이 가이드는 Windows 로컬 그룹 정책 편집기(LGPE)를 탐색하고 사용하는 방법을 이해하는 데 도움을 주어 Windows 데스크탑 환경의 보안, 성능 및 사용성을 향상시키는 것을 목표로 합니다.
로컬 그룹 정책 편집기란 무엇인가요?
Windows 로컬 그룹 정책 편집기는 Microsoft 관리 콘솔(MMC) 스냅인으로, 로컬 컴퓨터에서 그룹 정책 개체(GPO)를 관리하고 변경할 수 있게 해줍니다. 정책 변경은 Windows 레지스트리의 특정 키에 대한 변경을 반영합니다.
중대형 기업에서는 그룹 정책 설정이 액티브 디렉토리 도메인 컨트롤러를 통해 관리되며, 최종 사용자에게 전달됩니다. LGPE는 고급 사용자와 IT 전문가에게 특정 설정이 예상대로 작동하지 않는 이유를 확인하기 위한 문제 해결 옵션을 제공합니다. 또한, 액티브 디렉토리(AD)로 중앙 집중 관리되지 않는 컴퓨터의 경우, LGPE를 통해 IT 전문가가 Windows PC에 대한 구성 변경을 할 수 있습니다.
로컬 그룹 정책 편집기에 접근하는 방법
LGPE를 여는 방법은 여러 가지가 있습니다. 유일한 전제 조건은 Windows 10/11 홈 에디션에서는 설치되거나 지원되지 않는다는 것입니다.
다음은 도구를 실행하는 가장 일반적인 방법입니다.
- 키보드에서 시작 버튼과 ‘R‘ 키를 클릭하여 ‘실행’ 대화 상자를 엽니다. ‘gpedit.msc‘를 입력하고 Enter를 누릅니다.
- 검색 상자를 열고 ‘gpedit.msc‘를 입력할 수도 있습니다.
- Windows에서 시작 메뉴 버튼을 클릭하고 ‘로컬 그룹‘을 입력한 후 시작 메뉴에서 ‘그룹 정책 편집—제어판‘을 선택합니다.
- PowerShell – Windows 터미널에서 이 명령을 실행하여 시작합니다 – ‘Start-Process gpedit.msc‘.
- 명령 프롬프트를 열고 gpedit.msc를 실행할 수도 있습니다.
- 관리 도구 – 시작 버튼을 클릭하고 오른쪽 상단의 ‘모두 >‘를 클릭한 후 Windows 도구로 스크롤하여 열고 ‘그룹 정책 관리’을 두 번 클릭합니다.
- 특별 참고 – Active Directory 원격 서버 관리 도구 (RSAT) 도구가 설치된 컴퓨터에 로그인한 경우, 이는 귀사의 GPO를 관리하는 중앙 ‘그룹 정책 관리‘ 도구를 엽니다. 로컬 정책이 아닙니다.
LGPE 사용자 인터페이스 탐색
LGPE는 두 개의 패널로 나뉩니다:
- 왼쪽에는 두 개의 주요 구성 트리(컴퓨터 구성 및 사용자 구성)가 있습니다.
- 오른쪽에는 모든 정책이 표시됩니다. 트리 중 하나로 들어가면 수정할 수 있는 다양한 정책을 찾을 수 있습니다.
컴퓨터 구성
컴퓨터 구성에는 사용자가 로그인 여부와 관계없이 컴퓨터 개체에 영향을 주는 정책 설정이 포함됩니다. 이러한 설정을 변경하면 기본적으로 이 컴퓨터에 로그인하는 모든 사용자에게 영향을 미칩니다. 컴퓨터가 시작되고 Windows로 부팅되면 이러한 정책이 적용됩니다.
사용자 구성
사용자 구성 섹션에는 사용자에게 특정하게 영향을 주는 설정이 포함됩니다. 이러한 설정은 일반적으로 사용자가 컴퓨터에 로그인할 때 실행됩니다. 사용자가 로그인할 때 로그온 스크립트를 실행하려면 여기에서 정책 변경을 구성하면 됩니다.
정책 설정 탐색 및 수정
정책의 다양한 섹션을 자세히 살펴보면 결국 설정을 보게 될 것입니다. 이는 여러분이 보고 수정할 수 있는 개별 정책들입니다.
설정 중 하나를 클릭하고 창 하단에서 보기 모드가 ‘확장‘로 설정되면, 왼쪽에서 설정의 요구 사항과 설명을 볼 수 있습니다.
위에서 저는 ‘휴지통 컨텍스트 메뉴에서 속성 제거’를 클릭했습니다. 요구 사항은 이 설정이 Windows Server 2003 및 Windows XP 이상에만 영향을 미친다는 것을 보여줍니다. 따라서 오늘날 지원되는 모든 Windows 클라이언트 및 서버 버전에서 가능합니다. 🙂 설명은 설정이 영향을 미칠 기본 사항을 보여줍니다.
로컬 그룹 정책 편집기를 사용하여 정책 수정하기
설정을 변경하려면, 제가 방금 언급한 확장 패널에서 ‘정책 설정 편집‘ 링크를 클릭할 수 있습니다. 그러나 설정 이름을 더블 클릭하는 것이 아마 가장 쉬울 것입니다.
정보를 바탕으로 정보에 입각한 변경을 하기 위해 알아야 할 모든 정보가 여기에 있습니다. 대부분의 설정에서 ‘구성되지 않음‘, ‘사용‘ 또는 ‘사용 안 함‘을 선택합니다. 이 예에서 제가 사용를 클릭하고 확인을 클릭하면, 그 변경은 즉시 적용됩니다. 제가 보여드리겠습니다.
로그오프하고 다시 로그인하지 않았기 때문에 속성 링크는 여전히 보였지만, 볼 수 있듯이 사용 불가능합니다.
로컬 그룹 정책 대 도메인 그룹 정책 이해하기
위에서 언급했듯이 로컬 그룹 정책 편집기를 사용하여 로컬 컴퓨터 구성을 수정하는 것과 그룹 정책 관리를 사용하여 엔터프라이즈 그룹 정책 객체(GPO)를 관리하는 것 사이에는 차이가 있습니다.
두 가지 모두 동일한 유형의 도구를 사용하지만 정책이 표시되는 방식은 다릅니다. 그룹 정책 관리 도구는 AD 포리스트와 도메인을 보여주고 전체 도메인 조직 단위 (OU) 구조를 나열합니다. 이것이 적용되는 방식입니다.
그룹 정책 관리 템플릿
관리 템플릿 파일(ADML 및 ADMX 파일)은 표시되는 설정과 정책을 결정합니다. 관리 템플릿은 새로운 기능이 출시되고 새로운 Windows 버전(기능 업데이트)이 일반적으로 제공될 때 Microsoft에 의해 주기적으로 릴리스되고 업데이트됩니다.
ADMX 파일은 설정 정의를 저장하고, ADML 파일의 ‘en-US’(또는 다른 언어)는 특정 언어 정책 설명을 포함합니다. 관리 템플릿은 Microsoft의 다양한 위치에서 다운로드할 수 있습니다.
일반 보안 정책
유용하고 일상적인 보안 설정은 이 도구를 사용하여 신속하게 설정할 수 있습니다. 다음은 몇 가지 예입니다:
- 비밀번호 정책– 컴퓨터 구성 -> Windows 설정 -> 보안 설정 -> 계정 정책 -> 비밀번호 정책으로 이동합니다.
- 최대 비밀번호 사용 기간, 최소 비밀번호 길이, 비밀번호는 복잡성 요구 사항을 충족해야 합니다. 등의 설정을 찾을 수 있습니다.
- 계정 잠금 정책– 동일한 위치로 이동하면 비밀번호 정책 폴더 바로 아래에 ‘계정 잠금 정책’을 찾을 수 있습니다.
- 여기서 계정 잠금 기간, 계정 잠금 임계값, 계정 잠금 카운터를 재설정하는 기간 등을 찾을 수 있습니다.
- 로컬 정책– 마지막 폴더 바로 아래에 로컬 정책을 찾을 수 있습니다. 이 아래에서 사용자 권한 할당을 클릭할 수 있습니다.
- 여기에는 많은 보안 설정이 있습니다 – 로컬 로그인 허용, 서비스로 로그인 거부, 도메인에 워크스테이션 추가 등이 있습니다.
LGPO 설정 내보내기 및 가져오기
Microsoft 보안 컴플라이언스 툴킷 1.0에 다소 숨겨져 있는 LGPO 유틸리티는 로컬 그룹 정책 편집기 설정을 내보내고 다른 컴퓨터에 가져올 수 있게 해줍니다.
- LGPO 유틸리티를 다운로드하고 Windows 터미널의 관리자 창에서 이 명령을 실행하여 로컬 구성을 내보냅니다.
LGPO.exe /b c:\Path\To\Backup\To그런 다음 새로운 기기에서 이전 구성을 가져오려면 이 명령을 실행할 수 있습니다.
LGPO.exe /g c:\Your\New\Path로컬 그룹 정책 편집기 사용에 관한 글을 읽어 주셔서 감사합니다. 아래 댓글이나 질문을 남겨주세요.
Source:
https://petri.com/windows-local-group-policy-editor/