서버 #21

* 그룹정책 구성/운영

 

* 그룹정책 개념과 GPO

그룹정책 관리자는 ad 내 pc나 사용자에게 usb 제한, 바탕화면 지정 등

지정 및 제한할 수 있다.

그룹 정책 생성하고 그 그룹정책을 묶은 개체를 그룹정책개체 GPO라고 함.

 

* 컴퓨터 설정한 그룹정책과 사용자에 설정한 그룹정책이 충돌 시에는?

컴퓨터가 우선순위가 더 높음.

 

* GPO 저장은 도메인 단위, 글로벌 카탈로그(gc)에 저장됨.

 

* 그룹정책 종류

로컬 gpo / 사이트 gpo / 도메인 gpo / ou gpo

 

* 적용 순서

로컬 gpo부터 적용되고 ou gpo가 마지막. 즉, ou gpo가 우선순위 제일 높음.

사이트 gpo 지역적으로 묶인 곳에 그룹 정책 적용하는 것으로 자주 사용하진 않음.

 

* 그룹정책 상속

부모 컨테이너에서 자식 컨테이너로 상속됨.

aaa.com 아래 인사팀 아래 인사1팀이 있을때

aaa.com - 인사팀 - 인사1팀 순서로 그룹정책 상속.

상속 받지않고 재정의하거나 차단도 가능함.

 

* 그룹정책으로 가능한 작업

1. 사용자 암호 및 계정 잠금에 대해 도메인 모든 사용자에게 강제 적용 가능함.

2. 로그온/로그아웃 시 부팅과 종료 시에 자동으로 실행할 스크립트 지정 가능

3. 사용자가 도메인 내의 어느 컴퓨터에 로그온해도 자신 문서는 동일하게 제공.

4. 사용자가 사용할 소프트웨어에 설치 삭제 등 제어가 가능

 

* 비밀번호 복잡성 없애기

aaa.com 도메인 아래 user1 사용자 1개 생성함.

비밀번호를 password로 하면 실패가 됨.

 

그룹정책관리 - default domain policy - 설정탭 - 보안설정

- 계정/암호 정책 - default domain policy 선택 후에 마우스우측 편집 

- 그룹정책 관리 편집기 - windows 설정 - 보안설정 - 계정정책 - 암호정책

- 암호는 복잡성 만족 -> 사용안함

 

* 제어판 사용 못하게 하기

 

그룹정책관리 - 그룹정책개체 - 새로만들기 - 이름 입력 - 마우스 우측 편집

- 편집기에서 사용자구성 - 정책 - 관리 템플릿 - 제어판 - prohibit ~ 제어판금지

- 사용으로 선택

 

-> 그룹 정책 관리 - 인사팀 선택 - 기존 gpo 연결 - aaa.com에서 제어판 제어 정책 선택

 

생성한 정책은 c:\windows\sysvol\sysvol\도메인명\policies 폴더에 있음

그 ou의 사용자로 로그인해서 제어판 확인

 

* 해제하려면?

그룹 정책 관리에서 인사팀 안에 있는 정책 삭제하면 됨.

근데 정책이 바로 적용이 안됨.

강제로 적용하려면 클라이언트 pc에서 

명령프롬프트에서 gpupdate /force 입력하여 완료 메세지를 보자

 

*그룹 정책이 적용되는 시점은?

사용자가 로그온할 때

컴퓨터를 재시작 할 때

사용자가 강제로 직접 그룹정책 받아올 때 gpupdate /force

정책 받아오는 주기적 시간 되었을 때

 

* 그룹 정책 받아오는 gpo 전파 시간은?

기본 90분으로 되어 있음.

컴퓨터 구성 - 관리 템플릿 - 시스템 - 그룹정책 - 그룹 정책 새로고침 간격

시간 바꿔주면 되는데 변경 안하는게 낫다.

 

* 그룹정책 편집기에서 사용자 구성 정책과 기본 설정의 차이?

사용자 구성에보면 기본 설정이 있는데 설정해도 사용자가 변경이 가능하다.

예를 들어 인터넷 설정을 바꿔놓아도 다시 바꿀 수 있다.

 

* 그룹 정책 상속

aaa.com 도메인 아래 기술팀을 하나 만들고 

기술1팀에 user1, 기술2팀에 user2를 넣는다.

 

그룹 정책 관리에 들어간다.

그룹정책개체 - 새로만들기 - 인터넷사용금지 입력하여 GPO를 추가

새로운 정책에서 편집

사용자구성 - 정책 - 관리템플릿 - windows구성요소 - 인터넷

홈페이지 설정 변경할 수 없음 - 사용

 

새로 만든 기술팀 위에 기존 GPO 연결 - 기술2팀 상속차단

기술1팀과 기술2팀 유저로 접속하여 확인

 

* 상속 차단해도 강제로 상속하게 하는 방법은?

그룹 정책 관리에서 기술팀 선택 후에 해당 GPO 누르고 적용 누르면 됨.

 

* 정책 바로 적용하기

gpupdate /force

 

* 사용자말고 컴퓨터에 그룹정책 적용하기

aaa.com 아래 조직구성 단위 실습을 생성하여 넣어준다.

AD 사용자 및 컴퓨터에서 computers 폴더에 해당 PC 선택 후에

실습 폴더로 이동시킨다.

 

그룹정책 관리에서 실습정책이란걸 생성해준다.

컴퓨터 구성 - 정책 - 관리 템플릿 - 시스템 - 로그온 - 사용자 로그인 시 프로그램 실행

"c:\program files\internet explorer\iexplore.exe" www.naver.com

 

그룹정책관리에서 실습 OU에 기존 GPO 연결을 함.

로그인해서 자동으로 인터넷이 실행되는지 확인하자

 

컴퓨터 기준이라 어떤 아이디로 로그인하든 똑같은 정책이 먹힐 것이다.

 

* 그룹정책은 레지스트리 정보를 수정하게 됨. windows 기능들은 일부 그룹 정책이 가능하지만

불가능한 것은 스크립트를 통해 사용할 수 있다.

 

 

* 로그온 스크립트

c 드라이브에 있는 실습 폴더를 다른 pc에서 z 드라이브로 열도록 만들기

 

aaa.com 서버에서 c 드라이브에 실습이란 파일 이름으로 생성함.

공유에서 권한 다 삭제하고 고급 공유로 authenticated users에 권한을 주고

공유이름에 실습$로 바꾼 후에 모든 권한에 허용 해준다.

 

* authenticated users는 windows server에서 인증된 사용자 그룹으로

서버에 생성한 사용자가 모두 해당됨.

 

메모장을 하나 열어서 .bat 하나를 만들자

 

@echo off

net use z: "\\ip주소\실습$"

 

그룹 정책 관리 - 실습 정책 - 편집

컴퓨터 구성 - 정책 - 관리 템플릿 - 시스템 - 로그온

사용자 로그온 시에 프로그램 실행

\\pc의 netbios명 or ip주소\실습$\배치.bat (큰따옴표 없음)

 

pc에 걸은거라 id 상관없이 연결되야함.

 

* 연결 안될 때

만약 연결이 안된다면 클라이언트에서 \\ip주소\실습$로 연결되는지 확인해보자.

그리고 권한이 authenticated users기 때문에 클라이언트 고유의 아이디로 접속하면

당연히 안된다! 서버에 있는 user로만 테스트 해보자

 

* 그룹 모델링 마법사

 

그룹정책관리 - 그룹정책 모델링 - 마법사 - 도메인 aaa.com

사용자 정보 - 사용자 aaa\administrator (aaa.com의 관리자 계정) 

컴퓨터 정보 - 사용자 aaa\client (aaa.com과 연결된 도메인 컴퓨터)

사이트는 디폴트 나머지도 디폴트.

그룹정책모델링 아래 - 자세히 - 그룹정책개체 아래 적용된 GPO에서

실습으로 했던 정책이 있다.

거기서 마우스 우측 눌러서 보고서 저장하여 html, xml 파일로 저장 가능

 

* 그룹 정책은 백업 및 복원

그룹정책 관리에서 도메인 - 도메인표시

만들었던 2개 도메인 선택해서 추가

그룹정책개체에서 정책 선택 후 우측 키로 백업함. 

백업 위치는 아무곳이나

 

정책들 삭제 후에 빈곳에서 마우스 우측 클릭하여 백업 관리

백업한 위치에서 불러와서 복원하면 된다.

 

bbb.aaa.com에 복원하려면

aaa.com의 그룹정책개체에서 GPO들을 복사한다.

bbb.aaa.com에 드렁가서 그룹정책개체에 마우스 우측 누르고

붙여넣기한다.

새 GPO에 대한 기본 권한 사용 체크하면 적용 가능함.

 

 

* 폴더 리디렉션 그룹 정책

폴더 리디렉션은 도메인 사용자가 도메인 내에 어떤 컴퓨터 접속하든지

자신이 사용하던 폴더를 그대로 보이도록 하는 것임.

 

도메인 사용자 폴더가 도메인 서버에 저장됨.

용량이 크면 서버의 부하가 심함.

가능한 폴더는 내문서, 바탕화면, 시작메뉴 등임.

많이 할수록 AD 성능이 떨어진다.

 

aaa.com의 c 드라이브에 공유할 도메인사용자를 생성함.

Authenticated users에게만 권한을 주고

도메인사용자$ 이름으로 숨김 공유시킴.

 

그룹정책관리 들어가서 그룹정책개체에 새로 만들기 후 편집

사용자 구성 - 정책 - windows 설정 - 폴더 리디렉션.

거기서 문서를 선택하여 속성에서 모든 사용자 폴더를 같은 위치 선택.

\\ip 주소 또는 pc명\도메인사용자$

그룹정책관리에서 부서에 인사팀 선택 후에 기존 gpo 연결로 리디렉션 정책 설정.

 

클라이언트 pc에서 인사팀 id로 로그인한다.

공유한 문서의 속성을 보면 경로가 

\\도메인 pc id\도메인사용자$\내 pc id로 되어있을 꺼다.

여기서 파일을 아무거나 생성하면

도메인 pc의 폴더에 내 id로 된 폴더가 생성됨.

그 파일은 어드민도 들어갈 수가 없다.