GP(Group Policy) 설정

GP(Group Policy)를 통해

  • GP를 통해 IT관리자가 많은 컴퓨터를 쉽게 제어할 수 있다.
  • 프로그램을 자동으로 배포할 수 있다.
  • 보안 설정을 할 수 있다.
  • 사용자의 데스크탑 환경을 제어할 수 있다.

GP 설정은 크게 2부분으로 이루어진다.

User Configuration 부분

  • 컴퓨터의 레지스트리를 설정 (HKEY_CURRENT_USER)
  • 계정에 적용된다 (컴퓨터 로그온시)
  • ‘gpupdate /force’ 명령을 통해 바로 적용 할 수 있다.
  • Logon 스크립트 실행

Computer Configuration 부분

  • 컴퓨터의 레지스트리를 설정 (HKEY_LOCAL_MACHINE)
  • 컴퓨터 객체에 적용된다 (컴퓨터 부팅시)
  • ‘gpupdate /force’ 명령을 통해 바로 작용 할 수 있다.
  • Startup 스크립트 실행

도메인 컨트롤러와 클라이언트사이에 GPO를 동기화 하는 시간은 기본옵션으로 90분이다.

GP적용 예외

  • 500kbps 이하의 네트워크 환경에서는 적용되지 않는다.
  • 사용자의 Credential 정보가 캐시된 환경에서는 적용되지 않는다.

GOP는 GPC, GPT로 나눠진다.

GPC(Group Policy Container)

  • AD DS에 정보가 저장된다. (NTDS.dit 파일)
  • GPO의 버전정보를 가지고 있다.

GPT(Group Policy Template)

  • SYSVOL 폴더에 정보가 저장된다.
  • GP의 셋팅 정보를 가지고 있다.
  • ADM과 ADMS를 지원한다.
  • ADM : SYSVOL 폴더에 저장되고, 커스터마이징이 힘들다.
  • ADMS : XML로 저장되어 커스터마이징이 쉽다.

 

SYSVOL 폴더

  • 도메인 내의 공유 정보들이 저장된다.
  • 기본적으로 공유 설정이 되어 있다.
  • 반드시 NTFS 파일 시스템에 위치해야 한다.
  • 도메인에 있는 컴퓨터들이 로그온할때, 도메인 컨트롤러에 있는 SYSVOL 폴더의 정보를 가지고 가서, 자신의 레지스트리에 덮어 씌운다.

GPO는 Local Group, Site, Domain, OU단에 만들 수 있다.

Site에 만들어지는 GPO는 사이트내의 모든 컴퓨터에게 적용된다.

Domain에 만들어지는 GPO는 도메인내의 모든 컴퓨터에게 적용된다.

Group Policy 처리 순서

  • Local group -> Site -> Domain -> OU 순에서 우측 GPO가 좌측 GPO를 덮는다.
  • 최종 사용자는 상위단부터 전체 GPO를 적용받고, 충돌된 GPO의 경우 하위 GPO를 적용한다.
  • 같은 Container 내에서 GPO가 충돌이 되면 상단의 GPO가 적용된다.
  • Block Inheritance를 통해 상위 GPO 상속을 차단할 수 있다.
  • Enforced 옵션이 적용된 GPO는 하단에서 차단을 했더라고 강제적으로 적용할 수 있다.

WMI Filter

  • 도메인에 있는 특정 컴퓨터를 쿼리해서 적용하고 싶을때 사용 (예, 서버에만 적용, XP, Vista에만 적용)

zemna

Programmer/Web/Mobile/Desktop

You may also like...

Leave a Reply