[Active Directory] 그룹 정책
AD에서는 그룹 정책을 이용하여 사용자나 컴퓨터에 대한 중앙관리가 가능하다.
예를들어 AD의 특정 그룹에 있는 사용자들은 제어판메뉴를 보이지 않게 하도록 하고 싶다면
AD의 그룹정책 중 제어판에 관련된 설정을 통해 관리할 수 있다는 것이다.
그룹정책에서는 소프트웨어 설치, Windows 구성 요소, 네트워크, 바탕화면, 시스템, 시작메뉴, 제어판 관리 등 여러 정책을 설정 할 수 있다.
그룹정책은 도메인안의 특정 그룹에 대해 적용할 수 있는데 이를 위해서는 AD에 조직구성단위(OU)를 생성해야 한다.
그 OU에는 사용자, 컴퓨터, 그룹 계정등을 포함할 수 있고 그룹정책을 반영해 관리가 가능하다.
만약 OU를 삭제하면 그 안에 있는 개체도 같이 삭제 된다.
그러면 OU생성 및 그룹정책 반영하는 방법에 대해 살펴보자.
1. OU 생성
[그림 1-1]
그룹정책을 설정하기 전에 먼저 OU를 추가하는데 [그림1-1]에서 처럼
Acitve Directory 사용자 및 컴퓨터 -> 마우스 오른쪽 버튼 클릭 -> 새로만들기 -> 조직구성단위 버튼을 클릭한다.
그림[1-2]
그림[1-3]
[그림1-2]에서처럼 OU의 이름을 적고 확인을 누르면 그림[1-3]과 같이 OU가 추가된 것을 볼 수 있다.
OU에 개체를 추가할 때 User나 Conputers에 이미 개체가 있다면 드래그앤 드롭으로 이동할 수도 있고 마우스 오른쪽 버튼을 클릭하여 추가할 수도 있다.
여기서는 김유저(kimuser)라는 사용자를 추가해서 사용하려고 한다. 사용자추가하는 방법은 다음을 참고하기 바란다.
2. 그룹정책 관리
이제 위에서 만든 그룹에 정책을 만드는 방법을 살펴보자.
그림[2-1]
그림[2-1] 처럼 그룹 정책 관리에서 도메인 -> 그룹 -> StudyGroup(생성한 OU) -> 마우스 오른쪽버튼 클릭 -> 이 도메인에서 GPO를 만들어 여기에 연결을 클릭한다.
그림[2-2]
그림[2-2]처럼 새 GPO 팝업이 뜨고 그룹정책이름을 입력 후 확인을 누르면 새 그룹 정책이 생성된다.
그림[2-3]
그림[2-4]
이제 그룹정책을 설정할텐데 그림[2-3] 처럼 생성한 그룹정책에서 마우스 오름쪽버튼 클릭 -> 편집버튼을 누르면 그림[2-4]와 같은
그룹 정책 관리 편집기 화면이 나타난다.
편집기 화면을 살펴보면 크게 컴퓨터 구성과 사용자 구성으로 나뉜다. 컴퓨터계정에 대한 정책을 설정하기 위해서는 컴퓨터 구성에서 설정하고
사용자계정에 대한 정책을 설정하기 위해서는 사용자 구성에서 설정하면 된다.
컴퓨터 계정에 정책을 반영하면 어떤 사용자가 로그인하더라도 컴퓨터 계정에 반영된 정책에 따라 사용하게 된다.
각 구성에서 정책을 보면 소프트웨어 설정, Windows설정, 관리 템플릿등을 설정할 수 있다.
그러면 처음 예로 들었던 사용자가 로그인 했을 때 제어판 메뉴가 보이지 않도록 정책을 설정하고 실제로 정책이 적용되는지 보도록 하자.
그림[2-5]
그림[2-5]에서 보면 사용자 구성 -> 정책 -> 관리 템플릿 -> 제어판을 클릭하면 오른쪽에 제어판에서 설정할 수 있는 항목들이 나온다.
우리는 제어판 메뉴를 안보이도록 설정할 것이기 때문에 Prohibit access to Control Panel and PC settings(제어판 및 PC 설정에 대한 엑세스 금지)를 선택한다.
그림[2-6]
제어판 및 PC 설정에 대한 엑세스 금지화면에서 제어판을 사용하지 못하도록 설정하기 위해 사용을 선택하고 적용을 누른다.
그림[2-7]
그룹정책이 설정되면 기본적으로 컴퓨터나 사용자가 로그온할때 정책이 반영되고 그룹 정책이 변경되면 정기적으로 새로고침을 하는데
약 90분 간격으로 변경여부를 확인한다.
만약 변경된 정책을 강제로 재 반영하기 위해서는 그림[2-7]에서 처럼 클라이언트 PC의 command에서 gpupdate명령을 사용하면 된다.
그러면 실제 사용자로 로그인했을 때 그룹정책이 반영되었는지 보도록 하자.
그림[2-8]
클라이언트 PC에서 김유저라는 사용자로 로그인했고 그림[2-7]을 보면 시작메뉴에서 빨간줄 아래부분에 제어판메뉴가 사라진것을 볼 수 있다.
위와 같이 특정 그룹의 사용자나 컴퓨터에 대한 관리가 필요할 경우 그룹정책을 이용하면 중앙에서 쉽게 관리가 가능해진다.
'시스템인프라 > MS서버군' 카테고리의 다른 글
[Active Directory]클라이언트 가입(서버 설정) (3) | 2015.06.02 |
---|---|
[Active Directory]포리스트 추가 (4) | 2015.06.02 |
[Active Directory]Domain Controller 설치 (4) | 2015.06.02 |
Active Director 개념 (4) | 2015.06.02 |
[Active Directory]클라이언트 가입(사용자 설정) (2) | 2015.05.23 |