15 장 . Active Directory 그룹 정책과 운영

1. 서버운영체제 15장. Active Directory 그룹 정책과 운영 2013년도 2학기 14주차

2. 그룹 정책개요 (1) [P604] • 그룹 정책 이란? • Active Directory를 구성할 때는 네트워크 상에 많은 컴퓨터 및 사용자가 존재한다. 이런 상황에서 관리자가 각 컴퓨터 또는 사용자에게 일일이 사용할 프로그램과 그렇지 않을 프로그램을 지정하자면 시간과 노력이 너무 많이 들게 된다. • 이러한 네트워크 상에 많은 컴퓨터 및 사용자에 대한 환경을 일일이 설정하는 것이 아니라 '그룹 정책'을 설정한 후 적용시켜서 할 수 있다. • 그 결과 Active Directory 도메인 컴퓨터와 사용자를 일관되게 관리할 수 있게 된다.

3. 그룹 정책개요 (2) [P605] • 그룹 정책의 기본 개념과 GPO • 그룹 정책(Group Policy)을 통해 관리할 수 있는 예 • Active Directory 내의 컴퓨터나 사용자에게 사용 가능한 프로그램을 지정하거나 제한할 수 있음. • 로그온 시 보여지는 바탕화면을 지정할 수 있음. • 시작 메뉴의 사용 옵션, USB나 CD/DVD의 사용 제한 등을 구성할 수 있음. • 잘못된 사용자의 시스템 구성 변경이나 네트워크 바이러스 침투 등의 사고를 예방할 수 있음. • 그룹 정책 개체(Group Policy Object, 약자로 GPO) • 그룹 정책을 생성한 후에 그 그룹 정책을 묶은 개체 • GPO는 도메인 단위에 저장 • 글로벌 카탈로그(Global Catalog, 약자로 GC)에 해당 정보가 저장 • 종류 : 로컬 GPO <사이트 GPO < 도메인 GPO < OU GPO

4. 그룹 정책개요 (3) [P606] • 그룹 정책의 상속 • 그룹 정책의 상속 • 일반적으로 부모 컨테이너에서 자식 컨테이너로 상속 • 필요할 경우에는 상속을 재정의하거나 상속을 차단할 수 있음.(예:hanbit.com 도메인에 적용된 그룹 정책을 기술1팀 OU에는 적용되지 않도록 상속을 차단) • 반대로 상속 차단을 하지 못하도록 강제 상속하는 것도 가능(예: 회사(도메인)의 정책을 부서(OU)가 거부하지 못하도록설정)

5. 그룹 정책개요 (4) [P606] • 그룹 정책의 가능한 작업 • 보안 설정 • 보안 강화를 위한 사용자의 암호 및 계정 잠금 방식 등에 대해서 도메인의 모든 사용자에게 강제로 적용할 수 있음. • 스크립트 지정 • 사용자의 로그온/로그오프 시, 또는 컴퓨터의 부팅과 종료 시 등에 자동으로 실행될 작업을 스크립트에 지정할 수 있음. • 폴더 리디렉션(Folder Redirection) • 사용자가 도메인 내의 어느 컴퓨터에서 로그온하더라도 자신의 문서 등에 대한 폴더가 동일한 환경으로 제공되도록 할 수 있음. • 소프트웨어 설정 • 사용자가 사용할 소프트웨어에 대해서 설치, 삭제, 업데이트를 제어할 수 있음. Windows Server 2008에서 제공하는 그룹 정책의 종류는 2,000개가 넘는다.

6. <실습1> 그룹정책의 기본적인 적용과 해제 • [Brain Server] 도메인 사용자 생성시 암호와 관련된 그룹정책의 설정 확인 • 간단한암호(password)로 사용자가 만들어지는가? • [관리도구]-[Active Directory 사용자 및 컴퓨터] • “hanbit.com”-[새로만들기]-[사용자] • [새 개체-사용자] 창 – 성: 박, 이름:지성, 로그온이름: jspark • 암호: password  <마침>  암호를 설정할 수 없다는 창이 나옴  즉, 간단한 암호로는 사용자 생성이 안되게 되어 있음  사용자생성 취소

7. <실습1> 그룹정책의 기본적인 적용과 해제 • [Brain Server] 도메인의 기본 그룹정책인 “Default Domain Policy” 확인 • [관리도구]-[그룹정책관리] • [포리스트]-[도메인]-[hanbit.com]-[Default Domain Policy] • 메시지창이 나오면 ‘다시표시안함’ 체크하고 통과 • hanbit.com에 기본적으로 적용되고 있는 암호화 관련 그룹정책 보기

8. <실습1> 그룹정책의 기본적인 적용과 해제 • “Default Domain Policy” 편집하기  우클릭 – [편집] – [그룹정책관리편집기]창에서 작업 • 암호 복잡성 만족하기 정책 해제해 보기

9. <실습1> 그룹정책의 기본적인 적용과 해제 • 앞서 실패했던 박지성 사용자 다시 생성해 보기 • 안될 경우 변경한 정책이 바로 적용되지 않아서 그러니 모든 창을 닫고 조금 후에 다시 해보기

10. <실습1> 그룹정책의 기본적인 적용과 해제 • [Brain Server] 회계부 OU 직원들이 [제어판] 사용못하도록 하기 • [Active Directory 사용자 및 컴퓨터]에서 회계부 OU에 ‘김장훈’과 ‘서태지’ 있나 확인 (14장에서 생성했음)

11. <실습1> 그룹정책의 기본적인 적용과 해제 • [관리도구]-[그룹정책관리] • Hanbit.com에 새 그룹정책(제어판 제한 정책) 생성

12. <실습1> 그룹정책의 기본적인 적용과 해제 • ‘제어판 제한 정책’편집: 우클릭 – [편집] – [그룹정책관리편집기]창에서 작업 – 제어판 액세스 금지 사용

13. <실습1> 그룹정책의 기본적인 적용과 해제 • 그룹 정책을 적용할 범위로 회계부 OU 지정

14. <실습1> 그룹정책의 기본적인 적용과 해제 • 새로 생성한 그룹정책 생성여부 확인해보기 – 날짜와 시간으로 확인

15. <실습1> 그룹정책의 기본적인 적용과 해제 • [WinClient] 김장훈으로 로그온해서 그룹정책적용 여부 확인해보기 • jhkim@hanbit.com으로 로그온(암호: p@ssw0rd) • 만약 “시간제한…’에 의해 로그온이 안되면 Brain Server에서 김장훈의 로그온 시간에 대한 제한을 풀것

16. <실습1> 그룹정책의 기본적인 적용과 해제 • 제어판이 없어진 것 확인

17. <실습1> 그룹정책의 기본적인 적용과 해제 • [WinClient] 로컬사용자에게도 그룹정책적용여부 확인해 보기 • 로그오프 후 ‘administrator’로 로그인(암호: p@ssw0rd4) • 제어판 있나 확인

18. <실습1> 그룹정책의 기본적인 적용과 해제 • 로그오프 후 jhkim@hanbit.com으로 다시 로그온 • 적용했던 그룹정책 해제하기 • [Brain Server] 제어판 제한 정책 삭제

19. <실습1> 그룹정책의 기본적인 적용과 해제 • [WinClient] ‘gpupdate /force’명령으로 그룹정책의 적용을 업데이트 한 후 제어판 보이나 확인 Capture

20. 그룹 정책의 실제 적용 (2) [P615] 종종 정책이 반영되지 않는 경우가 있다. 이는 네트워크 상황 등으로 인해서 아직 정책이 전파되지 않았기 때문이다. • 생성한 그룹 정책이 적용되는 시점 • 사용자가 로그온할 때 • 컴퓨터를 재부팅했을 때 • 사용자가 강제로 직접 그룹 정책을 받아올 때(명령어: gpupdate /force) • 정책을 받아오는 주기적인 시간이 되었을 때 그룹 정책 개체인 GPO의 전파는 실시간으로 되지 않고 약 90분마다 적용되도록 설정되어 있다. 이 시간을 조절 할 수도 있는데 0분 ~ 64,800분(45일)까지 설정할 수 있다. 만약 0으로 설정하면 약 7초 단위로 GPO가 업데이트되어서 거의 실시간으로 GPO가 적용되지만, 네트워크 트래픽이 대폭 증가하여 문제가 될 수 있다

21. 그룹 정책과 사용자 ‘기본설정’과의 차이 [P614] • 정책은 강제로 적용되고 사용자가 못 바꿈 • ‘기본설정’은 적용은 되지만 사용자가 변경할 수 있는 항목임

22. 그룹 정책의 전파간격 조정 [P615] • 기본 전파간격은 90분 • 조정가능한 간격: 0~64,800분 • 0으로 설정하면 7초 간격으로 전파됨

23. <실습2> 그룹정책의 상속 실습 • [Brain Server] 기술부 OU아래 기술1팀, 기술2팀 만들고, 박중훈은 기술1팀, 안성기는 기술2팀으로 이동 • 기술1팀 생성

24. <실습2> 그룹정책의 상속 실습 • 같은 방식으로 기술2팀 생성 • 박중훈 기술1팀으로 이동

25. <실습2> 그룹정책의 상속 실습 • 같은 방식으로 안성기 기술2팀으로 이동 • [Brain Server] 새로운 그룹정책을 기술부OU에 적용하되 기술1팀은 상속차단 • [관리도구]-[그룹정책관리] • 도메인>hanbit.com>그룹정책개체 우클릭>새로만들기 • [새GPO]창에서 이름을 ‘ Internet Explorer 홈페이지 지정 정책’으로 입력하여 생성

26. <실습2> 그룹정책의 상속 실습 • 생성한‘ Internet Explorer 홈페이지 지정 정책’우클릭 – [편집]  [그룹정책관리편집기]에서 기본 홈페이지를 http: //www.hanb.co.kr 로 설정

27. <실습2> 그룹정책의 상속 실습 • 그룹정책적용범위를 기술부OU로 지정

28. <실습2> 그룹정책의 상속 실습 • 기술1팀은 상속차단 지정

29. <실습2> 그룹정책의 상속 실습 • [WinClient] 상속과 상속차단 테스트 • 로그오프후 새로 만든 정책을 상속하는 기술2팀의 안성기(sgann@hanbit.com)으로 로그온 • Internet Explorer 실행  초기홈페이지가 http://www.hanb.co.kr로 나옴 • 초기 홈페이지 변경시도  변경할 수 없음

30. <실습2> 그룹정책의 상속 실습 • 로그오프후 기술1팀으 박중훈(jhpark@hanbit.com)으로 로그온 • Internet Explorer 실행  초기홈페이지가 http://www.hanb.co.kr가 아님 • 초기 홈페이지도 변경가능

31. <실습2> 그룹정책의 상속 실습 • [Brain Server] 상속차단해도 강제상속 설정하기 • 기술부 강제상속 지정

32. <실습2> 그룹정책의 상속 실습 • 기술1팀 상속여부 확인

33. <실습2> 그룹정책의 상속 실습 • [WinClient] 강제 상속 여부 확인하기 • 현재 로그온 사용자는 박중훈 • 명령창에서 그룹정책 업데이트: gpupdate /force • Internet Explorer 실행  초기홈페이지가 http://www.hanb.co.kr로 나옴 • 초기 홈페이지 변경시도  변경할 수 없음 Capture

34. 사용자가 아니라 컴퓨터에 적용하는 그룹정책 • OU에 소속된 컴퓨터에 그룹정책을 적용해서 어떤 사용자든지 해당 컴퓨터에 로그온하면 그룹정책이 실행됨 • 실습예 • 교육장컴퓨터에 모든 사용자가 로그온하면 자동으로 Internet explorer가 실행되고 www.naver.com에 접속되도록 설정

35. <실습3> 컴퓨터에 그룹정책 적용하기 • [BrainServer] 교육장OU 생성하고, WinClient 포함시키기 • [관리도구]-[Active Directory 사용자 및 컴퓨터] • Habit.com 우클릭 > 새로만들기 > 조직구성단위 • [새개체]창에서 이름을 “교육장”으로 입력하여 생성 • 교육장OU로 WinClient 이동

36. <실습3> 컴퓨터에 그룹정책 적용하기 • [BrainServer] 교육장에 대한 그룹정책 생성하고 교육장OU에 적용 • [관리도구]-[그룹정책관리] • 도메인> hanbit.com> 그룹정책개체 우클릭> 새로만들기 • [새GPO]창에서 이름을 “교육장정책”으로 입력하여 생성 • “교육장정책”우클릭 > 편집

37. <실습3> 컴퓨터에 그룹정책 적용하기 • [그룹정책관리편집기]창에서 Internet Explorer 홈페이지를 www.naver.com으로 설정 • 항목추가입력내용: “c:\Program Files\Internet Explorer\iexplorer.exe” www.naver.com

38. <실습3> 컴퓨터에 그룹정책 적용하기 • [그룹정책관리]창에서 교육장OU에 교육장정책 연결

39. <실습3> 컴퓨터에 그룹정책 적용하기 • [WinClient] 여러 명의 사용자가 교육장정책에 적용되는지 확인 • 로그오프후 안성기(sgann@hanbit.com)으로 로그온해서 Internet Exlorer가 자동실행되는지 확인 • 만약 안될경우 gpupdate /force 명령 후 로그오프 후 재 로그온

40. <실습3> 컴퓨터에 그룹정책 적용하기 • 로그오프후 이경규(kklee@hanbit.com)로 로그온해도 그룹정책 적용되는지 확인 • 로그오프후 로컬사용자인 administrator(암호는 p@ssw0rd4)로 접속해도 그룹정책 적용됨을 확인 Capture

41. 로그온 스크립트를 이용한 그룹 정책 • Windows Server가 제공하는 그룹정책이 2,000여개가 넘지만 필요할 경우 별도로 커스텀 그룹정책을 로그온 스크립트로 만들어 사용자가 로그온할 때 해당 스크립트가 실행되게 할 수 있음 • 실습예: • 로그온 스크립트를 이용해 교육장 컴퓨터를 시작하면 Brain Server의 c:\실습파일\ 폴더가 z:로 네트워크 드라이브 연결이 되도록 설정

42. <실습4> 로그온 스크립트를 이용한 그룹 정책 • [Brain Server] 교육장에서 공유할 폴더 생성하고 공유하기 • 탐색기에서 c:\실습파일 폴더 생성후 아무파일이나 몇 개 복사해 둔다. • C:\실습파일 폴더 우클릭 – 속성 – 공유 – 고급공유

43. <실습4> 로그온 스크립트를 이용한 그룹 정책 • Everyone은 제거하고 인증된 사용자들(Authenticated Users)에게만 모든권한, 숨김공유로 지정

44. <실습4> 로그온 스크립트를 이용한 그룹 정책 • [BrainServer] 네트워크 드라이브 연결 스크립트 설정 • 메모장–스크립트 작성–파일저장(이름:드라이브연결.bat)

45. <실습4> 로그온 스크립트를 이용한 그룹 정책 • [관리도구]-[그룹정책관리] • 도메인>hanbit.com>그룹정책개체>교육장정책우클릭>편집 • [그룹정책관리편집기]창: 컴퓨터구성>정책>관리템플릿>시스템>로그온>사용자로그온할때다음프로그램실행 더블클릭

46. <실습4> 로그온 스크립트를 이용한 그룹 정책 • [속성]창 - <표시> 클릭 – 기존항목선택해 제거 – 추가클릭해서 스크립트파일의경로와이름입력

47. <실습4> 로그온 스크립트를 이용한 그룹 정책 • [WinClient] 스크립트가 잘 동작하는 지 확인 • 로그오프후 다시 안성기(sgann@hanbit.com)로 로그온 • 탐색기에서 z 드라이브가 보이는 지 확인 • 안되면 gpupdate /force 명령 후 로그오프하고 재 로그온

48. <실습4> 로그온 스크립트를 이용한 그룹 정책 • 로그오프후 박중훈(jhpark@hanbit)으로 로그온해도 보이는지 확인 탐색기 Capture

49. 그룹 정책 모델링 마법사 • 설정한 그룹정책을 그룹정책모델링마법사를 사용해 보고서 형태의 결과를 볼 수 있음

50. <실습5> 그룹 정책 모델링 마법사 • [BrainServer] hanbit.com 도메인의 그룹정책을 보고서로 만들기 • [관리도구]-[그룹정책관리] • 포리스트:hanbit.com>그룹정책모델링 우클릭 > 그룹정책모델링마법사