- GP를 통해 IT관리자가 많은 컴퓨터를 쉽게 제어할 수 있다. - 프로그램을 자동으로 배포할 수 있다. - 보안 설정을 할 수 있다. - 사용자의 데스크탑 환경을 제어할 수 있다.
GP 설정은 크게 2부분으로 이루어진다.
- 컴퓨터의 레지스트리를 설정 (HKEY_CURRENT_USER) - 계정에 적용된다 (컴퓨터 로그온시) - 'gpupdate /force' 명령을 통해 바로 적용 할 수 있다. - Logon 스크립트 실행
- 컴퓨터의 레지스트리를 설정 (HKEY_LOCAL_MACHINE) - 컴퓨터 객체에 적용된다 (컴퓨터 부팅시) - 'gpupdate /force' 명령을 통해 바로 작용 할 수 있다. - Startup 스크립트 실행
도메인 컨트롤러와 클라이언트사이에 GPO를 동기화 하는 시간은 기본옵션으로 90분이다.
- 500kbps 이하의 네트워크 환경에서는 적용되지 않는다. - 사용자의 Credential 정보가 캐시된 환경에서는 적용되지 않는다.
GOP는 GPC, GPT로 나눠진다.
GPC(Group Policy Container)
- AD DS에 정보가 저장된다. (NTDS.dit 파일) - GPO의 버전정보를 가지고 있다.
GPT(Group Policy Template)
- SYSVOL 폴더에 정보가 저장된다. - GP의 셋팅 정보를 가지고 있다. - ADM과 ADMS를 지원한다. - ADM : SYSVOL 폴더에 저장되고, 커스터마이징이 힘들다. - ADMS : XML로 저장되어 커스터마이징이 쉽다.
SYSVOL 폴더
- 도메인 내의 공유 정보들이 저장된다. - 기본적으로 공유 설정이 되어 있다. - 반드시 NTFS 파일 시스템에 위치해야 한다. - 도메인에 있는 컴퓨터들이 로그온할때, 도메인 컨트롤러에 있는 SYSVOL 폴더의 정보를 가지고 가서, 자신의 레지스트리에 덮어 씌운다.
GPO는 Local Group, Site, Domain, OU단에 만들 수 있다.
Site에 만들어지는 GPO는 사이트내의 모든 컴퓨터에게 적용된다.
Domain에 만들어지는 GPO는 도메인내의 모든 컴퓨터에게 적용된다.
Group Policy 처리 순서
- Local group -> Site -> Domain -> OU 순에서 우측 GPO가 좌측 GPO를 덮는다. - 최종 사용자는 상위단부터 전체 GPO를 적용받고, 충돌된 GPO의 경우 하위 GPO를 적용한다. - 같은 Container 내에서 GPO가 충돌이 되면 상단의 GPO가 적용된다. - Block Inheritance를 통해 상위 GPO 상속을 차단할 수 있다. - Enforced 옵션이 적용된 GPO는 하단에서 차단을 했더라고 강제적으로 적용할 수 있다.
WMI Filter
- 도메인에 있는 특정 컴퓨터를 쿼리해서 적용하고 싶을때 사용 (예, 서버에만 적용, XP, Vista에만 적용)