| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | |||||
| 3 | 4 | 5 | 6 | 7 | 8 | 9 |
| 10 | 11 | 12 | 13 | 14 | 15 | 16 |
| 17 | 18 | 19 | 20 | 21 | 22 | 23 |
| 24 | 25 | 26 | 27 | 28 | 29 | 30 |
- Docker
- 메일보안
- Azure
- It
- 그룹정책
- 시스템 엔지니어
- Exchange Online
- aws
- 컴퓨터
- 가상화
- windows server
- cloud
- 클라우드엔지니어
- Microsoft
- Microsoft Azure
- Entra ID
- Linux
- 리눅스마스터1급
- Microsoft 365
- 클라우드
- SE
- 네트워크
- 시트릭스
- cloud engineer
- network
- Azure AD
- Server
- windows
- 리눅스
- 시스템엔지니어
- Today
- Total
Cloud System Engineer
그룹 정책 본문
그룹정책의 기본개념과 GPO
그룹정책은 관리자가 Active Directory 내의 컴퓨터나 사용자에게 사용가능한 프로그램을
지정하거나 제한 할 수 있다.
그룹 정책을 적용하면 절못된 사용자의 시스템 구성 변경이나 네트워크에 바이러스 침투 등에 대한 예방이 가능하여 AD 시스템 향상을 할 수 있다.
그룹 정책을 생성 한 후 그 그룹정책을 묶는 개체를 그룹 정책 개체(GPO)
Group Policy Object 라고함.
1.모든 컴퓨터가 부팅시 같은 환경으로 부팅되도록 설정가능하고
2.사용자가 특정 응용프로그램을 사용가거나 못하게 설정 가능하다.
3.사용자 로그온 또는 로그아웃 시 미리 설정한 스크립트가 실행되도록 할 수 있다.
만약 컴퓨터에 설정한 그룹정책과 사용자에 설정한 그룹정책이 충돌이 발생할 경우.
우선순위는 “컴퓨터”에 설정한 그룹정책이 높다.
그룹정책의 종류
-로컬 GPO
-사이트 GPO
-도메인 GPO
-OU GPO
GPO가 적용되는 순서는 로컬 GPO부터 적용되고, OU GPO가 제일마지막에 적용된다.
그룹정책은 상속이 되는데 , 부모 컨테이너에서 자식 컨테이너로 상속 된다.
ex)
jjh.com 도메인에 기술부 ou 가 있고, 기술부ou 안에는 기술 1팀 ou , 기술2팀 ou 가 있다고 가정하면 jjh.com도메인 -> 기술부ou-> 기술 1팀 ou 순서로 그룹정책이 상속된다.
상속을 재 정의하거나 상속을 차단할 수도 있다.
jjh.com 도메인에 적용된 그룹정책을 기술 1팀 ou에는 적용되지 않도록 상속을 차단하는 것도 가능하다. 반대로, 상속 차단을 하지 못하도록 강제 상속하는 것도 가능함.
ex)
회사 정책을 부서가 거부하지 못하도록 하는 것 과 같음 강제 상속은 우선순위가 가장 높음
그룹정챡을 사용해서 관리자가 다음작업을 수행함
보안설정: 보안을 위해서 사용자 암호,게정 잠금을 도메인에 있는 모든 사용자에게 강제로 적용할 수 있다.
스크립트 지정: 사용자가 로그온 / 로그아웃시 or 컴퓨터 부팅시 자동으로 실행될 작업을 스크립트에 지정할 수 있음
폴더 접근 제한: 사용자가 도메인내의 어느 컴퓨터에서 로그온 하더라도 자신의 문서 등에 대한 폴더가 동일한 환경으로 제공되도록 할 수 있음
소프트웨어 설정: 사용자가 사용할 소프트웨어에 대해 설치, 삭제 , 업데이트를 제어 가능함
도구 -> active directory 사용자 및 컴퓨터 -> 아무 사용자 오른쪽 마우스 클릭 후
비밀번호를 변경해보자
비밀번호는 password 로 했더니 변경할 수 없다고 경고 창이 뜬다. 이유는
암호 복잡성 조건을 만족해야함을 사용 한다고 설정했기 때문에 바꿀 수 없다.
변경방법
도구 -> 그룹정책 관리 -> default domain policy 오른쪽 마우스 클릭 ->편집
정책 -> windows 설정 -> 보안 설정 -> 계정정책 -> 암호 정책 -> 암호는 복잡성을 만족 해야함 클릭-> 사용 클릭 후 적용완료
적용 후 모습
적용 후
컴퓨터를 재부팅하면 사용안함으로 바뀌었다.
똑같은 계정을 선택하고 비밀번호를 변경해 보자.
암호의 복잡성을 만족해야함 기능을 사용을 설정했더니 적용이 되었다.
특정 OU의 직원들은 [제어판을 사용할 수 없도록] 그룹 정책을 만들고 적용해보자.
서버관리자 메뉴에서 도구 -> active directory 사용자 및 컴퓨터에서 회계부 OU를 확인하면 추가한 사용자 이름이 있다.
서버관리자 메뉴에서 도구 -> 그룹정책관리 -> 도메인 jjh.com -> 그룹 정책 개체 선택
그룹 정책 개체를 선택하고 오른쪽 마우스 클릭 후 새로 만들기
제어판 제한 정책이라는 GPO를 만든다.
제어판 제한 정책 GPO 오른쪽 마우스 클릭 후
사용자 구성에서
관리 템플릿 -> 제어판 -> Prohibit access to Control Panel and PC Settings을 클릭
사용 선택 후 확인 하고 닫는다.
회계부 오른쪽 마우스 클릭 후 기존 GPO 연결
제어판 제한 정채 선택 후 확인 버튼 누름
회계부 소속인 아이디로 로그인 하여 정책 적용이됐는지 확인한다.
회계부에 소속된 사용자 로그인
제어판을 클릭했더니 접근제한이 뜬다.
회계부 소속이 아닌 사용자로 로그인
다른 사용자는 그룹정책이 적용되지 않았기 때문에 제어판에 접근이 가능하다.
그룹정책 해제 방법
서버관리자 -> 도구 -> 그룹정책관리 -> 도메인 -> 회계부 -> 정책오른쪽 마우스 클릭 후 삭제
제어판 접근 가능하다.
만약 정책을 삭제하고 적용되지 않는다면, 명령 프롬프트를 이용해 강제로 적용하는 방법도 있다.
cmd 창을 키고
gpupdate /force
컴퓨터 정책, 사용자 정책 성공 뜨면 된다.
'Windows Server' 카테고리의 다른 글
| MS SQL 미러링 구축 (0) | 2021.05.27 |
|---|---|
| Sysprep 오류 (0) | 2021.05.20 |
| 그룹 정책 백업 (0) | 2021.05.20 |
| 그룹 정책 상속 (0) | 2021.05.18 |
| AD (Active Directory) (0) | 2021.04.30 |
