Microsoft management console (MMC) 의 GPE (group policy editor) 플러그인은 NT 4.0 의 시스템 정책 편집기 poledit.exe 에 해당합니다. GPE 의 각 기능 노드 (예: 소프트웨어 설정, 창 설정, 관리 모듈 등). ) 는 MMC 플러그인의 확장입니다. MMC 플러그인의 확장은 옵션 관리 도구입니다. 응용 프로그램 개발자인 경우 사용자 정의 확장을 통해 GPO 의 기능을 확장하여 응용 프로그램에 대한 추가 정책 제어를 제공할 수 있습니다.
그룹 정책은 Win2K 를 실행하는 시스템에서만 실행할 수 있으며 NT 4.0 및 Windows 9x 를 실행하는 클라이언트는 AD 스키마를 사용하는 GPO 를 인식하거나 실행할 수 없습니다.
둘째, 그룹 정책과 광고
GPO 의 기능을 최대한 활용하려면 AD 도메인 아키텍처의 지원이 필요합니다. AD 를 사용하면 모든 Win2K 서버와 워크스테이션이 채택할 수 있는 중앙 집중식 정책을 정의할 수 있습니다. 그러나 Win2K 를 실행하는 각 컴퓨터에는 로컬 GPO (로컬 컴퓨터 파일 시스템에 상주하는 GPO) 가 있습니다. 로컬 GPO 를 사용하면 AD 도메인에서 작동하지 않는 각 워크스테이션에 정책을 지정할 수 있습니다. 예를 들어 보안상의 이유로 AD 도메인에 공용 컴퓨터를 구성하지 않을 것입니다. 로컬 GPO 를 사용하면 로컬 정책을 수정하여 보안을 얻고 AD 도메인 기반 GPO 를 사용하지 않고도 데스크톱 사용을 제한할 수 있습니다. 로컬 GPO 에 액세스하는 방법에는 두 가지가 있습니다. 1 의 방법은 GPO 를 수정해야 하는 컴퓨터의 시작 메뉴에서 실행을 선택하고 gpedit.msc 를 입력하는 것입니다
이 작업은 NT 4.0 의 poledit.exe 기능과 동일하며 로컬 정책 파일을 열 수 있습니다. 두 번째 방법은 MMC 콘솔에서 GPE 플러그인을 선택한 다음 로컬 또는 원격 컴퓨터를 선택하여 로컬 GPO 를 수동으로 편집하는 것입니다.
로컬 GPO 는 소프트웨어 설치 및 폴더 리디렉션을 제외한 모든 기본 확장을 지원합니다. 따라서 로컬 GPO 만 사용하면 이러한 작업을 수행할 수 없습니다. GPO 의 기능을 충분히 발휘하려면 AD 지원이 필요합니다.
셋째, GPO 의 다양성과 상속
AD 에서 GPO 는 도메인, 조직 단위 (OU) 또는 주소의 세 가지 수준에서 정의할 수 있습니다. OU 는 사용자, 그룹, 컴퓨터 및 기타 개체를 관리하기 위해 할당할 수 있는 AD 의 컨테이너입니다. 주소는 AD 의 복제 경계를 형성하는 네트워크의 서브넷 모음입니다. GPO 의 네임스페이스는 컴퓨터 구성과 사용자 구성의 두 가지 범주로 나뉩니다. 사용자와 컴퓨터만이 프린터 개체 또는 사용자 그룹과 같은 GPO 를 사용할 수 있습니다.
도메인이나 조직 단위 (OU) 에서 정책을 편집하는 방법에는 여러 가지가 있습니다. Active Directory 사용자 또는 컴퓨터의 MMC 플러그인에서 도메인 또는 조직 단위 (OU) 를 마우스 오른쪽 버튼으로 클릭하고 메뉴에서 속성, 그룹 정책 탭 순으로 선택합니다. 주소에서 정책을 편집할 때 Active Directory 주소와 서비스 플러그인을 마우스 오른쪽 버튼으로 클릭한 다음 원하는 주소를 마우스 오른쪽 버튼으로 클릭하여 GPO 를 얻어야 합니다. 또는 시작 메뉴에서 실행을 선택한 다음 MMC.exe 를 입력하여 MMC 를 시작하고 콘솔을 선택하고 플러그인을 추가/제거한 다음 그룹 정책 플러그인을 선택하고 찾아보면 AD 도메인의 GPO 가 표시되며 편집할 GPO 를 선택할 수 있습니다.
AD 네임스페이스에서의 GPO 위치에 따라 사용자 개체 또는 컴퓨터 개체에 대해 여러 GPO 가 작동할 수 있습니다. GPO 는 도메인의 다른 객체가 상속에 의해 생성된 경우에만 상속에 의해 생성됩니다. Win2K 는 다음과 같이 GPO 를 실행합니다. 먼저 운영 체제는 로컬 시스템의 기존 정책을 실행합니다. 그런 다음 Win2K 는 정의된 주소 수준 GPO, 도메인 수준 GPO 및 OU 기반 GPO 를 수행합니다. Microsoft 는 이 우선 순위를 LSDOU (로컬, 주소, 도메인, OU 수준의 GPO) 로 축약했습니다. 사용자는 이 체인의 여러 수준에서 GPO 를 정의할 수 있습니다. Pilot 도메인을 예로 들어 시스템의 GPO 를 보는 방법을 보여 드리겠습니다. Active Directory 사용자 및 컴퓨터의 MMC 도구를 시작하고 pilot 도메인 이름을 마우스 오른쪽 버튼으로 클릭한 다음 메뉴에서 속성 항목을 선택하고 그룹 정책 탭을 선택합니다. 이 목록의 맨 위에 있는 GPO (예: 글로벌 보안 정책) 가 가장 높은 우선 순위를 가지므로 Win2K 가 마지막으로 실행합니다. 로컬 시스템 외에도 각 수준에서 여러 GPO 를 정의할 수 있으므로 GPO 를 엄격하게 관리할 수 없으면 불필요한 문제가 발생할 수 있습니다.
GPO 의 상속 모드는 Novell 의 Zenworks 정책과 완전히 다릅니다. Zenworks 에서 NDS (Novell directory service) 트리의 여러 지점에서 여러 정책 패키지를 사용하는 경우 사용자 객체에 가장 가까운 정책 패키지만 작동합니다. Win2K 에서 AD 의 각기 다른 수준에 4 개의 GPO 가 정의되어 있는 경우 운영 체제는' LSDOU' 우선 순위를 사용하여 이러한 정책을 구현합니다. 이는 컴퓨터나 사용자에 대한 4 가지 정책의' 합계' 가 됩니다. 또한 한 GPO 의 설정이 다른 GPO 의 설정에 의해 상쇄되는 경우도 있습니다. AD 레벨 GPO 를 통해 사용자는 더 많은 정책 제어 위임을 가질 수 있습니다. 예를 들어, 회사의 보안 부서는 도메인 수준에서 모든 시스템 장치에 대한 보안 GPO 를 설계할 책임이 있습니다. GPO 를 사용하면 OU 의 시스템 관리자가 OU 에 소프트웨어를 설치할 수 있습니다. Zenworks 모델에서 정책은 정책을 사용하려는 모든 수준에서 복제되어야 하며, 정책이 사용자 또는 컴퓨터 객체에 미치는 영향은 모든 정책의 "합계" 가 아닙니다.
GPO 를 더욱 통제하기 위해 Microsoft 는 GPO 상속의 복잡성을 제한하는 세 가지 설정을 제공합니다. 주소, 도메인 및 OU 수준에서 사용자는 확인란을 선택하여 상위 수준에서 상속을 방지할 수 있습니다. 마찬가지로 각 수준에서 사용자는 Active Directory 사용자 및 컴퓨터 플러그인을 열고 GPO 가 있는 도메인이나 OU 를 마우스 오른쪽 버튼으로 클릭한 다음 메뉴에서 속성을 선택하고 그룹 정책 탭을 선택하여 기본 도메인 정책 옵션을 선택할 수 있습니다. 수정할 항목을 강조 표시하고 옵션 버튼을 선택합니다. 사용 가능한 옵션은 덮어쓰기 안 함 또는 금지입니다. 덮어쓰기 안 함 옵션을 선택하면 상속불가 확인란이 선택되어 있어도 GPO 가 작동합니다. 이 함수는 어디에서나 GPO 를 실행하려는 경우에 유용합니다. OU 의 관리자가 보안 정책의 상속을 막으려 해도 보안 정책을 포함하는 GPO 는 시스템에 의해 계속 실행됩니다. 금지 확인란은 GPO 실행을 완전히 금지합니다. 이는 GPO 를 편집하고 다른 사용자가 실행하지 않도록 할 때 특히 효과적입니다.
넷째, GPO 구현 및 필터링
사용자 및 컴퓨터 개체만 그룹 정책을 실행할 수 있습니다. Win2K 는 컴퓨터 시작 및 종료 시 GPO 의 컴퓨터 구성 섹션에 정의된 정책을 실행하고, 사용자가 로그인 및 로그오프할 때 GPO 의 사용자 구성 섹션에 정의된 정책을 수행합니다. 실제로 일부 정책은 사용자가 로그인할 때 수동으로 실행할 수 있습니다. 예를 들어, 명령줄 모드에서 secedit.exe 프로그램을 실행하여 보안 정책 적용을 수행할 수 있습니다. 또한 관리자 모듈 정책을 통해 사용자와 컴퓨터의 GPO 설정을 정기적으로 새로 고칠 수 있습니다. 기본적으로 90 분마다 새로 고쳐지므로 그룹 정책을 통해 정의된 정책을 다른 사용자가 수정하기 어렵습니다. 그러나 소프트웨어 설치 정책은 새로 고쳐지지 않습니다. 아무도 정책을 정기적으로 변경하여 소프트웨어'? 로드 ",특히 다른 사용자가 사용 중인 경우 컴퓨터 및 사용자 객체는 컴퓨터가 시작되거나 사용자가 로그인할 때만 소프트웨어 정책을 설치합니다.
동사 (verb 의 약자) GPO 의 내부 구성
GPO 는 그룹 정책 컨테이너 (GPC) 와 그룹 정책 템플릿 (GPT) 의 두 부분으로 구성됩니다. GPC 는 AD 에서 GPO 의 한 예입니다. System 이라는 특수 컨테이너에는 128 비트의 GUID (Global Unique ID 코드) 가 있습니다. Active user directory 사용자 및 컴퓨터 스냅인에서 찾아보기를 선택한 다음 MMC 메뉴에서 고급 속성을 선택하여 시스템 컨테이너를 봅니다. GPT 는 Win2K 파일 시스템의 그룹 정책에 대한 표현식으로, 하나의 GPO 와 관련된 모든 파일은 GPT 에 따라 달라집니다.
여섯째, GPO 가 가져온 어려움
GPO 는 강력하지만 마스터하기가 쉽지 않습니다. 가장 어려운 것은 효과적인 전략이 도메인 내의 컴퓨터나 사용자에게 어떻게 작용하는지 판단하는 것입니다. 이는 특히 어렵습니다. GPO 는 광고 체인의 여러 수준에 존재할 수 있기 때문입니다. 또한 GPO 에 대한 제어권을 할당할 수 있으므로 다른 GPO 가 통제할 수 없는 컨테이너의 GPO 에 영향을 미치는지 쉽게 알 수 없습니다. 따라서 컴퓨터나 사용자 개체가 받는 정책 결과 세트 (RSoP) 를 계산하기가 어렵습니다. Microsoft 는 RSoP 를 계산하는 도구를 제공하지 않지만 일부 타사 공급업체는 해당 RSoP 계산 도구를 제공합니다.
또 다른 문제는 전략의 실행이다. 광고 체인의 여러 수준에 GPO 가 있는 경우 사용자가 로그인하거나 시스템이 시작될 때마다 모든 GPO 가 실행됩니다. Win2K 시스템에서 Microsoft 는 시스템 성능을 최적화하기 위한 새로운 기능을 도입했습니다. 첫째, GPO 버전 정보는 워크스테이션과 GPO 에 따라 달라집니다. GPO 가 변경되지 않으면 시스템이 이를 실행하지 않습니다. 또한 GPE 의 속성 페이지에서 사용자나 컴퓨터가 GPO 를 수행하지 못하도록 할 수 있습니다. 시스템 종료 또는 시작 시 스크립트를 배포하기 위해 GPO 를 설정하면 GPO 의 사용자 구성 섹션이 비활성화되므로 워크스테이션이 GPO 를 구문 분석할 수 없게 되고 변경 여부를 확인할 수 있습니다.
마지막 문제는 GPC 와 GPT 가 두 개의 독립된 실체라는 점이다. GPC 는 GPT 에 포함된 파일 복제와 동기화되지 않은 AD 의 개체입니다. 즉, GPO 를 만들 때 GPC 가 도메인 컨트롤러의 Sysvol 로 파일을 복사하기 시작했을 수 있습니다.
모든 문제의 근본 원인은 AD 가 다중 에이전트 복제 모드를 채택했다는 것입니다. 이론적으로 다른 시스템 관리자가 도메인 컨트롤러에서 GPO 를 편집할 때 도메인에서 GPO 를 편집할 수도 있습니다. 따라서 GPE 를 설정할 때 기본값은 "운영 주체" 에서 PDC 역할을 하는 도메인 컨트롤러를 의미합니다. ("운영 주체" 는 PDC 로 사용되는 서버가 NT 및 Win9x 를 실행하는 워크스테이션과 호환될 수 있는 AD 인프라 내 일련의 호스팅 기능입니다. 일반적으로 소수의 시스템 관리자만 GPO 를 편집할 수 있는 권한을 부여하고, 누군가가 GPO 를 편집하면 다른 사람들도 이를 알 수 있도록 합니다. 또한 GPO 를 편집할 때는 이를 "금지" 하고 수정 후 다시 활성화해야 한다는 점에 유의해야 합니다.