Windows Server 2012 - GPO(Group Policy Object)

 

 

 

시작전에
Server128, Client AD2로 스냅샷 돌리고 작업하자.


GPO ( Group Policy Object )

그룹 정책 개체
도메인, OU에 적용할 정책과 설정 정보를 담고있는 일종의 컨테이너이다.

그룹정책
관리자들이 사용자/컴퓨터 사용 권한을 중앙에서 제어할 수 있도록 

관리 작업을 단순화하는 규칙의 집합이다.


그룹 정책의 기능

사용자/컴퓨터의 권한을 중앙에서 제어할 수 있도록 관리 작업 단순화

Windows 구성 요소, 시스템 리소스, 네트워크 리소스, 제어판 유틸리트, 데스크톱, 시작메뉴

사용자의 내 문서와 같은 특수 폴더에 대한 중앙집중화된 관리 디렉터리 생성

지정된 시점(컴퓨터 부팅, 사용자 로그온)에 실행되는 사용자 및 컴퓨터 스크립트를 정의

계정 잠금, 암호 감사, 사용자 권한 할당, 보안에 관련된 정책 구성

GPO는 적용될 사용자 지정불가, 도메인 혹은 OU에 적용시킨다.

[ 그룹정책의 종류 ]

로컬 그룹 정책 도메인 그룹 정책
LGPO / GPO
gpedit.msc / gpmc.msc
독립실행형 도메인 컨트롤러로서
정책 예외 불가 정책 적용 시 분리, 예외 처리가 가능하다.

로컬 그룹 정책과 도메인 그룹 정책이 충돌되면 
로컬 그룹 정책이 우선된다.


[ 그룹정책 구성요소 ]

컴퓨터 구성과 사용자 구성으로 나뉜다.

컴퓨터 구성은 컴퓨터 기준의 정책으로 로그온 계정과는 무관하다.

또한 시스템 시작 시 발동하는 정책이다.

 

사용자 구성은 사용자 계정이 기준이 되는 정책으로

로그온 하는 컴퓨터와는 무관하며 로그온 시 발동하는 정책이다.

기본정책
Default Domain Policy
도메인 전체를 위해 자동 생성, 연결된 GPO
기본 계정 정책을 구성

Default Domain Controllers Policy
DC를 위해 자동 생성, 연결된 GPO
도메인 컨트롤러가 Domain Controllers OU에서 제거되지 않는 이상 도메인 내의 모든 컨트롤러에 적용
사용자 권한이나 감사 정책 설정을 변경해야하는 도메인 컨트롤러에서 응용 프로그램을 설치할 경유 수정

 

GPO편집이 가능한 그룹
 Domain Admins, Enterprise Admins, Group Policy, Creator Owner

GPO 생성 ,연결
기본적으로 그룹 정책 적용은 GPO를 도메인, OU에 연결하여 사용
연결된 개체 없이 GPO만 단독으로 생성 가능하며 그룹 정책 편집기의 생성된 GPO는 

그룹정책개체 하위에 생성된다.
미리 생성된 GPO를 정책을 적용할 대상에 불러와 연결해 사용
적용 대상 개채에서 GPO를 생성하여 직접 연결해 사용
GPO와 개체의 연결을 삭제할 경우 GPO는 삭제되지 않는다.
GPO를 적용 받는 개체를 삭제해도 GPO는 삭제되지 않는다.
GPO를 삭제할 경우 연결된 모든 연결이 해제 된다.


관리도구 - 그룹정책관리 - 그룹 정책 개체

보면 붉은 박스에 있는 것들이 파란박스와 똑같은걸 확인할 수 있는데

붉은 박스에 있는(그룹 정책 개체) 것들이 원본이다.

 

그리고 파란박스를 보면 바로가기 아이콘(화살표)으로 된 것을 알 수 있다. 

즉, 원본을 만들어놓고 바로가기로 OU나 도메인에 적용시키는 원리이다.
따라서 해당 OU나 도메인에서 GPO를 삭제해도 바로가기를 삭제한 것이므로 원본은 남아있게 된다.


-----------------------------------

OU생성

그룹 정책 관리 안에서도 OU를 생성 할 수 있다.
hann.cloud - 우클릭 - 새 조직구성 단위 - 이름: TEST01

 

그룹 정책 원본 생성
그룹 정책 개체 - 우클릭 - 새로만들기 - 01.TESTGPO

 

그룹 정책 적용
TEST01 - 우클릭 - 기존 GPO 연결 - 01.TESTGPO 선택

 

원본생성과 적용을 한번에 하는 방법
TEST01 - 우클릭 - 이 도메인에서 GPO를 만들어 여기에 연결 - 02.TESTGPO

 

정책 적용 해제
TEST01 - 02.TESTGPO 우클릭 - 삭제 (원본은 삭제되지 않는다.)

 

원본 삭제
그룹 정책 개체 - 02.TESTGPO 우클릭 - 삭제 (원본을 삭제했으므로 적용시킨 것도 자동으로 삭제 된다.)

정책 상속

정책은 상위 컨테이너에서 하위 컨테이너로 상속된다

상속은 거부하거나 강제 상속할 수 있으며, 강제 상속이 우선순위가 높다

강제 상속되는 GPO는 자물쇠 GPO아이콘이 Overlap된다

상속을 거부하면 컨테이너의 아이콘에 파란색 느낌표가 추가된다

강제 상속은 상속 거부가 불가하다

TEST01 - 그룹 정책 상속 - 우선순위 확인

우선순위는 
LGPO > OU GPO > Domain GPO 순서
LGPO는 시스템에 적용되는 로컬 정책이므로 보이지 않는다.

상속 차단(거부)
TEST01 - 우클릭 - 상속 차단 - 파란색 느낌표 확인 - 상속 리스트에서 상위 개체로부터 

상속받았던 정책 사라진 것 확인

 

강제 상속
포리스트 hann.cloud - 도메인 - hann.cloud - Default Domain Policy - 우클릭 - 적용 - 자물쇠 아이콘 확인

 

상속거부와 강제상속 한 것들은 다시 풀어주자


-----------------------------------

스타터 GPO

그룹 정책 개체에 대한 기본 탬플릿

자주 사용하는 정책들을 미리 구성하고 필요한 부분만 편집하여 추가 할 때 사용

관리 탬플릿 영역의 정책에 대해서만 기본틀을 구성

컴퓨터 구성의 관리 탬플릿, 사용자 구성의 관리 탬플릿만 구성

 

 

TEST01 - 01.TESTGPO - 설정 - 현재 아무것도 없는 것 확인

 

스타터 GPO - 우클릭 - 새로만들기 - 이름 : TEST

 

TEST - 우클릭 - 편집 - 사용자구성 - 관리탬플릿 - 제어판 - 우측화면 - Prohibit access to Control Panel
- 사용 - 적용

 

다시 TEST01 - 우클릭 - 이 도메인에서 GPO를 만들어 여기에 연결 - 

이름 : 02.TESTGPO, 원본 스타터 GPO : TEST
02.TESTGPO - 설정 - 새로 생긴 것 확인

 

스타터 GPO 삭제 해주자


-----------------------------------

계정정책
- 암호 정책, 계정 잠금 정책, Kerberos 정책 등은 도메인 루트와 연결되는 정책만 설정 가능
- 기본 도메인 정책, 도메인에 연결되는 새로 만든 정책에만 설정
- 도메인 계정 정책은 해당 도메인의 모든 구성원 컴퓨터들의 기본 계정 정책이 된다.

계정정책은 TEST01 같은 곳이 아닌 도메인인 hann.cloud에 연결된 GPO만 설정이 가능하다.

위치
포리스트 hann.cloud - Default Domain Policy - 우클릭 - 편집 - 컴퓨터 구성 - 정책 
- Windows 설정 - 보안설정

-----------------------------------

정책적용시기
사용자 컴퓨터 시작/종료, 로그온/로그오프
DC : 5분에 한번씩 적용
member : 기본 90분 (정책에서 수정가능)
cmd - gpupdate /force : 정책 수동 적용(즉시 적용)


------------------------------------------------------

Windows 원격작업

==Server128 에서 작업

실행 - control system - 원격설정 - 원격 연결 허용으로 변경 - 적용 - 확인

 

실행 - wf.msc - 인바운드 규칙 - 원격 데스크톱 사용자모드,섀도 3개 활성화 확인 - 

 

==Client 에서 작업

시작 - 원격 데스크톱 연결 - 192.168.131.128, 옵션 - hann\administrator - P@ssw0rd - 예 - 원격접속 확인

 

이때 Server128을 보면 동시접속으로 인해 로그아웃 되어있다. 

 

 

 

 

 

 

여기까지 Windows Server 2012 - GPO 에 대한 설명이 끝났다.