튜토리얼 : Windows Server 그룹 정책의 즐거움

Microsoft가 거의 17 년 전 Windows Server 2000과 함께 GPO (그룹 정책 개체)를 도입했을 때 이는 사용자 및 시스템 권한을 관리하는 흥미로운 새로운 접근 방식이었습니다. 오늘날 그들은 단순히 관리 목재 작업의 일부일 뿐이며 결과적으로 일부 IT 관리자는 이러한 설정이 얼마나 강력하고 언제 문제를 해결하는 데 사용할 수 있는지 잊었습니다.

Windows Server 2016이 올 가을 후반에 출시되면 이러한 GPO를 그대로 유지하여 Windows Server 2016 및 Windows 10에 특정한 일부 설정을 추가하는 경우를 제외하고 변경되지 않은 상태로 유지합니다.

그룹 정책 관리 콘솔 도구는 Active Directory와 함께 설치되지만 그룹 정책이 실제로 작동하려면 ADFS (Active Directory 도메인 서비스)가 필요합니다. 서버 또는 워크 스테이션을 제어하려면 도메인에 연결 ( "조인"이라고도 함)해야합니다. 개별 (도메인에 가입되지 않은) PC에 대해 로컬 정책을 구성 할 수 있지만, 여러 시스템과 사용자를 한 번에 제어하기 위해 그룹 정책을 구현하는 핵심 가치를 활용하지 않는 일회성 시나리오입니다.

GPO에 대한 잠재적 인 구성 설정 및 옵션은 수천 가지가 있습니다. 설정을 찾는 가장 쉬운 방법은 그림 1과 같이 GPMC (그룹 정책 관리 콘솔) 도구에서 해당 위치 경로를 식별하는 것입니다. 위치 경로는 원하는 설정에 대한 전체 경로를 보여줍니다. 여러 폴더에 묻혀있는 파일을 찾는 것과 같은 방법입니다.

그룹 정책의 세 가지 사용은 초보자 관리자와 그룹 정책을 당연하게 여기고 새로운 요구에 대해 사용 방법을 모색하는 경험이 많은 관리자 모두에게 좋은 출발점이됩니다. (더 깊이 파고들 준비가되었을 때 Microsoft는 그룹 정책의 복잡성을 다루는 훌륭하고 상세한 자습서를 제공합니다.)

GPO 예제 1 : 암호 복잡성 적용

도메인의 모든 사용자에게 적용되는 암호 복잡성 정책을 만들려면 다음 단계를 수행하십시오.

  1. 그룹 정책 관리 콘솔을 엽니 다.
  2. Domains 컨테이너를 확장하고 도메인 이름을 선택합니다.
  3. 도메인 이름을 마우스 오른쪽 단추로 클릭하고이 도메인에서 GPO를 만들고 여기에 연결 옵션을 선택합니다.
  4. 새 GPO에 이름 (예 : 암호 복잡성 정책)을 지정하고 확인을 클릭합니다.
  5. 도메인에 정책이 표시되면 정책을 마우스 오른쪽 단추로 클릭하고 편집을 선택합니다. GPME (그룹 정책 관리 편집기)가 열립니다.
  6. 그림 2와 같이 GPME에서 위치 경로로 드릴 다운합니다 GPO_name\Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Password Policy.
  7. 그림 3과 같이 Password Must Meet Complexity Requirements 옵션을 마우스 오른쪽 단추로 클릭하고 Properties를 클릭합니다.
  8. 이 정책 설정 정의 상자를 선택하고 사용을 선택한 다음 확인을 클릭합니다. 참고 :이 설정이 수행하는 작업에 대한 전체 설명을 보려면 설명 탭을 클릭 할 수도 있습니다.

물론이 GPO에 포함 할 수있는 다른 설정도 있습니다. 예를 들어 복잡성 요구 사항을 활성화하고 최소 암호 길이를 8 자로 설정할 수 있습니다.

GPO 예제 2 : USB 드라이브 비활성화

USB 장치 비활성화와 같은 일부 정책은 상황에 따라 (조직 단위, 일명 OU에) 적용해야합니다. 예를 들어, 랩톱에서 USB 액세스가 필요한 외근 직원이있는 반면 사내 PC의 USB 포트를 잠그고 싶을 수 있습니다.

이러한 상황 정책을 만드는 방법은 다음과 같습니다.

  1. 그룹 정책 관리 콘솔에서 도메인 이름을 확장하고 그룹 정책 개체 컨테이너를 찾습니다. 일반적으로 해당 컨테이너에는 두 가지 기본 정책 (기본 도메인 컨트롤러 및 기본 도메인 정책)이 있지만 암호 복잡성 정책을 구성한 경우에도 표시됩니다.
  2. 그룹 정책 개체 폴더를 마우스 오른쪽 단추로 클릭하고 새로 만들기를 클릭합니다.
  3. 새 GPO에 USB 제한과 같은 이름을 지정하고 확인을 클릭합니다.
  4. 정책을 선택하고 편집을 클릭하여 그룹 정책 관리 편집기를 엽니 다.
  5. GPO_name\Computer Configuration\Policies\Administrative Templates\System\Removable Storage Access그림 4와 같이로 이동합니다 .
  6. 설정을 두 번 클릭하고 사용을 선택한 다음 확인 또는 적용을 클릭합니다.

그림 4에서 볼 수 있듯이 선택할 수있는 다양한 설정이 있습니다. 여기에서는 구성 할 모든 이동식 저장소 클래스 : 모든 액세스 거부 옵션을 선택했습니다. 확장 탭을 클릭하면 설명 창에서 선택한 설정에 대한 설명을 볼 수 있습니다.

지금은 정책 설정 만 만들었습니다. 아무것도 연결하지 않았습니다. 링크하려면 :

  1. 그룹 정책 관리 콘솔에서 도메인을 선택하거나 배치 된 조직 구성 단위를 선택합니다.
  2. 조직 구성 단위 (그림 5 참조)를 마우스 오른쪽 단추로 클릭하고 기존 GPO 연결을 선택합니다.
  3. USB 제한 GPO를 선택하고 확인을 클릭합니다.
  4. 이제 연결된 GPO를 마우스 오른쪽 단추로 클릭하고 적용 옵션을 선택하여 해당 GPO에 적용합니다.

그룹 정책이 시스템 및 사용자에게 적용되는 데는 다소 시간이 걸리지 만 명령 프롬프트를 열고를 입력하여 변경 사항을 강제로 적용 할 수 있습니다 gpupdate /force.

이 정책이 적용되면 USB 장치를 도입하려는 사용자에게 "액세스 거부"메시지가 표시됩니다.

GPO 예제 3 : PST 파일 생성 비활성화

우리는 모두 PST 사서함 파일 사용으로 인한 컴플라이언스 악몽을 해결했습니다. 그렇다면 사용자가 생성하는 것을 어떻게 방지합니까? 물론 그룹 정책이 있습니다. (예,이를 위해 사용할 수있는 레지스트리 구성 편집이 있지만 그룹 정책이 훨씬 쉽고 빠릅니다.)

변경하려면 먼저 설정을 적용 할 Office 버전에 대한 그룹 정책 관리 템플릿을 다운로드해야합니다. 이러한 템플릿이 설치되면 (몇 가지 마무리가 필요할 수 있음) 추가 설정 (그림 6 참조)을 적용하여 그룹 정책을 통해 해당 Office 버전을 제어합니다.

정책을 적용 할 사이트, 도메인 또는 조직 구성 단위 수준을 선택하고 그룹 정책 관리 편집기를 열었 으면로 이동합니다 GPO_name\User Configuration\Policies\Administrative Templates\Microsoft Outlook 2016\Miscellaneous\PST Settings.

구성 할 수있는 두 가지 설정이 있습니다. 첫 번째는 사용자가 기존 PST 파일에 새 콘텐츠를 추가하지 못하도록 방지하는 것으로, 이름에서 알 수 있듯이 사용자가 이미 가지고있는 PST에 더 많은 전자 메일을 추가하지 못하도록합니다. 두 번째 설정은 사용자가 Outlook 프로필에 PST를 추가하지 못하도록 방지 및 / 또는 공유 전용 PST 사용 방지로, 사용자가 새 PST 파일을 생성하지 못하도록 차단합니다.