1 / 79

15 장 . Active Directory 그룹 정책과 운영

서버운영체제. 15 장 . Active Directory 그룹 정책과 운영. 2013 년도 2 학기 14 주차. 그룹 정책 개요 (1) [P604]. 그룹 정책 이란 ? Active Directory 를 구성할 때는 네트워크 상에 많은 컴퓨터 및 사용자가 존재 한다 . 이런 상황에서 관리자가 각 컴퓨터 또는 사용자에게 일일이 사용할 프로그램과 그렇지 않을 프로그램을 지정하자면 시간과 노력이 너무 많이 들게 된다 .

teagan-moss
Download Presentation

15 장 . Active Directory 그룹 정책과 운영

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. 서버운영체제 15장. Active Directory 그룹 정책과 운영 2013년도 2학기 14주차

  2. 그룹 정책개요 (1) [P604] • 그룹 정책 이란? • Active Directory를 구성할 때는 네트워크 상에 많은 컴퓨터 및 사용자가 존재한다. 이런 상황에서 관리자가 각 컴퓨터 또는 사용자에게 일일이 사용할 프로그램과 그렇지 않을 프로그램을 지정하자면 시간과 노력이 너무 많이 들게 된다. • 이러한 네트워크 상에 많은 컴퓨터 및 사용자에 대한 환경을 일일이 설정하는 것이 아니라 '그룹 정책'을 설정한 후 적용시켜서 할 수 있다. • 그 결과 Active Directory 도메인 컴퓨터와 사용자를 일관되게 관리할 수 있게 된다.

  3. 그룹 정책개요 (2) [P605] • 그룹 정책의 기본 개념과 GPO • 그룹 정책(Group Policy)을 통해 관리할 수 있는 예 • Active Directory 내의 컴퓨터나 사용자에게 사용 가능한 프로그램을 지정하거나 제한할 수 있음. • 로그온 시 보여지는 바탕화면을 지정할 수 있음. • 시작 메뉴의 사용 옵션, USB나 CD/DVD의 사용 제한 등을 구성할 수 있음. • 잘못된 사용자의 시스템 구성 변경이나 네트워크 바이러스 침투 등의 사고를 예방할 수 있음. • 그룹 정책 개체(Group Policy Object, 약자로 GPO) • 그룹 정책을 생성한 후에 그 그룹 정책을 묶은 개체 • GPO는 도메인 단위에 저장 • 글로벌 카탈로그(Global Catalog, 약자로 GC)에 해당 정보가 저장 • 종류 : 로컬 GPO <사이트 GPO < 도메인 GPO < OU GPO

  4. 그룹 정책개요 (3) [P606] • 그룹 정책의 상속 • 그룹 정책의 상속 • 일반적으로 부모 컨테이너에서 자식 컨테이너로 상속 • 필요할 경우에는 상속을 재정의하거나 상속을 차단할 수 있음.(예:hanbit.com 도메인에 적용된 그룹 정책을 기술1팀 OU에는 적용되지 않도록 상속을 차단) • 반대로 상속 차단을 하지 못하도록 강제 상속하는 것도 가능(예: 회사(도메인)의 정책을 부서(OU)가 거부하지 못하도록설정)

  5. 그룹 정책개요 (4) [P606] • 그룹 정책의 가능한 작업 • 보안 설정 • 보안 강화를 위한 사용자의 암호 및 계정 잠금 방식 등에 대해서 도메인의 모든 사용자에게 강제로 적용할 수 있음. • 스크립트 지정 • 사용자의 로그온/로그오프 시, 또는 컴퓨터의 부팅과 종료 시 등에 자동으로 실행될 작업을 스크립트에 지정할 수 있음. • 폴더 리디렉션(Folder Redirection) • 사용자가 도메인 내의 어느 컴퓨터에서 로그온하더라도 자신의 문서 등에 대한 폴더가 동일한 환경으로 제공되도록 할 수 있음. • 소프트웨어 설정 • 사용자가 사용할 소프트웨어에 대해서 설치, 삭제, 업데이트를 제어할 수 있음. Windows Server 2008에서 제공하는 그룹 정책의 종류는 2,000개가 넘는다.

  6. <실습1> 그룹정책의 기본적인 적용과 해제 • [Brain Server] 도메인 사용자 생성시 암호와 관련된 그룹정책의 설정 확인 • 간단한암호(password)로 사용자가 만들어지는가? • [관리도구]-[Active Directory 사용자 및 컴퓨터] • “hanbit.com”-[새로만들기]-[사용자] • [새 개체-사용자] 창 – 성: 박, 이름:지성, 로그온이름: jspark • 암호: password  <마침>  암호를 설정할 수 없다는 창이 나옴  즉, 간단한 암호로는 사용자 생성이 안되게 되어 있음  사용자생성 취소

  7. <실습1> 그룹정책의 기본적인 적용과 해제 • [Brain Server] 도메인의 기본 그룹정책인 “Default Domain Policy” 확인 • [관리도구]-[그룹정책관리] • [포리스트]-[도메인]-[hanbit.com]-[Default Domain Policy] • 메시지창이 나오면 ‘다시표시안함’ 체크하고 통과 • hanbit.com에 기본적으로 적용되고 있는 암호화 관련 그룹정책 보기

  8. <실습1> 그룹정책의 기본적인 적용과 해제 • “Default Domain Policy” 편집하기  우클릭 – [편집] – [그룹정책관리편집기]창에서 작업 • 암호 복잡성 만족하기 정책 해제해 보기

  9. <실습1> 그룹정책의 기본적인 적용과 해제 • 앞서 실패했던 박지성 사용자 다시 생성해 보기 • 안될 경우 변경한 정책이 바로 적용되지 않아서 그러니 모든 창을 닫고 조금 후에 다시 해보기

  10. <실습1> 그룹정책의 기본적인 적용과 해제 • [Brain Server] 회계부 OU 직원들이 [제어판] 사용못하도록 하기 • [Active Directory 사용자 및 컴퓨터]에서 회계부 OU에 ‘김장훈’과 ‘서태지’ 있나 확인 (14장에서 생성했음)

  11. <실습1> 그룹정책의 기본적인 적용과 해제 • [관리도구]-[그룹정책관리] • Hanbit.com에 새 그룹정책(제어판 제한 정책) 생성

  12. <실습1> 그룹정책의 기본적인 적용과 해제 • ‘제어판 제한 정책’편집: 우클릭 – [편집] – [그룹정책관리편집기]창에서 작업 – 제어판 액세스 금지 사용

  13. <실습1> 그룹정책의 기본적인 적용과 해제 • 그룹 정책을 적용할 범위로 회계부 OU 지정

  14. <실습1> 그룹정책의 기본적인 적용과 해제 • 새로 생성한 그룹정책 생성여부 확인해보기 – 날짜와 시간으로 확인

  15. <실습1> 그룹정책의 기본적인 적용과 해제 • [WinClient] 김장훈으로 로그온해서 그룹정책적용 여부 확인해보기 • jhkim@hanbit.com으로 로그온(암호: p@ssw0rd) • 만약 “시간제한…’에 의해 로그온이 안되면 Brain Server에서 김장훈의 로그온 시간에 대한 제한을 풀것

  16. <실습1> 그룹정책의 기본적인 적용과 해제 • 제어판이 없어진 것 확인

  17. <실습1> 그룹정책의 기본적인 적용과 해제 • [WinClient] 로컬사용자에게도 그룹정책적용여부 확인해 보기 • 로그오프 후 ‘administrator’로 로그인(암호: p@ssw0rd4) • 제어판 있나 확인

  18. <실습1> 그룹정책의 기본적인 적용과 해제 • 로그오프 후 jhkim@hanbit.com으로 다시 로그온 • 적용했던 그룹정책 해제하기 • [Brain Server] 제어판 제한 정책 삭제

  19. <실습1> 그룹정책의 기본적인 적용과 해제 • [WinClient] ‘gpupdate /force’명령으로 그룹정책의 적용을 업데이트 한 후 제어판 보이나 확인 Capture

  20. 그룹 정책의 실제 적용 (2) [P615] 종종 정책이 반영되지 않는 경우가 있다. 이는 네트워크 상황 등으로 인해서 아직 정책이 전파되지 않았기 때문이다. • 생성한 그룹 정책이 적용되는 시점 • 사용자가 로그온할 때 • 컴퓨터를 재부팅했을 때 • 사용자가 강제로 직접 그룹 정책을 받아올 때(명령어: gpupdate /force) • 정책을 받아오는 주기적인 시간이 되었을 때 그룹 정책 개체인 GPO의 전파는 실시간으로 되지 않고 약 90분마다 적용되도록 설정되어 있다. 이 시간을 조절 할 수도 있는데 0분 ~ 64,800분(45일)까지 설정할 수 있다. 만약 0으로 설정하면 약 7초 단위로 GPO가 업데이트되어서 거의 실시간으로 GPO가 적용되지만, 네트워크 트래픽이 대폭 증가하여 문제가 될 수 있다

  21. 그룹 정책과 사용자 ‘기본설정’과의 차이 [P614] • 정책은 강제로 적용되고 사용자가 못 바꿈 • ‘기본설정’은 적용은 되지만 사용자가 변경할 수 있는 항목임

  22. 그룹 정책의 전파간격 조정 [P615] • 기본 전파간격은 90분 • 조정가능한 간격: 0~64,800분 • 0으로 설정하면 7초 간격으로 전파됨

  23. <실습2> 그룹정책의 상속 실습 • [Brain Server] 기술부 OU아래 기술1팀, 기술2팀 만들고, 박중훈은 기술1팀, 안성기는 기술2팀으로 이동 • 기술1팀 생성

  24. <실습2> 그룹정책의 상속 실습 • 같은 방식으로 기술2팀 생성 • 박중훈 기술1팀으로 이동

  25. <실습2> 그룹정책의 상속 실습 • 같은 방식으로 안성기 기술2팀으로 이동 • [Brain Server] 새로운 그룹정책을 기술부OU에 적용하되 기술1팀은 상속차단 • [관리도구]-[그룹정책관리] • 도메인>hanbit.com>그룹정책개체 우클릭>새로만들기 • [새GPO]창에서 이름을 ‘ Internet Explorer 홈페이지 지정 정책’으로 입력하여 생성

  26. <실습2> 그룹정책의 상속 실습 • 생성한‘ Internet Explorer 홈페이지 지정 정책’우클릭 – [편집]  [그룹정책관리편집기]에서 기본 홈페이지를 http: //www.hanb.co.kr 로 설정

  27. <실습2> 그룹정책의 상속 실습 • 그룹정책적용범위를 기술부OU로 지정

  28. <실습2> 그룹정책의 상속 실습 • 기술1팀은 상속차단 지정

  29. <실습2> 그룹정책의 상속 실습 • [WinClient] 상속과 상속차단 테스트 • 로그오프후 새로 만든 정책을 상속하는 기술2팀의 안성기(sgann@hanbit.com)으로 로그온 • Internet Explorer 실행  초기홈페이지가 http://www.hanb.co.kr로 나옴 • 초기 홈페이지 변경시도  변경할 수 없음

  30. <실습2> 그룹정책의 상속 실습 • 로그오프후 기술1팀으 박중훈(jhpark@hanbit.com)으로 로그온 • Internet Explorer 실행  초기홈페이지가 http://www.hanb.co.kr가 아님 • 초기 홈페이지도 변경가능

  31. <실습2> 그룹정책의 상속 실습 • [Brain Server] 상속차단해도 강제상속 설정하기 • 기술부 강제상속 지정

  32. <실습2> 그룹정책의 상속 실습 • 기술1팀 상속여부 확인

  33. <실습2> 그룹정책의 상속 실습 • [WinClient] 강제 상속 여부 확인하기 • 현재 로그온 사용자는 박중훈 • 명령창에서 그룹정책 업데이트: gpupdate /force • Internet Explorer 실행  초기홈페이지가 http://www.hanb.co.kr로 나옴 • 초기 홈페이지 변경시도  변경할 수 없음 Capture

  34. 사용자가 아니라 컴퓨터에 적용하는 그룹정책 • OU에 소속된 컴퓨터에 그룹정책을 적용해서 어떤 사용자든지 해당 컴퓨터에 로그온하면 그룹정책이 실행됨 • 실습예 • 교육장컴퓨터에 모든 사용자가 로그온하면 자동으로 Internet explorer가 실행되고 www.naver.com에 접속되도록 설정

  35. <실습3> 컴퓨터에 그룹정책 적용하기 • [BrainServer] 교육장OU 생성하고, WinClient 포함시키기 • [관리도구]-[Active Directory 사용자 및 컴퓨터] • Habit.com 우클릭 > 새로만들기 > 조직구성단위 • [새개체]창에서 이름을 “교육장”으로 입력하여 생성 • 교육장OU로 WinClient 이동

  36. <실습3> 컴퓨터에 그룹정책 적용하기 • [BrainServer] 교육장에 대한 그룹정책 생성하고 교육장OU에 적용 • [관리도구]-[그룹정책관리] • 도메인> hanbit.com> 그룹정책개체 우클릭> 새로만들기 • [새GPO]창에서 이름을 “교육장정책”으로 입력하여 생성 • “교육장정책”우클릭 > 편집

  37. <실습3> 컴퓨터에 그룹정책 적용하기 • [그룹정책관리편집기]창에서 Internet Explorer 홈페이지를 www.naver.com으로 설정 • 항목추가입력내용: “c:\Program Files\Internet Explorer\iexplorer.exe” www.naver.com

  38. <실습3> 컴퓨터에 그룹정책 적용하기 • [그룹정책관리]창에서 교육장OU에 교육장정책 연결

  39. <실습3> 컴퓨터에 그룹정책 적용하기 • [WinClient] 여러 명의 사용자가 교육장정책에 적용되는지 확인 • 로그오프후 안성기(sgann@hanbit.com)으로 로그온해서 Internet Exlorer가 자동실행되는지 확인 • 만약 안될경우 gpupdate /force 명령 후 로그오프 후 재 로그온

  40. <실습3> 컴퓨터에 그룹정책 적용하기 • 로그오프후 이경규(kklee@hanbit.com)로 로그온해도 그룹정책 적용되는지 확인 • 로그오프후 로컬사용자인 administrator(암호는 p@ssw0rd4)로 접속해도 그룹정책 적용됨을 확인 Capture

  41. 로그온 스크립트를 이용한 그룹 정책 • Windows Server가 제공하는 그룹정책이 2,000여개가 넘지만 필요할 경우 별도로 커스텀 그룹정책을 로그온 스크립트로 만들어 사용자가 로그온할 때 해당 스크립트가 실행되게 할 수 있음 • 실습예: • 로그온 스크립트를 이용해 교육장 컴퓨터를 시작하면 Brain Server의 c:\실습파일\ 폴더가 z:로 네트워크 드라이브 연결이 되도록 설정

  42. <실습4> 로그온 스크립트를 이용한 그룹 정책 • [Brain Server] 교육장에서 공유할 폴더 생성하고 공유하기 • 탐색기에서 c:\실습파일 폴더 생성후 아무파일이나 몇 개 복사해 둔다. • C:\실습파일 폴더 우클릭 – 속성 – 공유 – 고급공유

  43. <실습4> 로그온 스크립트를 이용한 그룹 정책 • Everyone은 제거하고 인증된 사용자들(Authenticated Users)에게만 모든권한, 숨김공유로 지정

  44. <실습4> 로그온 스크립트를 이용한 그룹 정책 • [BrainServer] 네트워크 드라이브 연결 스크립트 설정 • 메모장–스크립트 작성–파일저장(이름:드라이브연결.bat)

  45. <실습4> 로그온 스크립트를 이용한 그룹 정책 • [관리도구]-[그룹정책관리] • 도메인>hanbit.com>그룹정책개체>교육장정책우클릭>편집 • [그룹정책관리편집기]창: 컴퓨터구성>정책>관리템플릿>시스템>로그온>사용자로그온할때다음프로그램실행 더블클릭

  46. <실습4> 로그온 스크립트를 이용한 그룹 정책 • [속성]창 - <표시> 클릭 – 기존항목선택해 제거 – 추가클릭해서 스크립트파일의경로와이름입력

  47. <실습4> 로그온 스크립트를 이용한 그룹 정책 • [WinClient] 스크립트가 잘 동작하는 지 확인 • 로그오프후 다시 안성기(sgann@hanbit.com)로 로그온 • 탐색기에서 z 드라이브가 보이는 지 확인 • 안되면 gpupdate /force 명령 후 로그오프하고 재 로그온

  48. <실습4> 로그온 스크립트를 이용한 그룹 정책 • 로그오프후 박중훈(jhpark@hanbit)으로 로그온해도 보이는지 확인 탐색기 Capture

  49. 그룹 정책 모델링 마법사 • 설정한 그룹정책을 그룹정책모델링마법사를 사용해 보고서 형태의 결과를 볼 수 있음

  50. <실습5> 그룹 정책 모델링 마법사 • [BrainServer] hanbit.com 도메인의 그룹정책을 보고서로 만들기 • [관리도구]-[그룹정책관리] • 포리스트:hanbit.com>그룹정책모델링 우클릭 > 그룹정책모델링마법사

More Related