Active Directory: 설정 및 문제해결 3(그룹 정책)

교재: 6425C – Configuring and Troubleshooting Windows Server 2008 Active Directory Domain Services

3일차 – 그룹 정책

오프라인 도메인 조인

• 클라이언트가 DC와 통신하지 않고도 도메인 조인 상태를 얻을 수 있다.
• 바로 보안 채널이 생성되지는 않음. 최초로 네트워크로 연결될 때 보안 채널이 생김.
• 특별한 요구 사항은 없음
  • 클라이언트는 윈도우 7 이상

방법?

• Administrator가 아닌 사람이 오프라인 조인을 수행하려면 적절한 권한을 위임받아야 함
• djoin /provision /domain contoso.com /machine DESKTOP123 /savefile c:\desktop123.txt
  • 해당 컴퓨터 계정 개체를 프로비저닝하고 blob 파일 생성
• 도메인 정보와 blob 파일을 클라이언트 컴퓨터 하드디스크로 전송
• djoin /requestODJ /loadfile desktop123.txt /windowspath %SystemRoot% /localos 명령 실행
• 재시작

마치 SSL 인증서 만드는 과정처럼… DC에서 해당 컴퓨터에 대한 blob 생성

클라이언트에서 받아오면 되는데… CMD.EXE를 관리자 권한으로 상승시켜야 함

OK~ 이제 재시작. 재부팅하니 잘 조인 되었다.

[그룹 정책 인프라 구축하기]

Active Directory를 왜 구축합니까? 그룹 정책을 쓰기 위해 도입하는 곳이 많다.

구성 관리(Configuration Management)

• 하나 이상의 사용자나 컴퓨터에 적용하는 중앙화된 접근 방법

그룹 정책: AD DS 도메인 구성 관리를 위한 프레임워크.

• 설정: 변경이나 구성의 정의
• 범위: 적용할 대상이나 예외 등을 설정
• 적용: 설정과 범위를 연결하여 적용. 적용하는 순간 효과가 시작된다.
  • 적용만 하면 끝이냐? 앞으로 관리하고 구성해야 함.
  • 잘 안되면 트러블슈팅을 해야.(이를 위한 도구도 있다)

정책

• 세부적인 변경 내용을 정의하고 있음
  • ex) 사용자가 regedit에 못 들어가게 한다.
  • ex) Administrator는 Well-known 명명 규칙이므로 다 바꾸어라.
• 정책의 대상
  • 사용자
  • 컴퓨터
• 정책은 기본적으로 ‘구성되지 않음’이 기본 값.
  • ex) 화면 보호기를 전 사원에 적용: Enable
• 장점
  • 보안 설정 적용
    • 말 안듣는 사람이 없어짐
  • 바탕 화면
    • 바로 가기 아이콘 등
  • 애플리케이션 설정 관리
  • 소프트웨어 배포
    • 그룹 정책으로 배포하는 것은 권장하지 않음
    • 잘 배포되었는지, 얼마나 배포되었는지 알기 힘듦.
    • EXE 설치 프로그램 배포 불가능
    • MSI 패키지만 배포 가능
    • 가능하지만 전사에 적용하는 용도로 쓰지 않는 것이 좋음
      • System Center Configuration Manager가 좋은 도구임.(정신건강에 유리)
    • 아주 제약적임
  • 폴더 리디렉션 관리
    • 프로필을 만들면 만들어지는 My~ 폴더들을 로컬이 아니라 파일 서버 쪽으로 저장하도록 설정 가능
      • 문서 중앙화
      • 로컬 컴퓨터에 저장하지 못하게 하는 것도 가능(파일 유출 방지)
      • C 드라이브의 쓰기 권한을 뺏어서… 해당 폴더에만 저장할 수 있도록
  • 네트워크 설정 구성도 내려보낼 수 있다.

그룹 정책 개체(Group Policy Object; GPO)

• 수많은 정책이 들어 있는 ‘컨테이너’
  • 컨테이너에 개체가 저장됨
• GPMC(Group Policy Management Console)에서 만듦.
• GPME(Group Policy Management Editor)로 편집. 항목별로 찾아서 Enable, Disable
• 적용: AD DS 계층 구조에서.

GPO 범위

• 사용자 or 컴퓨터에 대한 항목에 대해 정의
• 적용한다 = 링크한다(동일한 말)
• GPO를 여러 사이트s나 도메인d, 조직 단위ou에 연결(SDOU)
• 국부적으로 적용된 것이 이김
  • 충돌하지 않으면 적용 / 충돌하면 맨 마지막에 적용된 것이 이김
• 예외: 필터링, Deligation
  • 필터링 할 수 있는 그룹은 글로벌 보안 그룹으로 만들어야.
  • Deligation도 있음
• WMI(Windows Management …)
  • 윈도우 OS 내부의 DB(CMDB)를 쿼리했을 때 나오는 각종 정보(CPU, RAM 등 시스템 내부 정보)
  • 이를 이용해 시스템을 골라낼 수 있음
    • ex) Windows XP SP3만 선택
  • WMI Query Language ! 오호.
  • 시스템에 적용하는 필터링임.

GPO 설정이 어떻게 적용되나?

• 클라이언트에 적용되는 기능을 하는 것이 CSE임.(모듈)
  • 클라이언트가 GPO를 가져옴 – 이 때 CSE가 움직임.
  • GPO는 다운로드된 뒤 캐시된다.
    • 바깥(사외)에 나갔을 때에도 적용됨
    • 다시 네트워크에 연결되면 캐시가 업데이트 됨
• CSE는 설정을 처리
  • GPO가 전체적으로 변경된 경우에만 설정 적용
    • 성능 개선
    • 보안 CSE는 매 16시간마다 변경 적용
  • GPO 적용은 클라이언트가 주도

그룹 정책이 새로 고침될 때?

• 최초로 적용될 때
• 컴퓨터 구성
  • 시작 시
  • 매 90~120분
  • Triggered: GPUpdate 명령
• 사용자 구성도 컴퓨터 구성과 마찬가지로. (로그온 시, 매 90~120분, …)

[팁] PowerShell로 원격의 클라이언트에 강제로 GPO를 내려 보낼 수 있음

• http://technet.microsoft.com/ko-kr/library/hh967455.aspx

그룹 정책 관리

오호.

도메인 컨트롤러에 대한 설정 변경.

이게 편집기임.

컴퓨터에 대한 구성 변경.

사용자에 대한 구성 변경.

네트워크 프린터 검색 허용 여부

로컬 GPO

• 도메인 GPO
• LSDOU임!
• 2000, XP, 2003에서는 하나만 만들 수 있었는데 Vista 이후 멀티 GPO 가능해짐
  • 로컬 GPO: 컴퓨터 설정, 모든 사용자에 대한 설정
  • 관리자 GPO: Administrator의 사용자에 대한 설정
  • 비 관리자 GPO: 위의 반대
  • 사용자별 GPO: 특정 사용자에 대한 설정

도메인 정책

• 기본 도메인 정책
  • 해당 도메인에 대한 계정 정책을 정의
    • 암호, 잠금, Kerberos 정책
• 도메인 컨트롤러 정책

GPO는 실제 두 가지임

• GPC: AD DS에 저장됨, GUID
• GPT: DC의 SYSVOL에 저장됨. 필요한 파일과 .ini 가 들어 있음
  • 두 가지가 결합되어 GPO가 됨.

기존에 있는 GPO를 재활용 가능

• Copy GPO라고 함. 원본에서 갖고 있는 정책을 그대로 갖고 옴
• GPO도 백업할 수 있음
  • 백업으로 동일한 도메인에 복원 가능
  • 불의의 사고로 DC가 망가졌을 때를 대비
  • 모든 설정, 링크, 개체, 권한 등
• Managed Backups를 선택하면 선택적으로 Restore 가능

정책을 만들어 편집을 선택

그룹 정책 수정 처음 경험.

Enable/Disable 선택.

그룹정책 프로세싱 순서

LSDOU

맨 마지막 것이 적용됨.

GPO 상속(누적된다는 의미와 같음)

• 열쇠 모양이 붙어 있는 아이콘은 강제 적용의 의미.
• 강제 적용이 붙어 있는 것은 차단되지 않음.

여기에서

블락을 하면

강제적용 된 것은 여전히 동작 중.

해제하면 블락된 것이 나타남.

GPO는 전체를 범위로 하기 때문에 반드시 글로벌 그룹이어야 한다.

GPO 적용 범위 변경

GPO 노드 사용 또는 사용 안 함: 어디까지 처리할 것인가?

Preference 목록에 IT Pro에게 도움될 만한 내용이 많다.

바로 가기 아이콘 ^^

루프백 정책 처리

• Kiosks, VDI 머신, 팩스머신, 프린터 머신…
  • 바꾸기 모드
  • 병합 모드

그룹 정책이 처리되는 과정

1. RPCSS(RPC 시스템 서비스), MUP가 시작됨
   • 원격 프로시저가 실행되고 관련된 공유 폴더와 연결되는 과정
2. 그룹 정책 서버로부터 목록을 받아와서 필요한 것을 가져옴
   • LSDOU -> Enforced GPOs (맨 마지막이란 것은 우선 순위가 가장 높다는 것.)
3. GPO를 순서대로 처리
   1. 적용되어야 하는가?
   2. GPO의 설정을 처리하도록 CSE가 트리거됨
4. 사용자 로그온
5. 사용자 설정에 대해 처리 반복
6. 시작 후 매 90~120분, 컴퓨터 새로 고침
7. 로그온 후 90~120분, 사용자 새로 고침

느린 링크와 연결되지 않은 시스템

• 그룹 정책이 한꺼번에 많은 PC에 내려가면 bandwidth를 많이 소비할 터, 그룹 정ㅊㄱ 클라이언트에서 도메인에 대한 링크가 느린 링크인지 결정
  • 기본: 500kbps 이하
• Disconnected
  • 스크립트가 문제를 일으킬 수 있으므로 캐시가 되었더라도 끊어진 연결에서 처리되지 않음
• Connected
  • Vista+ 운영체제에서 새로운 연결을 감지하고 해당 시스템이 연결이 끊긴 동안 새로 고침 창을 놓친 경우 그룹 정책 새로 고침을 수행.

설정 작업이 효과를 미치는 시점

• GPO 복제가 일어나야 한다.(DC끼리 이 작업이 끝나야 클라이언트로 내려감)
  • GPC, GPT가 복제되어야 한다.
• 그룹 변경이 통합되어야 한다.
  • 사용자의 Logoff/Logon 또는 컴퓨터를 다시 시작하여 그룹 변경이 적용되어야 함
• 그룹 정책 새로 고침이 일어나야 한다.
• 직접 새로 고침: GPUpdate /force /logoff /boot
  • 뒤에 옵션을 붙이지 않더라도 필요하면 메시지를 띄워 준다.

정책 적용 결과 살펴보기

• 상속, 필터, 루프백, 다른 정책 범위와 우선 순위 인자가 복합
• RSoP

GPResult.exe /s /h c:\result.html

정책을 적용할 때 각각의 항목이나 그룹 정책 개체에 comment를 달아 놓으면 좋다.

• 6하 원칙

필터를 켜서 옵션(바로 아래에 있는)을 들어가면

화면 보호기 관련 자료만 찾을 수 있음!

오… 더 좁혀 들어가면..

좋군.

바로 그룹 정책을 지정하지 않고 테스트 가능!

이런 식으로 만들고…

결과 확인.

로그를 보는 가장 좋은 방법: 검색해야 함.

• 문제가 있는 것을 찾는 것이니 error, fail, deny를 찾아보면 됨.
• warning은 무시할 게 아니라 주의 깊게 보고 원인을 파악해야 함.
• 이벤트 뷰어의 속성을 보면 로그 파일의 위치를 알 수 있음.

▼ 결과를 확인하려면 Group Policy Results Wizard로 해당 컴퓨터를 선택해서 보면 됨.

▼ 그룹 정책 결과 확인

▼ 결과 화면에서 Save Report 가능

▼ gpresult /r 구문을 클라이언트에서 실행했을 때

▼ gpresult /v 시

**gpresult /z

관리 템플릿

• .ADMX + .ADML = 관리 템플릿
• C:\Windows\PolicyDefinitions 폴더에 있음.
  • 애플리케이션을 그룹 정책으로 제어 가능한 프로그램은 .ADMX와 .ADML을 줄 가능성이 높다.
  • ex) 워드의 특정 버튼을 못 누르게…
    • Office 등 MS의 제품들은 해당 그룹 정책을 배포하고 있다!
    • 오피스 앱을 그룹 정책으로 제어 가능.
• 관리 템플릿에서 Enable, Disable 등의 적용을 하면 결국 레지스트리에 배포됨.

관리 정책을 설정하면

• 사용자 인터페이스(UI)가 잠김

비 관리 정책 설정

• 관리 정책을 받고도 사용자가 수정 가능
• UI가 잠기지 않음

중앙 저장소(SYSVOL)

• ADMX, ADML
  • 클라이언트가 SYSVOL에 접근할 수 있어야 함
  • DC가 여러대일 때 관리 템플릿 파일들은 중앙의 저장소에 옮겨야 한다.
• ADM 파일의 문제?
  • 버전 제어의 문제
  • 이전(2003)에는 ADM으로 되어 있음.

▲ 로컬 머신에 있음

▲ 중앙 저장소로 복사해 넣으면 됨.

▲ c:\windows\SYSVOL\domain_name\Policies 에 붙여 넣으면…!!

▲ 이제 돌아와 보면 출처가 Central Store로 되어 있다. 여러 DC간 제대로 클라이언트에 복제되려면 이렇게 해야 함.

아웃룩 기능 퀴즈 ㅎㅎ

사용자 변화 관리.(이것만 7개월 했다고 함.)

작업의 항목을 미리 그려보는 것이 좋음. 협조를 어떻게 받을까?

네트워크, 보안, 스토리지…

포트, 네트워크 구조, 계정, 인증서… 관련자 연락처.

사용자 바탕 화면에 바로 가기 만들기

기본 도메인 정책 편집

shortcut~

Action, Name 등 속성 입력

특정할 PC 지정

만들고 나면 shortcut 항목에 생김.

GPUpdate 하는 순간 바탕 화면에 똻!

이번에는 폴더를 만들어 볼까?

폴더 -> 새 폴더

ㅇㅇ

윈도우 서버 2008 R2를 대상으로 적용

C 드라이브에 생긴 것을 확인!

ㅇㅇ

ㅇㅇ

ㅇㅇ

로그오프하고 와서 보니 ^^

[팁] 로컬 그룹(Local Administrator)에 사용자를 추가하거나 빼는 것도 정책으로 내려보낼 수 있음!!

[팁] VM이 하나의 물리 디스크에 있지 않고 별도로 빼놓아야 빠르게 동작함.

**VM에서 실제 물리 디스크를 연결: Pass-Through