공
유시키고 Authenticated Users 에게만 모든 권한 부여
결과화면
<실습7> 폴더 리디렉션 그룹 정책 사용
[BrainServer] 폴더리디렉션 정책을 만들어 관리부
OU에 적용
[관리도구]-[그룹정책관리]
도메인>hanbit.com>그룹정책개체 우클릭-새로만들기
[새GPO]창에서 이름을 “폴더 리디렉션정책”으로 지정하
여 생성
<실습7> 폴더 리디렉션 그룹 정책 사용
[그룹정책관리편집기] 창에서 폴더 리디렉션 그룹정책 설
정
<실습7> 폴더 리디렉션 그룹 정책 사용
같은방식으로 바탕화면도 설정하고, 그룹정책관리편집
기 종료
[그룹정책관리]에서 관리부를 선택하고 [기존GPO연결]
메뉴로 방금 만든 ‘폴더 리디렉션 정책’을 연결
<실습7> 폴더 리디렉션 그룹 정책 사용
[WinClient] 관리부OU 사용자인 김국진과 이경규로
로그온해서 폴더리디렉션정책 적용확인
로그오프하고 관리부OU 소속인 김국진
([email protected])으로 로그온(암호:p@ssw0rd)
탐색기 바탕화면>김국진>음악폴더선택경로가
c:\users\kjkim\Music으로 원래의위치임
<실습7> 폴더 리디렉션 그룹 정책 사용
문서 또는 바탕화면 선택해서 경로 확인 경로가 서버
의 폴더임
<실습7> 폴더 리디렉션 그룹 정책 사용
문서 폴더에 텍스트 파일을 아래처럼 생성
<실습7> 폴더 리디렉션 그룹 정책 사용
문서 폴더에 텍스트 파일을 아래처럼 생성
<실습7> 폴더 리디렉션 그룹 정책 사용
[BrainServer] 폴더리디렉션공유 폴더 확인
탐색기에서 김국진 폴더 확인
폴더 내로 접근은 관리자라도 거부됨
<실습7> 폴더 리디렉션 그룹 정책 사용
[WinClient] 다른 사용자에서도 테스트
로그오프 후 관리부OU 소속인 이경규
([email protected])으로 로그인
[BrainServer] c:\도메인사용자폴더 를 확인하면 이
경규(kklee) 사용자 폴더도 확인됨
탐색기 화면 Capture