활성 디렉터리에서 GPO를 만들고 연결하는 방법 (단계별). 활성 디렉터리 관리의 동적 영역에서 그룹 정책 개체 (GPO)의 기술을 마스터하는 것은 모든 관리자에게 중요한 기술입니다. 이 단계별 안내서는 GPO를 생성하고 연결하는 원활한 과정을 밝혀 활성 디렉터리의 복잡성을 탐색하는 포괄적인 도로맵을 제공합니다. 이 기사는 기본 사항을 이해하는 데 그치지 않고 네트워크 관리 여정에서 GPO를 효과적으로 사용할 자신감을 얻도록 보장합니다.
활성 디렉터리에서 GPO 만들고 연결하는 방법 (단계별)
그룹 정책 개체 간략한 개요그룹 정책 개체 (GPO)는 Windows 활성 디렉터리 환경에서 중앙 집중식 관리의 기본입니다. 본질적으로 GPO는 관리자가 네트워크 내 사용자와 컴퓨터 의 행동을 조정하기 위해 정의한 규칙, 구성 및 설정의 집합입니다. GPO를 구현함으로써 관리자는 보안 정책을 시행하고 시스템 설정을 규제하며 소프트웨어를 배포하고 네트워크 관리의 다양한 측면을 간소화합니다.
이 강력한 도구는 조직의 효율성을 향상시킬 뿐만 아니라 관리자가 다양한 장치와 사용자에게 통제를 가하고 정책을 시행하여 일관된 안전한 컴퓨팅 환경을 보장합니다.
그룹 정책 개체와 함께 작업
GPO는 두 가지 다른 방식으로 작동됩니다: 로컬 머신에서는 로컬 그룹 정책 편집기를 사용하거나 기업 시스템에서는 그룹 정책 관리 콘솔 (GPMC)를 사용합니다. 견고한 환경을 유지하고 생성하기 위해 이 기사에서는 로컬 정책이 도메인 정책보다 먼저 처리되므로 기업 시나리오에 집중합니다.
그룹 정책 RSAT 도구 설치
클래식 원격 서버 관리 도구 (RSAT) 툴킷의 구성 요소 중 하나는 그룹 정책 관리 콘솔입니다. 이 MMC 기반 (Microsoft Management Console) 솔루션을 현재 Windows 설정 앱을 사용하여 Windows에 설치할 수 있습니다.
도메인 컨트롤러 (DC)의 ‘SYSVOL‘ 공유 폴더에 그룹 정책 설정을 유지하고 필요한 경우 이러한 설정을 도메인 및 포리스트의 다른 모든 DC에 복제합니다. 이 프로세스는 그룹 정책 인프라의 내장된 중복성을 설명합니다.
계속하려면, 다음과 같이 설치하는 방법을 보여줍니다. 그룹 정책 관리 콘솔 도구:
- 먼저, 시작 버튼을 클릭하고 ‘ 옵션 ‘키워드로 검색합니다.
- ‘ 옵션 기능 관리 ‘ 및 위쪽에 ‘ 기능 추가 ‘버튼을 클릭합니다.
- ‘ RSAT: 그룹 정책 관리 도구’ 체크 상자를 확인하고 설치를 클릭합니다.
이제부터 그룹 정책 관리 콘솔에 액세스할 수 있습니다. 그룹 정책 관리 콘솔 (GPMC)을 여는 방법은 다음과 같습니다:
- 실행 대화 상자를 사용하여:
-
- Windows + R를 눌러 Run대화 상자를 엽니니다.
- gpmc.msc를 입력하고 Enter 키를 누릅니다.
2. 시작 메뉴를 통해:
-
- 시작 버튼을 클릭합니다.
- 검색 창에 “Group Policy Management Console”을 입력합니다.나타나는 관련 결과를 클릭합니다.
시작 버튼을 클릭합니다.
-
- 만약 Windows Server를 사용한다면, Server Manager를 엽니다.
- Server Manager 창 안에서 오른쪽 상단의 “도구”를 클릭합니다.
- 목록에서 “그룹 정책 관리”를 선택합니다.
이제 그룹 정책 관리 콘솔이 나타납니다. 여기서 그룹 정책을 어떻게 구성하고 조직 내에서 특정 논리적 엔티티를 대상으로 하는지 소개합니다.
그룹 정책 관리 콘솔을 사용하여 여러 가지 기능을 수행합니다. 예를 들어, 기존 그룹 정책 개체(GPO)를 변경하거나 새 GPO를 생성하고, 특정 GPO의 필터링 설정을 그룹 수준에서 조정하며, 특정 컴퓨터를 정확히 지정하기 위해 WMI 필터링을 사용합니다. 다음 섹션에서는 새 GPO를 생성하는 방법부터 시작합니다.
새 그룹 정책 개체 만들기
이제 새 그룹 정책 개체를 만들어 보겠습니다:
- ‘도메인 Windows 컴퓨터’를 마우스 오른쪽 단추로 클릭하고 ‘도메인에 GPO 만들기 및 여기에 연결…’을 선택하십시오.
‘시작 메뉴 정리’로 이름을 지정하고 확인을 클릭하십시오..
3. GPO 편집: 연결된 GPO를 마우스 오른쪽 단추로 클릭하고 편집을 선택하십시오.
4. 정책 설정으로 이동하십시오:
-
- 그룹 정책 관리 편집기에서 다음 메뉴로 이동하십시오:
- 컴퓨터 구성 -> 정책 -> Windows 설정 -> 보안 설정 -> 로컬 정책 -> 사용자 권한 할당.
5. 정책 설정 수정:
-
- 원하는 정책을 찾아 아래 예시와 같이 찾으십시오:
- 정책을 두 번 클릭하여 “이 정책 설정 정의”을 선택하고 “활성화”를 선택하십시오.
6. 저장 및 닫기:
-
- 변경 사항을 적용하려면 “확인”을 클릭하십시오.
- 그룹 정책 관리 편집기를 닫으십시오.
그룹 정책을 강제로 업데이트하거나 적용을 기다립니다
이 설정이 활성화되어 있음을 유의하십시오. 다음 새로 고침 시에 해당 OU 내의 모든 컴퓨터 객체가 이를 볼 수 있습니다. 그룹 정책은 기본적으로 도메인 PC 및 서버에서 90분마다 무작위로 30분의 오프셋을 가진 주기로 처리됩니다. 그럼에도 불구하고, gpresult 명령은 테스트 및 문제 해결에 유용한 도구입니다.
확인하려면, 우리는 이제 시스템이 오브젝트를 숨기도록 하는 것을 관찰합니다. 시작 버튼을 마우스 오른쪽 버튼으로 클릭하고 종료 또는 로그아웃 메뉴를 선택합니다.
이 비교적 간단한 수정으로 사용자가 자신의 기계를 다시 시작하거나 종료하는 것을 방지합니다. 이러한 종류의 설정에는 많은 변수와 응용 프로그램이 있습니다.
그룹 정책 개체에 링크하기
- 조직 단위(OU) 또는 도메인에 GPO 링크:
-
- GPO를 링크하려는 대상 OU 또는 도메인으로 이동합니다.
- OU 또는 도메인을 마우스 오른쪽 버튼으로 클릭하고 “기존 GPO 링크”를 선택한 후 “도메인 컨트롤러 보안 잠금”을 선택합니다.
2. 링크 확인:
-
- A dialog box appears. Confirm our selection by clicking “Yes.”
3. 링크 확인:
-
- GPMC에서 대상 OU 또는 도메인 아래에서 “도메인 컨트롤러 보안 잠금” GPO가 이제 연결되어 있는지 확인합니다.
4. 강제 업데이트 또는 그룹 정책 적용 대기:
-
- 도메인 컨트롤러에서 명령 프롬프트에서 gpupdate /force를 사용하여 그룹 정책 업데이트를 강제하거나 다음 새로 고침 중에 정책이 적용되기를 기다립니다.
이제 GPO 및 도메인 컨트롤러가 연결되어 있습니다. DC는 그룹 정책의 수정 사항을 확인할 때 해당 GPO의 설정을 처리합니다. 설정을 한 번 만들고 조합한 후에는 빠르게 환경 내 컨테이너에 연결하거나 배포합니다.
기존 그룹 정책 개체 수정
대규모 기업의 단일 도메인에서 수백 개 또는 수천 개의 GPO를 찾을 것으로 예상됩니다. 자식 OU, 로컬 GPO 및 로컬 정책을 혼합하여 특정 GPO를 상속하고 WMI를 활용하여 특정 OS 시스템을 대상으로 하는 복잡성에 직면하게 됩니다. 또한, 도메인 내의 GPO 양이 많아서 PC가 부팅하고 사용자가 로그인할 때 일반적인 성능 저하가 발생합니다.
그룹 정책 개체 범위
도메인 루트에 대부분의 GPO를 위치시킵니다. 이 절차로 인해 도메인 내의 모든 기계 및 서버 객체가 기본적으로 이 GPO를 보고 사용합니다. 또한 특정 사람, 기계, 조직 단위 및 보안 그룹을 제외하는 기술이 있습니다.
이 프로세스를 통해 보안 필터링 섹션에서 인증된 사용자 그룹을 표시할 수 있습니다. 이 필터링은 효과적으로 “모두“라고 말합니다: 이 GPO는 도메인으로 인증된 모든 계정에 표시됩니다.
그룹 정책 개체 편집
이제 현재 GPO를 편집해 봅시다:
- 대상 GPO를 마우스 오른쪽 버튼으로 클릭하고 ‘편집‘을 선택하여 수정 프로세스를 시작합니다.
- 논리적 레이아웃을 통해 이동하십시오. 이는 컴퓨터 구성 및 사용자 구성 트리를 포함합니다.
- WSUS 설정을 찾고 조정하려면 컴퓨터 구성에서 확장 -> 정책 -> 관리 템플릿 -> Windows 구성요소 -> Windows 업데이트
- 원하는 수정할 구체적인 설정을 식별하십시오. 예를 들어 ‘자동 업데이트 구성’.
- 선택한 설정의 속성에 들어가 구성 옵션에 액세스하고 분석하십시오.
- 원하는 정책 수정과 일치하도록 GPO를 조정하십시오.
이 프로세스는 더 복잡한 설정입니다. 이것은 Windows 업데이트를 도메인에 업데이트하는 방법에 대한 설정입니다. 그러나 여기서 중요한 점은 모든 컴퓨터(또는 일부)를 중앙에서 관리한다는 것입니다.
이 프로세스는 그룹 정책 개체(GPO)가 컴퓨터 설정에 제한을 부과하는 방법을 설명합니다. 이 작업 스테이션의 Windows 업데이트의 고급 옵션을 조사한다고 가정할 때, 초기 설정 ‘Windows를 업데이트할 때 다른 Microsoft 제품의 업데이트 받기’는 이제 그룹 정책에 의해 관리된다는 것을 관찰합니다.
기술적으로 이는 우리가 이 컴퓨터에 일부 그룹 정책을 적용했지만 이러한 설정을 조정할 수 없다는 것을 나타냅니다.
그룹 정책 개체 관리
새 도메인을 만들면 Windows Server가 기본 구성으로 두 개의 GPO를 생성합니다. 즉, ‘기본 도메인 정책’과 ‘기본 도메인 컨트롤러 정책’입니다. 최소한 이러한 GPO는 도메인 암호 정책, 계정 잠금 정책, Kerberos 정책, 기본 보안 옵션 및 기타 다양한 네트워크 보안 구성의 매개변수를 결정합니다.
수십 년 동안 두 정책을 수정하지 말아야 하는 관행이 있었는데, 대신 새로운 GPO를 만들어야 합니다. 이에는 몇 가지 이유가 있지만 가장 근본적인 것은 도메인을 문제 해결할 때 이러한 기본 설정을 변경해서는 안 된다는 것을 알아야 한다는 것입니다.
그룹 정책 개체 비활성화
GPO를 비활성화하고 향후 컴퓨터에 설정 적용을 차단하려면, GPO를 오른쪽 클릭하고 “링크 비활성화”를 선택합니다. 이操作은 링크를 분리하고 GPO를 非활성 또는 휴면 상태로 전환합니다.
그룹 정책 개체 삭제
정리와 문제 해결 작업 중 GPO를 삭제하려면, 이를 오른쪽 클릭하고 삭제합니다. 보다 포괄적이고 간소화된 접근을 위해, 트리 보기에서 “그룹 정책 개체”로 이동한 후 삭제 프로세스를 시작하세요.
이상으로 “How to Create and Link a GPO in Active Directory (Step by Step)” 가이드 읽어주셔서 감사합니다. 이제 글을 마치도록 하겠습니다.
Active Directory에서 GPO 생성 및 연결 방법 결론
결론적으로, Active Directory에서 그룹 정책 개체(GPO) 생성 및 연결을 숙련하는 것은 네트워크 관리의 복잡한 과정을 헤쳐나가는 관리자들에게 필수적인 기술입니다. 본 단계별 가이드는 GPO를 원활하게 구현하는 데 필요한 지식과 확신을 제공함으로써 우리를 무장시켰습니다. Active Directory 관리의 여정을 시작하면서 GPO를 효과적으로 활용하는 능력은 시스템 구성을 최적화할 뿐만 아니라 네트워크 전반에 걸쳐 안전한 컴퓨팅 환경을 유지하는 데 힘을 실어줍니다.
Source:
https://infrasos.com/how-to-create-and-link-a-gpo-in-active-directory/