업무환경
업무 환경
vmware사의 vmware horizon client를 사용하여 VDI서비스를 이용중
VDI는 Active Directory에 모두 join되어 있음
현재 위 업무 환경을 구축하여 사내에서 사용하고 있습니다.
사내에는 기본적으로 업무 자료 유출 방지를 위하여 DLP, 문서암호화 등의 솔루션이 갖춰져 있는 곳이 대부분일겁니다. 업무 자료 유출을 방지하기 위해 다양한 솔루션이 작동중인데,,,,
문제는 VDI에서 local pc disk 마운트가 가능하여 위 솔루션의 제어없이 local pc로 바로 업무 자료를 다운받을 수 있다는 사실이었습니다,,, 두둥
아래 이미지는 VDI에서 캡처한 화면입니다. VDI에서 제 local pc의 drive가 보이는 것을 확인할 수 있습니다.
이걸알아차린 이상,,, AD 담당자로서 가만히 있을 수 없어 조치방법을 찾아냈습니다.
조치하는 방법은 AD Computer 정책에서 local pc disk mount하는 설정을 해제시키면 됩니다.
다만 속성을 해제할 수 있는 경로가 길어서 찾는데 힘들었습니다.
그럼, 설정하는 방법을 순서대로 설명드리겠습니다.
local disk mount 속성 해제하기
-
GPO Editor 실행하기 게시물을 참고하여 GPO Editor를 실행한다.
-
Policy→Computer Configuration → Administrative Templates → Windows Components → Remote Desktop Services → Remote Desktop Session Host → Device and Resource Redirection으로 이동한다.
이동한 뒤, Do not allow dirve redireciton 세팅을 더블클릭한다.
-
dirve redireciton 세팅를 세팅할 수 있는 창이 열리면,
Enabled버튼을 체크한다.
여기서, 주의할점은 속성의 설명을 잘 읽어봐야한다. Do not allow이기 때문에 허용하지 않는다의 의미이므로 우리는 Enabled 옵션을 선택해야한다.
Apply버튼을 누른 뒤,OK버튼을 누르면 AD에 연결되어있는 VDI에 적용된다.
-
설정을 바로 적용시키기 위해서는 Group Policy를 강제적으로 받아와, 바로 적용할 수 있다
cmd창을 열어gpupdate /force명령어를 사용한다.
-
group policy가 제대로 적용되면 local disk mount가 불가능하여 나타나지 않는 것을 확인할 수 있다.
