Active Directory 그룹정책

그룹정책

 

실습 환경

1. 제어판 삭제 및 생성

2. 배경화면

3. IE 제어

4. 스타터 GPO

5. 정책 정의 파일 배포

6. 스크립트

7. 로밍 프로필

8. 폴더 리디렉션

9. 게시&할당

 

실습 테스트를 위해 AD서버에 GP_Test1 (a), GP_Test2 (B) 계정 2개를 생성한다.

 

Active Directory 사용자 및 컴퓨터 > 새로 만들기 > 조직 구성 단위

 

admin조직과 sales조직을 만들어준다.

 

admin에 W7-1과 사용자 a, sales에 W7-2와 사용자 b를 각각 넣어준다.

 

1. 제어판 삭제 및 생성

관리도구 > 그룹 정책 관리 > 그룹 정책 개체 > 새로 만들기 클릭.

그룹 정책 개체는 따로 만들어주지 않아도 기본적으로 2개가 있다.

 

admin조직에 연결하여 테스트해 볼 것이므로 이름은 헷갈리지 않도록 설정해준다.

 

만들어준 그룹 정책 개체 > 편집을 클릭하면 그룹 정책 관리 편집기 창이 뜨게 된다.

사용자 구성과 컴퓨터 구성으로 나뉘는데

사용자 구성 > 정책 > 관리 템플릿 > 제어판을 보면 [제어판의 엑세스 금지] 설정이 있다.

 

제어판의 엑세스 금지를 사용으로 설정해주고

 

연결해줄 조직 구성 단위에서 우클릭 후 기존 GPO 연결!!

 

그럼 현재 생성되어 있는 그룹 정책 개체 중 연결해줄 GPO를 선택할 수 있다.

 

Windows 7서버의

명령 프롬프트에서 gpupdate /force 명령어를 입력해주면 그룹정책이 적용된다.

 

admin조직에는 사용자 a가 속해있고,

사용자 구성으로 설정해주었으므로 어떤 PC냐에 관계없이 사용자 a로 로그인하면

위의 사진과 같이 시작 메뉴에서 제어판이 사라진 것을 볼 수 있다.

 

실행창에서 control.exe 을 쳐보아도 제어판이 실행되지 않는다.

 

만약 제어판생성 정책도 만들고 똑같이 admin에 연결해주면 제어판생성과 제어판삭제가 충돌된다.

이럴 경우 아래에서부터 적용되어 위의 사진의 경우엔 결국 삭제가 적용된다.

생성을 위로 올려주면 삭제가 적용되는 것이다.

 

링크 순서에 관계 없이 특정 GPO가 적용되도록 하고 싶다면 우클릭 후 적용을 클릭해주면

어떤 설정이 있더라도 적용이 된다.

 

2. 배경화면

배경화면으로 지정하고자 하는 그림 파일 2개를

멤버 서버의 C드라이브 안에 폴더를 하나 생성하여 저장해보자.

Windows7에서 이 그림 파일에 접근하여 배경화면으로 설정해주어야 하기 때문에

공유폴더로 만들어주고,

a 혹은 b (Domain Users)가 접근해야하므로 보안 항목에 Domain Users를 추가해준다.

 

앞서 실습과 마찬가지로 그룹 정책 개체를 먼저 생성하고 편집기로 들어간다.

사용자 구성 > 정책 > 관리 템플릿 > 바탕 화면 > 바탕 화면 > 바탕 화면 배경 무늬를 설정할 수 있다.

 

그림 파일이 멤버서버에 저장되어 있으므로

\\[멤버서버 IP]\[폴더명]\[지정해줄 그림 파일]

 

위에서처럼 조직 구성 단위에서 우클릭으로 기존 GPO를 연결해주어도 되지만

그룹 정책 개체를 바로 드래그하여 연결해주어도 된다.

 

또는 바로 이 도메인에서 GPO를 만들어 연결해줄 수도 있다.

방법은 여러가지이니 편한대로 사용하자.

 

Windows7 서버 실행창에서 gpupdate /force명령어로 정책을 업데이트 해주면 로그온할 때 적용이 된다.

로그오프 후 로그인해보면 설정해준 배경화면으로 바뀌어있고 임의로 변경하려해도 변경할 수 없다.

 

3. IE 제어

그룹 정책 개체 생성 후 편집기 열기.

사용자 구성 > 정책 > 관리 템플릿 > Windows 구성 요소 > Internet Explorer > 검색 기록 삭제

쿠키 삭제 방지, 사용자가 방문한 웹 사이트 삭제 방지, '검색 기록 삭제' 기능 사용 안 함

3가지를 사용해보자.

그리고 GPO연결해주고 정책 업데이트해보면

 

삭제가 안 되는 것을 확인 가능하다.

 

4. 스타터 GPO

예를 들어

회사의 기본 정책을 설정해놓으면 기본 베이스 만들고 그 위에 세부를 만들 수 있다.

 

5. 정책 정의 파일 배포

C:\Windows\PolicyDefinitions 파일을 통째로 복사하여

C:\Windows\SYSVOL\domain\Policies 안에 붙여넣기.

 

그럼 그룹 정책 관리 편집기의 관리 템플릿이

중앙 저장소로 바뀐다.

 

6. 스크립트

그룹 정책 개체 생성 후

멤버서버에 공유폴더를 하나 만든다. 권한도 변경까지 모두 주고,

사용자 a,b가 접근해야 하므로 보안탭에서 Domain Users까지 모두 추가하여 수정 권한까지 준다.

 

AD서버 바탕화면에 system.bat파일을 저장하고

위와 같이 수정해준다.

 

만들어준 그룹 정책 개체 편집기를 열어서

사용자 구성 > 정책 > Windows 설정 > 스크립트 로그온/로그오프 > 로그온

 

바탕화면의 system.bat파일을 기본 경로에 그대로 복사해준다.

 

명령 프롬프트에서 net use z: \\[멤버서버 IP]\[폴더명]

 

Windows7에서 정책 업데이트 후 (gpupdate /force)

다시 로그인한다.

 

그리고 멤버서버에 만들어주었던 폴더 안을 보면

Windows7 정보가 저장된 것을 볼 수 있다.

 

7. 로밍 프로필

- ex

서울에서 자신의 계정으로 일하다가 부산으로 출장가서 다른 PC, 내 계정으로 로그인하면

내가 하던 일이 그대로 다 보인다.

 

컴퓨터 속성 > 고급 시스템 설정과 같은 컴퓨터 설정은 관리자 권한이 필요하여 모두 잠겨있다.

 

 

어느 환경에서나 동일하도록 [도메인]\[사용자계정] 을 로밍 상태로 바꾸어 볼 것이다.

 

먼저 멤버서버의 C드라이브에 공유폴더를 하나 생성한다.

사용자 a,b가 접근 가능하도록 Domain Users그룹을 추가해주고 권한을 모두 부여한다.

 

Active Directory 사용자 및 컴퓨터에서 admin과 sales조직 안의 사용자 > 속성

프로필 경로에 \\[멤버서버 IP]\[폴더명]\%username% 을 적어준다.

 

Windows7을 재부팅한 후 test용 폴더 등을 만들어보고 로그오프한다.

그리고 다른 Windows7 서버 같은 사용자 계정으로 로그인해보면

위와 같이 작업했던 것들이 다 보인다.

 

상태가 로밍으로 바뀐 것 볼 수 있다.

 

8. 폴더 리디렉션

- ex

서울에서 내가 내 계정으로 작업하는데,

부산에서 다른 사람이 내 계정으로 로그인하면 내가 작업 중인게 실시간으로 보인다.

 

먼저 그룹 정책 개체를 만들고 편집기를 연다.

폴더 리디렉션 하위의 바탕 화면, 문서, 사진, 다운로드 속성을 설정해줄 것이다.

사용자 구성 > Windows 설정 > 폴더 리디렉션 > 바탕화면 > 속성

 

대상 탭에서 루트 경로를 \\[멤버서버 IP]\[폴더명] 으로 적어준다.

 

설정탭은 위와 같이 설정해준다.

마찬가지로 문서와 사진, 다운로드도 설정해준다.

 

사진 속성은 문서 파일 설정에서 가져올 수 있다.

 

Windows7에서 정책 업데이트를 해주면 로그오프를 요구한다.

그리고 W7-1에서 파일 등을 생성하면 W7-2에서 바로 나타나야 한다.

 

9. 게시&할당

그룹정책을 통해 프로그램을 추가, 삭제할 수 있다.

기본적으로 도메인의 users는 프로그램 설치, 삭제가 불가하다.

- 게시

관리자가 미리 지정한 프로그램을 특정 위치에 저장하고 사용자들이

임의적으로 선택해서 설치 및 삭제가 가능하도록 구성하는 것.

주로 사용자 구성에서 사용.

- 할당

관리자가 강제로 프로그램을 추가하거나 삭제할 수 있다.

관리자가 설치한 프로그램은 사용자가 임의로 삭제할 수 없다.

컴퓨터 구성에서 주로 사용.

(사실 컴퓨터 구성에는 게시가 존재하지 않는다. 사용자가 임의로 설치하는 것이 게시이기 때문이다.)

 

게시 >>

먼저 멤버서버에 공유폴더를 하나 만들고 변경 권한 부여 후 보안에 Domain Users그룹을 추가한다.

그리고 그 폴더 안에 실습을 위해 버전이 다른 2개의 프로그램을 저장한다.

 

그룹 정책 개체를 만들고 편집기를 열어

사용자 구성 > 정책 > 소프트웨어 설정 > 소프트웨어 설치 > 속성

 

패키지 위치를 \\[멤버서버 IP]\[폴더명] 으로 지정해주고

게시를 선택한다.

 

다시 우클릭하여 새로만들기 > 패키지

 

좌측의 [네트워크]를 보면 멤버서버의 공유폴더 안에 넣어주었던 설치파일이 2개 보인다.

920버전 선택 후

그룹 정책 개체를 조직 구성 단위에 연결해준다.

 

그리고 연결해준 조직에 포함된 사용자 계정으로 로그인하여

gpupdate /force 명령어로 정책 업데이트 후

제어판 > 프로그램 및 기능 > 네트워크에서 프로그램 설치

 

게시해준 파일이 보인다.

관리자가 허락한 프로그램이므로 설치나 삭제가 자유롭다.

보통 회사에서 필수 프로그램이 아닌 것들을 이런식으로 게시해준다.

 

할당 >>

할당도 기본 방법은 게시와 똑같다.

다만 할당은 컴퓨터 구성에서 주로 사용하므로

그룹 정책 개체를 만들고 편집기를 열어

컴퓨터 구성 > 정책 > 소프트웨어 설정 > 소프트웨어 설치 > 속성

할당을 선택해준다.

컴퓨터 구성에서는 게시 선택이 아예 안 된다.

그리고 조직 구성 단위에 연결해준 후 그에 포함된 컴퓨터로 접속한다.

 

컴퓨터 구성 설정이므로 재부팅을 요구한다.

 

재부팅 후 시작의 모든 프로그램에 보면

따로 설치를 해주지 않아도 이미 설치가 되어있다.

관리자가 강제로 할당해준 프로그램이므로 삭제는 되지 않는다.

 

게시와 할당 모두 업그레이드 버전으로 넣어주고 gpupdate /force 명령어 입력해주면

업데이트 버전으로 게시 또는 할당된다.