Group Policy
관리자는 GP를 통한 AD 내의 사용자, 컴퓨터에 대하여 일괄적으로 정책 부여 가능
사용 가능 프로그래만 지정해서 사용 제한, 로그온 시 일괄 적용, 제어판 조작 사용자 금지 등
GP: 그룹 정책
GPO: 그룹 정책을 묶은 객체, 사용자와 컴퓨터에 대해서 적용 가능,
사용자 GP와 컴퓨터 GP 충돌 시 컴퓨터에 대한 GP 우선
여러 도메인에서 같은 기준으로 설정 (복사와 이동이 가능)
상속의 개념 존재, GP 상속의 재정의 차단 강제 상속등이 가능
GP가 반영되는 시점은 사용자 로그온 시 재부팅시 그룹 정책 갱신 시
도메인 적용으로 로컬 컴퓨터나 사용자 계정 개별적으로 적용 X
그룹정책은 강제로 적용, 사용자 변경이 불가
관리자 GP 작업
- 보안설정: 보안 강화를 위해서 도메인의 모든 사용자에 대해서 사용자의 암호 및 계정 잠금 방식 지정
- 스크립트 지정: 사용자의 로그온/로그오프 시 또는 컴퓨터 부팅/종료 시 자동 실행 시 스크립트를 지정
- 폴더 리다이렉션: 사용자 도메인 내 로그온 시 자신의 설정등이 동일한 환경으로 지원
- 소프트웨어 설정: 소프트웨어 설치 및 삭제 백업 등의 일괄 적용 시키는 일 가능
특정 사이트 규제 및 제어판 변경 금지 등 가능 - 하드웨어 제한: 물리적 USB,DVD등의 사용금지, 물리적으로 제거하지 않아도 GPO 규제 가능
그룹 정책 편집
그룹 정책 개체 생성
현재는 OU별 사용자 제한 권한 설정으로 사용자 구성
제어판 액세스 금지 속성 설정
특정 OU를 지정하여 GPO 설정 > GPO 선택 > 위임
그룹 정책 상속
해당 OU 밑에 하위 OU에 그룹 정책이 상속됨
기존 관리 템플릿을 사용하여 익스플로어 규정 생성
홈페이지 설정 변경할 수 없음 속성 설정
그룹 정책 관리의 OU에 생성한 GPO 추가
명령어 프롬프트에서 gpupdate /force로 즉시 정책 적용 한 뒤
그룹에 속한 사용자로 로그인하여 익스플로러를 사용할 경우
홈페이지로 설정한 창이 뜨는 것이 확인됨
그룹 정책 상속 해제
그룹 정책 관리> 하위 OU에서 상속 차단 확인 가능
상속 차단의 하위에 존재하는 사용자는 홈페이지 설정이 변경되지 않음
상속 차단 시 "!"가 붙는 것 확인
컴퓨터에 GPO
로그인하는 사용자와 무관하게 일괄 적용
Testing_pc라는 OU 생성 및 하위 컴퓨터 설정
그룹 정책 관리에서 testing_pc 확인
컴퓨터 구성 > 정책 > 관리템플릿 > 시스템 > 로그온 >사용자 로그온 시 프로그램 실행 속성
OU 밑에 정책 연결
관려 사용자 로그인 시 calc.exe 실행
디스크 매핑
GPO 백업 & 복원
그룹 정책 관리 > 도메인
도메인_명에서 그룹 정책 개체
백업 실행 후
백업 관리에서 복원 실행 가능
도메인 간 GPO 복사 가능
GPO는 복사/붙여넣기도 가능 (붙여넣기 실행 시 마법사 확인)
이후 동일하게 GPO 연결하여 사용
