» 윈도우 서버+가상화 » Active Directory: 설정 및 문제해결 3(그룹 정책)

Active Directory: 설정 및 문제해결 3(그룹 정책)

교재: 6425C – Configuring and Troubleshooting Windows Server 2008 Active Directory Domain Services

3일차 – 그룹 정책

오프라인 도메인 조인

  • 클라이언트가 DC와 통신하지 않고도 도메인 조인 상태를 얻을 수 있다.
  • 바로 보안 채널이 생성되지는 않음. 최초로 네트워크로 연결될 때 보안 채널이 생김.
  • 특별한 요구 사항은 없음
    • 클라이언트는 윈도우 7 이상

방법?

  • Administrator가 아닌 사람이 오프라인 조인을 수행하려면 적절한 권한을 위임받아야 함
  • djoin /provision /domain contoso.com /machine DESKTOP123 /savefile c:\desktop123.txt
    • 해당 컴퓨터 계정 개체를 프로비저닝하고 blob 파일 생성
  • 도메인 정보와 blob 파일을 클라이언트 컴퓨터 하드디스크로 전송
  • djoin /requestODJ /loadfile desktop123.txt /windowspath %SystemRoot% /localos 명령 실행
  • 재시작

clip_image001

마치 SSL 인증서 만드는 과정처럼… DC에서 해당 컴퓨터에 대한 blob 생성

clip_image002

클라이언트에서 받아오면 되는데… CMD.EXE를 관리자 권한으로 상승시켜야 함

clip_image003

OK~ 이제 재시작. 재부팅하니 잘 조인 되었다.

[그룹 정책 인프라 구축하기]

Active Directory를 왜 구축합니까? 그룹 정책을 쓰기 위해 도입하는 곳이 많다.

구성 관리(Configuration Management)

  • 하나 이상의 사용자나 컴퓨터에 적용하는 중앙화된 접근 방법

그룹 정책: AD DS 도메인 구성 관리를 위한 프레임워크.

  • 설정: 변경이나 구성의 정의
  • 범위: 적용할 대상이나 예외 등을 설정
  • 적용: 설정과 범위를 연결하여 적용. 적용하는 순간 효과가 시작된다.
    • 적용만 하면 끝이냐? 앞으로 관리하고 구성해야 함.
    • 잘 안되면 트러블슈팅을 해야.(이를 위한 도구도 있다)

정책

  • 세부적인 변경 내용을 정의하고 있음
    • ex) 사용자가 regedit에 못 들어가게 한다.
    • ex) Administrator는 Well-known 명명 규칙이므로 다 바꾸어라.
  • 정책의 대상
    • 사용자
    • 컴퓨터
  • 정책은 기본적으로 ‘구성되지 않음’이 기본 값.
    • ex) 화면 보호기를 전 사원에 적용: Enable
  • 장점
    • 보안 설정 적용
      • 말 안듣는 사람이 없어짐
    • 바탕 화면
      • 바로 가기 아이콘 등
    • 애플리케이션 설정 관리
    • 소프트웨어 배포
      • 그룹 정책으로 배포하는 것은 권장하지 않음
      • 잘 배포되었는지, 얼마나 배포되었는지 알기 힘듦.
      • EXE 설치 프로그램 배포 불가능
      • MSI 패키지만 배포 가능
      • 가능하지만 전사에 적용하는 용도로 쓰지 않는 것이 좋음
        • System Center Configuration Manager가 좋은 도구임.(정신건강에 유리)
      • 아주 제약적임
    • 폴더 리디렉션 관리
      • 프로필을 만들면 만들어지는 My~ 폴더들을 로컬이 아니라 파일 서버 쪽으로 저장하도록 설정 가능
        • 문서 중앙화
        • 로컬 컴퓨터에 저장하지 못하게 하는 것도 가능(파일 유출 방지)
        • C 드라이브의 쓰기 권한을 뺏어서… 해당 폴더에만 저장할 수 있도록
    • 네트워크 설정 구성도 내려보낼 수 있다.

그룹 정책 개체(Group Policy Object; GPO)

  • 수많은 정책이 들어 있는 ‘컨테이너’
    • 컨테이너에 개체가 저장됨
  • GPMC(Group Policy Management Console)에서 만듦.
  • GPME(Group Policy Management Editor)로 편집. 항목별로 찾아서 Enable, Disable
  • 적용: AD DS 계층 구조에서.

GPO 범위

  • 사용자 or 컴퓨터에 대한 항목에 대해 정의
  • 적용한다 = 링크한다(동일한 말)
  • GPO를 여러 사이트s나 도메인d, 조직 단위ou에 연결(SDOU)
  • 국부적으로 적용된 것이 이김
    • 충돌하지 않으면 적용 / 충돌하면 맨 마지막에 적용된 것이 이김
  • 예외: 필터링, Deligation
    • 필터링 할 수 있는 그룹은 글로벌 보안 그룹으로 만들어야.
    • Deligation도 있음
  • WMI(Windows Management …)
    • 윈도우 OS 내부의 DB(CMDB)를 쿼리했을 때 나오는 각종 정보(CPU, RAM 등 시스템 내부 정보)
    • 이를 이용해 시스템을 골라낼 수 있음
      • ex) Windows XP SP3만 선택
    • WMI Query Language ! 오호.
    • 시스템에 적용하는 필터링임.

GPO 설정이 어떻게 적용되나?

  • 클라이언트에 적용되는 기능을 하는 것이 CSE임.(모듈)
    • 클라이언트가 GPO를 가져옴 – 이 때 CSE가 움직임.
    • GPO는 다운로드된 뒤 캐시된다.
      • 바깥(사외)에 나갔을 때에도 적용됨
      • 다시 네트워크에 연결되면 캐시가 업데이트 됨
  • CSE는 설정을 처리
    • GPO가 전체적으로 변경된 경우에만 설정 적용
      • 성능 개선
      • 보안 CSE는 매 16시간마다 변경 적용
    • GPO 적용은 클라이언트가 주도

그룹 정책이 새로 고침될 때?

  • 최초로 적용될 때
  • 컴퓨터 구성
    • 시작 시
    • 매 90~120분
    • Triggered: GPUpdate 명령
  • 사용자 구성도 컴퓨터 구성과 마찬가지로. (로그온 시, 매 90~120분, …)
[팁] PowerShell로 원격의 클라이언트에 강제로 GPO를 내려 보낼 수 있음

그룹 정책 관리

clip_image004

오호.

clip_image005

도메인 컨트롤러에 대한 설정 변경.

clip_image006

이게 편집기임.

clip_image007

컴퓨터에 대한 구성 변경.

clip_image008

사용자에 대한 구성 변경.

clip_image009

네트워크 프린터 검색 허용 여부

로컬 GPO

  • 도메인 GPO
  • LSDOU임!
  • 2000, XP, 2003에서는 하나만 만들 수 있었는데 Vista 이후 멀티 GPO 가능해짐
    • 로컬 GPO: 컴퓨터 설정, 모든 사용자에 대한 설정
    • 관리자 GPO: Administrator의 사용자에 대한 설정
    • 비 관리자 GPO: 위의 반대
    • 사용자별 GPO: 특정 사용자에 대한 설정

도메인 정책

  • 기본 도메인 정책
    • 해당 도메인에 대한 계정 정책을 정의
      • 암호, 잠금, Kerberos 정책
  • 도메인 컨트롤러 정책

GPO는 실제 두 가지임

  • GPC: AD DS에 저장됨, GUID
  • GPT: DC의 SYSVOL에 저장됨. 필요한 파일과 .ini 가 들어 있음
    • 두 가지가 결합되어 GPO가 됨.

기존에 있는 GPO를 재활용 가능

  • Copy GPO라고 함. 원본에서 갖고 있는 정책을 그대로 갖고 옴
  • GPO도 백업할 수 있음
    • 백업으로 동일한 도메인에 복원 가능
    • 불의의 사고로 DC가 망가졌을 때를 대비
    • 모든 설정, 링크, 개체, 권한 등
  • Managed Backups를 선택하면 선택적으로 Restore 가능

clip_image010

정책을 만들어 편집을 선택

clip_image011

그룹 정책 수정 처음 경험.

clip_image012

Enable/Disable 선택.

clip_image013

그룹정책 프로세싱 순서

LSDOU

맨 마지막 것이 적용됨.

GPO 상속(누적된다는 의미와 같음)

  • 열쇠 모양이 붙어 있는 아이콘은 강제 적용의 의미.
  • 강제 적용이 붙어 있는 것은 차단되지 않음.

clip_image014

여기에서

clip_image015

블락을 하면

clip_image016

강제적용 된 것은 여전히 동작 중.

clip_image017

해제하면 블락된 것이 나타남.

GPO는 전체를 범위로 하기 때문에 반드시 글로벌 그룹이어야 한다.

clip_image018

GPO 적용 범위 변경

clip_image019

GPO 노드 사용 또는 사용 안 함: 어디까지 처리할 것인가?

clip_image020

Preference 목록에 IT Pro에게 도움될 만한 내용이 많다.

clip_image021

바로 가기 아이콘 ^^

루프백 정책 처리

  • Kiosks, VDI 머신, 팩스머신, 프린터 머신…
    • 바꾸기 모드
    • 병합 모드

그룹 정책이 처리되는 과정

  1. RPCSS(RPC 시스템 서비스), MUP가 시작됨
    • 원격 프로시저가 실행되고 관련된 공유 폴더와 연결되는 과정
  2. 그룹 정책 서버로부터 목록을 받아와서 필요한 것을 가져옴
    • LSDOU -> Enforced GPOs (맨 마지막이란 것은 우선 순위가 가장 높다는 것.)
  3. GPO를 순서대로 처리
    1. 적용되어야 하는가?
    2. GPO의 설정을 처리하도록 CSE가 트리거됨
  4. 사용자 로그온
  5. 사용자 설정에 대해 처리 반복
  6. 시작 후 매 90~120분, 컴퓨터 새로 고침
  7. 로그온 후 90~120분, 사용자 새로 고침

느린 링크와 연결되지 않은 시스템

  • 그룹 정책이 한꺼번에 많은 PC에 내려가면 bandwidth를 많이 소비할 터, 그룹 정ㅊㄱ 클라이언트에서 도메인에 대한 링크가 느린 링크인지 결정
    • 기본: 500kbps 이하
  • Disconnected
    • 스크립트가 문제를 일으킬 수 있으므로 캐시가 되었더라도 끊어진 연결에서 처리되지 않음
  • Connected
    • Vista+ 운영체제에서 새로운 연결을 감지하고 해당 시스템이 연결이 끊긴 동안 새로 고침 창을 놓친 경우 그룹 정책 새로 고침을 수행.

설정 작업이 효과를 미치는 시점

  • GPO 복제가 일어나야 한다.(DC끼리 이 작업이 끝나야 클라이언트로 내려감)
    • GPC, GPT가 복제되어야 한다.
  • 그룹 변경이 통합되어야 한다.
    • 사용자의 Logoff/Logon 또는 컴퓨터를 다시 시작하여 그룹 변경이 적용되어야 함
  • 그룹 정책 새로 고침이 일어나야 한다.
  • 직접 새로 고침: GPUpdate /force /logoff /boot
    • 뒤에 옵션을 붙이지 않더라도 필요하면 메시지를 띄워 준다.

정책 적용 결과 살펴보기

  • 상속, 필터, 루프백, 다른 정책 범위와 우선 순위 인자가 복합
  • RSoP

GPResult.exe /s /h c:\result.html

정책을 적용할 때 각각의 항목이나 그룹 정책 개체에 comment를 달아 놓으면 좋다.

  • 6하 원칙

clip_image022

필터를 켜서 옵션(바로 아래에 있는)을 들어가면

clip_image023

화면 보호기 관련 자료만 찾을 수 있음!

clip_image024

오… 더 좁혀 들어가면..

clip_image025

좋군.

clip_image026

바로 그룹 정책을 지정하지 않고 테스트 가능!

clip_image027

이런 식으로 만들고…

clip_image028

결과 확인.

로그를 보는 가장 좋은 방법: 검색해야 함.

  • 문제가 있는 것을 찾는 것이니 error, fail, deny를 찾아보면 됨.
  • warning은 무시할 게 아니라 주의 깊게 보고 원인을 파악해야 함.
  • 이벤트 뷰어의 속성을 보면 로그 파일의 위치를 알 수 있음.

▼ 결과를 확인하려면 Group Policy Results Wizard로 해당 컴퓨터를 선택해서 보면 됨.

clip_image029

▼ 그룹 정책 결과 확인

clip_image030

▼ 결과 화면에서 Save Report 가능

clip_image031

▼ gpresult /r 구문을 클라이언트에서 실행했을 때

clip_image032

▼ gpresult /v 시

clip_image033

**gpresult /z

관리 템플릿

  • .ADMX + .ADML = 관리 템플릿
  • C:\Windows\PolicyDefinitions 폴더에 있음.
    • 애플리케이션을 그룹 정책으로 제어 가능한 프로그램은 .ADMX와 .ADML을 줄 가능성이 높다.
    • ex) 워드의 특정 버튼을 못 누르게…
      • Office 등 MS의 제품들은 해당 그룹 정책을 배포하고 있다!
      • 오피스 앱을 그룹 정책으로 제어 가능.
  • 관리 템플릿에서 Enable, Disable 등의 적용을 하면 결국 레지스트리에 배포됨.

관리 정책을 설정하면

  • 사용자 인터페이스(UI)가 잠김

비 관리 정책 설정

  • 관리 정책을 받고도 사용자가 수정 가능
  • UI가 잠기지 않음

중앙 저장소(SYSVOL)

  • ADMX, ADML
    • 클라이언트가 SYSVOL에 접근할 수 있어야 함
    • DC가 여러대일 때 관리 템플릿 파일들은 중앙의 저장소에 옮겨야 한다.
  • ADM 파일의 문제?
    • 버전 제어의 문제
    • 이전(2003)에는 ADM으로 되어 있음.

clip_image034

▲ 로컬 머신에 있음

clip_image035

▲ 중앙 저장소로 복사해 넣으면 됨.

clip_image036

▲ c:\windows\SYSVOL\domain_name\Policies 에 붙여 넣으면…!!

clip_image037

▲ 이제 돌아와 보면 출처가 Central Store로 되어 있다. 여러 DC간 제대로 클라이언트에 복제되려면 이렇게 해야 함.

clip_image038

아웃룩 기능 퀴즈 ㅎㅎ

사용자 변화 관리.(이것만 7개월 했다고 함.)

작업의 항목을 미리 그려보는 것이 좋음. 협조를 어떻게 받을까?

네트워크, 보안, 스토리지…

포트, 네트워크 구조, 계정, 인증서… 관련자 연락처.

사용자 바탕 화면에 바로 가기 만들기

clip_image039

기본 도메인 정책 편집

clip_image040

shortcut~

clip_image041

Action, Name 등 속성 입력

clip_image042

특정할 PC 지정

clip_image043

만들고 나면 shortcut 항목에 생김.

clip_image044

GPUpdate 하는 순간 바탕 화면에 똻!

이번에는 폴더를 만들어 볼까?

clip_image045

폴더 -> 새 폴더

clip_image046

ㅇㅇ

clip_image047

윈도우 서버 2008 R2를 대상으로 적용

clip_image048

C 드라이브에 생긴 것을 확인!

clip_image049

ㅇㅇ

clip_image050

ㅇㅇ

clip_image051

ㅇㅇ

clip_image052

로그오프하고 와서 보니 ^^

[팁] 로컬 그룹(Local Administrator)에 사용자를 추가하거나 빼는 것도 정책으로 내려보낼 수 있음!!

[팁] VM이 하나의 물리 디스크에 있지 않고 별도로 빼놓아야 빠르게 동작함.

**VM에서 실제 물리 디스크를 연결: Pass-Through

이것도 살펴보세요!

Azure Cloud Shell(Linux Bash)

에헹? Azure Portal에서 Linux Bash가? 콘솔 버튼이 생겼다! 아마 Bash or PowerShell로 적용 가능할 것 …

댓글 하나

  1. HKEY_CURRENT_USER\Software\Microsoft\Intenet Explorer\BrowserEmulation\ClearbleListData 의
    키 값 : UserFilter
    이거를 AD에서 컴퓨터 구성정책으로 배포를 해도 적용이 되는지 궁금합니다. CURRENT_USER이라 사용자 구성 정책으로만 배포해야하는건 아닌지 궁금합니다. 답변 부탁드립니다.

답글 남기기

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다.