Windows Server 2022 (6) - Active Directory 그룹 관리, 그룹 정책의 구성과 운영

2024-09-10(TUE)

 

 

 

01. 전일 내용 - Active Directory Domain Settings

01-1. First Server

(1) hanbit.com 주 도메인 컨트롤러로 구성

(2) AD 설치, Parent Domain으로 구성

(3) 세포리스 생성

(4) Global Catalog 생성

(5) Second 서버, Third 서버 추가, 집중 관리

 

 

 

01-2. Second Server

(1) AD 설치, Second.hanbit.com 도메인 컨트롤러로 구성, Child Domain으로 지정

(2) 원격 접속 허용, 방화벽, 원격 접속 허용 정책 설정

(3) 기존 세포리스 추가

(4) Global Catalog 생성

 

 

 

01-3. Third Server

(1) AD 설치, 읽기 전용 도메인 컨트롤러로 구성,  First Server에 종속된 상태

(2) 원격 접속 허용, 방화벽 원격 접속 허용 정책

(3) 기존 도메인 컨트롤러에 추가

(4) Global Catalog 생성하지 않음

 

 

 

01-4. WinClient

(1) First Server 멤버로 등록

 

 

 

 

02. 전일 내용 - Active Directory 사용자 및 그룹 관리

(1) 도메인 사용자 계정 ↔ 로컬 사용자 계정

 

(2) 관련 용어

- 그룹(Group)

- 조직 구성 단위(OU)

- 글로벌 그룹(Global Groups)

- 유니버설 그룹(Universal Groups)

- 도메인(Domain)

- 도메인 로컬 그룹(Domain Local Groups)

 

 

 

02-1. 사용자 계정 : 4가지로 구분

(1) 기본적인 도메인 로그인 이름 : HANBIT\thisUser

 

(2) UPN(User Principle Name) : thisUser@hanbit.com

 

(3) Distinguished Name : CN(Common Name) = thisUser, OU = 조직 구성 단위명, DC(Domain Component) = hanbit,

DC = com

 

(4) Relative Distinguished Name = CN = thisUser

 

(5) 사용자 계정 관리 커맨드  : dsadd, dsmod, dsmov, dsrm

 

(6) Net User의 경우 Local 사용자 작업 시 사용한다.

 

(7) 반복 작업이 필요한 경우 별도의 Template을 생성해서 사용한다.

 

 

 

02-2. Template

(1) 성, 이름, 로그인명, 주소, 암호, 로그온 시간대 등을 템플릿화 하여 사용할 수 있다.

 

 

 

02-3. 그룹 관리

(1) Global Group, Universal Group, Domain Local Group 세 가지로 구분된다.

 

(2) 그룹은 사용자의 집합으로 사용자 전반에 걸친 권한 관리를 수월하게 작업하기 위해 그룹을 지정하고 관리한다.

 

(3) 각 그룹을 구분하는 기준

- 그룹 가입 기능 : 동일한 도메인 또는 다른 도메인

- 권한 부여 가능(자원에 대한 접근) : 동일한 도메인 또는 다른 도메인

그룹 종류	그룹 가입이 가능한지		권한 부여가 가능한지
	같은 도메인	다른 도메인	같은 도메인	다른 도메인
Global	O	X	O	O
Domain Local	O	O	O	X
Universal	O	O	O	O

 

 

 

 

 

 

 

 

 

1. LAB : Active Directory 그룹 관리 (Global, Domain Local, Universal 그룹 차이점 확인)

1-1. First VMs에서 사용자, 그룹, 자원 생성

(1) Active Directory 사용자 및 컴퓨터로 접속해서 hanbit.com 도메인 기준 사용자를 생성한다.

 

 

(2) 사용자 정보는 위와 같이 설정해준다.

 

 

(3) 이번엔 새로 만들기에서 hanbit.com 도메인 내부에 위와 같은 글로벌 그룹을 생성한다.

 

 

(4) 도메인 로컬 그룹 생성

 

 

(5) 유니버설 그룹 생성

 

 

(6) hanbit.com 도메인 내부에 생성된 3개의 그룹을 확인한다.

 

 

(7) 이후 로컬 C 드라이브에 hanbit 자원이라는 새로운 폴더를 생성한다.

 

 

(8) 폴더 내부에 위와 같은 자원을 생성한다.

 

 

(9) Second VMs의 관리자 계정으로 접속한 후, second.hanbit.com 도메인에 사용자를 생성한다.

 

 

(3) 이후 로컬 디스크에 second 자원 (폴더) / 내부에 새로운 자원을 생성한다.

 

 

 

 

1-2. 글로벌 그룹 테스트 : 사용자를 그룹에 가입

(1) 방금 생성한 한빛 사용자를 그룹에 추가하고자 한다. (한빛글로벌그룹 속성으로 접속)

 

 

(2) 위와 같이 사용자를 추가한다.

 

 

(3) 현재 Second VMs에서 생성한 세컨 사용자를 한빛글로벌그룹에 추가시키고자 하면 위와 같은 오류가 발생한다. 이유는 글로벌 그룹에는 자신의 도메인의 사용잠나 가입할 수 있기 때문에 다른 도메인 사용자는 검색 조차 불가능하기 때문이다.

 

 

(4) 이후 해당 hanbit.com 도메인의 자원을 글로벌 그룹에 권한을 부여하고자 한다. 이전에 생성한 hanbit 자원의 고급 공유 탭으로 이동한다.

 

 

(5) 이전에 설정되어 있던 그룹 또는 사용자 영역에 잡힌 Everyone(모든 사용자 및 그룹) 속성을 제거한다.

 

 

(6) hanbit 자원 폴더 기준으로 한빛글로벌그룹에게 공유 권한을 주며 모든 권한을 부여한다.

 

 

(7) 이후 AD 검색을 위한 공유 폴더를 hanbit.com 도메인 내부에 새롭게 등록한다.

 

 

(8) 등록한 한빛자원을 더블 클릭해서 속성 부분의 키워드로 접속한다.

- 이후 저장소를 입력하고 추가 버튼을 클릭해서 해당 키워드를 등록한다.

 

 

 

 

1-3. second.hanbit.com 도메인 자원을 한빛글로벌그룹에 공유

(1) 속성으로 들어가서 고급 공유 옵션을 연다.

 

(2) second 자원에서 기존 모든 사용자와 그룹에 대한 권한을 없애고, hanbit.com 도메인 내부에 존재하는 한빛글로벌그룹에 대한 공유 권한을 활성화시킨다.

 

 

 

(3) 활성화시킨 후 모든 권한을 부여한다.

 

 

 

 

1-4. (FIRST VMs 기준) - SECOND VMs에서 공유한 폴더를 Active Directory에서 탐색할 수 있도록 등록

(1) Second VMs에서 공유한 폴더를 AD에서 탐색할 수 있도록 하기 위해 세컨자원이라는 공유 폴더를 hanbit.com 도메인 내부에 생성한다.

 

 

(2) 이전 작업처럼 세컨자원 속성에서 저장소라는 신규 키워드를 등록한다. (추후 검색에서 사용하기 위해 등록한다.)

 

 

 

 

1-5. WINCLIENT VMs 기준 - 해당 가상 머신으로 로그온 후 hanbit.com 도메인의 자원을 사용할 수 있는지 확인 

(1) 추가적으로 AD 도메인 사용자는 해당 도메인(또는 트러스트) 의 어느 디바이스에서 로그온하더라도 사용자 권한을 동일하게 얻을 수 있다.

 

(2) 한빛 사용자로 위와 같이 로그온한다.

 

 

(2) 한글 환경으로 변경하기 위해 설정으로 접속하면 위와 같이 계정 정보를 묻는 알림창이 한 번 뜨게 된다. 이 과정에서는 hanbit.com 도메인의 어드민 계정 정보를 입력한다. 이후 한글로 변경해 주면 된다.

 

 

(3) 이후 다시 로그온해서 파일 탐색기로 들어가 보면 이전에 등록한 hanbit 자원을 확인할 수 있다.

 

 

(4) 이후 네트워크 탭에서 Active Directory 메뉴로 접속하면 위와 같이 이전에 만들어둔 공유 폴더를 기준으로 등록한 키워드를 통해 공유 폴더를 탐색할 수 있다.

 

 

 

 

 

1-6. 도메인 로컬 그룹 테스트

 

(1) 세컨 사용자를 hanbit.com 도메인에 등록했던 그룹인 한빛도메인로컬그룹에 등록시키고자 한다. 우선 First VMs로 접속해서 Active Directory 사용자 및 컴퓨터에 접속한다.

 

(2) 이후 secondUser@second.hanbit.com으로 개체를 탐색해서 세컨 사용자를 등록한다. 이전과 다르게 글로벌 그룹은 추가가 안 됐지만 도메인 로컬 그룹은 가능하다.

 

 

(2) 이후 hanbit 자원에 대해 한빛도메인로컬그룹에서 해당 자원에 접근할 수 있도록 명시한다.

 

 

 

 

1-7. Second VMs 기준 - second.hanbit.com 도메인 자원이 한빛도메인로컬그룹에 공유되지 않는 부분을 확인

(1) Second VMs의 second 자원 폴더의 고급 공유 옵션에서 hanbit.com 도메인을 선택하고 한빛도메인로컬그룹을 입력하게 되면 이름을 찾을 수 없다고 이전과 동일하게 나타난다.

 

(2) 도메인 로컬 그룹은 다른 도메인의 자원에 접근 권한 자체가 없기 때문에 검색 자체가 불가능하기 때문이다.

 

 

 

 

1-8. WINCLIENT VMs 기준 - secondUser@second.hanbit.com로 WINCLIENT에 로그온한 후 hanbit.com 도메인에 액세스 가능한지 확인

(1) WinClient VMs에서 secondUser 사용자로 로그온한다.

 

(2) hanbit.com 도메인의 자원에 접근할 수 있다.

 

 

(3) 하지만 second.hanbit.com 도메인의 공유 폴더로 접근하려고 하면 도메인 로컬 그룹에 가입된 사용자는 다른 도메인에 접근 권한이 존재하지 않으므로 폴더 자체에 접근이 불가능하다.

 

 

 

 

 

1-9. Universal Groups 테스트

(1) 이전에 생성한 세컨 사용자가 second.hanbit.com 도메인 자원에 접근 가능한지 테스트한다.

 

 

(2) 한빛유니버설그룹 속성에서 secondUser@second.hanbit.com 개체 속성을 줘서 세컨 사용자를 해당 그룹에 등록시킨다.

 

 

(3) Second VMs로 접속해서 second 자원 폴더에 고급 공유 옵션에서 한빛유니버셜그룹을 추가한 뒤 모든 권한을 주고 적용한다.

 

(4) hanbit.com 도메인 기준으로 탐색하면 한빛유니버셜그룹을 찾을 수 있다.

 

 

 

 

1-10. WINCLIENT VMs 기준 - secondUser@second.hanbit.com 사용자로 WINCLIENT VMs 환경에 로그온해서 second.hanbit.com 자원에 접근 가능 여부 확인

(1) WinClient VMs에서 secondUser@second.hanbit.com 사용자로 로그온한다.

 

 

 

(2) 이후 유니버설 그룹 특성에 따라 파일 탐색기에서 hanbit.com, second.hanbit.com 도메인 내부의 자원에 접근 가능한 것을 확인할 수 있다.

 

 

 

 

 

 

 

2. 실제로 권장되는 그룹과 권한의 권장 사항

(1) 위의 과정에서 각 그룹에 대한 개념, 실습을 진행했다. 이후부터는 실제로 어떻게 자원을 그룹에게 허용하는 부분이 권장되는지 확인해 본다.

 

(2) 마이크로소프트에서는 Active Directory를 설계하는 과정에서 AGDLP라 부르는 다음 순서를 권장하고 있다.

 

AGDLP

Account → Global Group → Domain  Local Group → Permission

 

 

(3) 유니버설 그룹은 네트워크 성능에 저하를 줄 수 있는 요인이므로 가급적이면 사용하지 않는 방향으로 설계해야 한다.

 

(4) 위의 그림을 참고해 보면 각 도메인의 사용자는 자신의 도메인에 생성한 글로벌 그룹에 가입시킨다. 또한 글로벌 그룹은 도메인 로컬 그룹에 가입시키면 도메인 로컬 그룹에 자신의 도메인의 자원에 대한 권한 부여를 하면 된다.

 

(5) 이렇게 하면 모든 사용자는 hanbit.com 도메인의 자원에 접근 가능한 상태가 된다.

 

 

 

 

 

3. AGDLP Implementation

3-1. second.hanbit.com 도메인 그룹에 세컨글로벌그룹 생성 및 세컨 사용자 가입

 

(1) 이전처럼 second.hanbit.com 도메인 내부에 세컨글로벌그룹을 만들고 해당 그룹 내부에 세컨 사용자를 포함시킨다.

 

 

 

 

3-2. hanbit.com 도메인 추가 설정 진행

(1) 한빛글로벌그룹 속성에서 한빛 사용자가 존재하는지 확인한다.

 

 

(2) 한빛도메인로컬그룹에 존재하는 기존 사용자인 세컨 사용자를 제거한다.

 

 

(3) 한빛도메인로컬그룹에서 한빛글로벌그룹을 추가한다.

 

 

 

 

(4) 위와 같이 한빛도메인로컬그룹 내부에 second.hanbit.com 도메인에 속한 세컨글로벌그룹을 추가한다.

 

 

(5) 파일 탐색기에 hanbit 자원 폴더를 선택해서 고급 공유 옵션으로 접속한다.

- 이후 hanbit 자원의 사용 권한 메뉴에서 한빛글로벌그룹을 제거한다.

 

 

 

 

3-3. WINCLIENT VMs 기준 - hanbitUser@hanbit.com 사용자, secondUser@second.hanbit.com 사용자로 각각 로그온한 후 파일 탐색기를 실행시켜서 \\192.168.100.110\hanbit 자원 경로로 접속 가능한지 확인

(1) hanbitUser@hanbit.com 사용자로 WinClient VMs에 로그온한다.

 

 

(2) 위와 같이 접근할 수 있다.

 

 

(3) secondUser@second.hanbit.com 사용자로 WinClient VMs에 로그온한다.

 

 

(4) 세컨 사용자도 마찬가지로 잘 접속되는 것을 확인할 수 있다.

 

 

 

 

 

4. Windows Server 2022에서 제공하는 기본 그룹

4-1. 개요

(1) 윈도우 서버 2022에서는 사용자가 별도로 생성한 그룹 외에도 Windows Server 2022 자체에 포함된 Default Group이 존재한다.

 

(2) 기본 그룹에는 Default Local Groups(기본 로컬 그룹), Active Directory 도메인을 만들면 자동으로 생성되는 Default Domain Groups(기본 도메인 그룹)이 있다.

 

(3) 또한 기본 도메인 그룹은 Default Domain Local Groups(기본 도메인 로컬 그룹), Default Global Groups(기본 글로벌 그룹), Default Universal Groups(기본 유니버설 그룹) 으로 구분된다.

 

 

 

 

4-2. Default Local Groups

(1) 기본 로컬 그룹은 독립 실행형 서버로 운영되는 윈도우 서버 2022뿐만이 아니라 Windows 10/11에도 존재한다.

 

(2) 기본 로컬 그룹도 AD와 관계가 없는 그룹이며 AD 도메인을 구성하면 대부분은 기본 도메인 로컬 그룹으로 포함된다.

 

(3) 기본 로컬 그룹은 위의 이미지에서 보이는 경로에서 확인 가능하다.

 

(4) 아래는 일부 주요한 기본 로컬 그룹이다.

그룹명	그룹 설명
Administrators	컴퓨터 운영에 관련된 모든 권한을 갖는 그룹으로 Administrator 관리자 계정이 소속된 그룹
Backup Operators	백업 및 복구와 관련된 그룹
Guests	임시로 사용되는 그룹, Guest 계정이 소속된 그룹
Hyper-V Administrators	Hyper-V의 모든 기능을 제한없이 사용할 수 있는 그룹
Performance Monitor Users	주로 원격지에서 서버의 성능 카운터를 모니터링하기 위한 목적의 그룹
Power Users	이전 버전과 호환성 때문에 존재하는 그룹으로 Users 그룹과 동일한 권한을 갖는다.
Print Operators	프린트 및 인쇄 큐를 관리하는 그룹
Remote Desktop Users	원격지에서 서버로 로그온할 수 있는 그룹
Users	응용 프로그램, 네트워크, 프린터 등의 일반적 작업을 수행할 수 있는 그룹, 프로그램의 설치나 시스템 설정 변경 등의 시스템 레벨 수준의 설정은 불가능하며 새로 생성하는 자동으로 Users 그룹에 소속된다.

 

 

 

 

4-3. Default Domain Local Groups

(1) 기본 도메인 로컬 그룹은 주로 도메인 컨트롤러(DC)와 Active Directory 서비스와 관련된 권한을 갖는다.

 

(2) 대부분 hanbit.com → Builtin 컨테이너에 속하고, 일부는 Users 컨테이너 내부에 존재한다.

그룹명	그룹 설명
Account Operators	도메인의 사용자, 그룹, 컴퓨터 계정 등을 생성/수정/삭제할 수 있다. 단 Administrators 그룹이나 Domain Admins 그룹 및 사용자는 수정 불가능하다.
Administrators	전체 도메인 컨트롤러(Domain Controller)에 대한 모든 권한을 갖는다.
Backup Operators	모든 Domain Controller에 대한 백업 및 복원이 가능하다.
Cryptographic Operators	Encryption Task 수행에 대한 권한을 갖는다.
Event Log Readers	로컬 컴퓨터의 이벤트 로그를 확인할 수 있다.
IIS_IUSRS	IIS(인터넷 정보 서비스)에서 사용하는 기본 그룹을 의미한다.
Server Operators	도메인 서버를 관리하는 권한을 갖는다.

 

 

 

 

4-4. Default Global Groups & Default Universal Groups

(1) 기본 글로벌 그룹은 주로 도메인 관리자, 도메인 컴퓨터(디바이스), 도메인 컨트롤러(DC), 도메인 사용자 등과 관련된 그룹이다.

 

(2) 주로 Users 컨테이너 내부에 존재하며 기본 유니버셜 그룹(Default Universal Groups)도 주로 Users 컨테이너 내부에 존재한다.

 

 

 

 

4-5. 조직 구성 단위와 그룹

(1) Group

- 동일한 작업을 수행하는 계정을 관리하거나 권한을 부여하기 위한 단위

 

 

(2) OU(Organizational Unit, 조직 구성 단위)

- 조직 구성 단위는 사용자, 그룹, 컴퓨터 등을 배치할 수 있는 일종의 Active Directory 내부에서 Container 역할을 수행한다.

 

- 그룹 정책을 적용하기 위한 최소 단위로, OU 자체에는 직접적인 권한을 부여할 수는 없다.

 

 

(3) User Account(사용자 계정)

- 사용자 계정은 하나의 OU에만 소속될 수 있지만 여러 개의 그룹에 소속될 수 있다.

 

 

 

 

 

 

 

5. 그룹 정책(Group Policy)에 대한 개요

5-1. 그룹 정책의 기본 개념과 GPO(Group Policy Object)

(1) 그룹 정책(Group Policy)은 관리자가 Active Directory 내부의 컴퓨터나 사용자에게 사용 가능한 프로그램을 지정하거나 제한할 수 있고 로그온 시 보이는 바탕화면 수정, 시작 메뉴의 사용 옵션, USB나 CD/DVD 등 주변 디바이스 등의 사용 제한 등을 구성할 수 있는 정책을 말한다.

 

(2) 이러한 그룹 정책을 적용하면 잘못된 사용자의 시스템 구성 변경, 네트워크 보안 공격 등에 대한 예방이 가능하기 때문에 전반적인 Active Directory에 대한 시스템의 생산성을 향상을 기대할 수 있다.

 

(3) 그룹 정책 개체(Group Policy Obejct, GPO)는 그룹 정책을 생성한 후 그룹 정책을 묶은 개체를 의미한다.

 

(4) 이러한 GPO는 컴퓨터의 설정을 변경하거나 사용자를 설정할 수도 있다.

- 컴퓨터의 설정 : 모든 컴퓨터를 부팅 시 동일한 환경이 되도록 설정 (예시)

- 사용자의 설정 : 특정 응용 프로그램에 대한 사용을 허가하거나 거부 또는 사용자 로그온 시 설정된 스크립트 실행 등(예시)

 

(5) 만약 컴퓨터 또는 사용자 관련 설정에 대해 Collision이 발생하면, 컴퓨터에 대한 그룹 정책의 우선순위가 더 높다.

 

 

 

 

5-2. GPO 종류

(1) Local GPO

(2) Site GPO

(3) Domain GPO

(4) OU GPO

 

 

 

 

5-3. 그룹 정책의 상속과 가능한 작업

- 그룹 정책을 사용해서 관리자는 다음과 같은 작업을 수행할 수 있다.

 

(1) 보안 설정

- 보안 강화를 위한 사용자의 암호 및 계정 잠금에 대해 도메인의 모든 사용자에게 강제로 적용할 수 있다.

 

(2) 스크립트 지정

- 사용자 로그온/로그아웃 시 컴퓨터의 부팅과 종료 시에 자동으로 실행할 작업을 스크립트에 명시할 수 있다.

 

(3) 폴더 리디렉션(Folder Redirection)

- 사용자가 도메인 내의 어느 디바이스에서 로그온하더라도 자신의 문서 등에 대한 폴더를 동일한 환경으로 제공할 수 있다.

 

(4) 소프트웨어 설정

(1) 사용자가 사용할 소프트웨어에 대해 설치, 삭제, 업데이트를 제어할 수 있다.

 

 

 

 

 

 

6. 그룹 정책 적용 (LAB : 기본적인 그룹 정책)

6-1. 도메인 사용자 생성 시 패스워드 관련 그룹 정책이 기본적으로 어떻게 설정됐는지 확인 / 해당 부분 수정

 

 

(1) hanbit.com 도메인에 사용자 생성 시 비밀번호를 지정하는데, 비밀번호 정책에 대해 맞지 않게 패스워드를 지정하면 위와 같은 경고가 발생하며, 사용자가 생성되지 않는다.

 

 

(2) 서버 관리자의 도구 > 그룹 정책 관리로 접속한다.

 

 

(3) 정책 관리에서 hanbit.com 도메인에 대해 default domain policy의 설정으로 접속한다.

 

 

(4) 보안 설정에서 계정/암호에 대한 보안 정책이 확인된다.

 

 

 

(5) 그룹 정책 관리에서 Default Domain Policy 부분을 우클릭하면 편집 버튼이 나오는데 해당 경로로 그룹 정책 편집기로 이동한다.

 

(6) 다음 컴퓨터 구성 > Windows 설정 > 보안 설정 > 계정 정책 > 암호 정책에서 "암호는 복잡성을 만족해야 함" 항목을 비활성화한다. 

 

 

(7) 이후 hanbit.com 도메인에서 패스워드를 "password"로 하는 사용자가 생성되었다.

- 이를 통해 암호 정책 수준이 낮아서 보안에 다소 취약하다는 특징을 갖게 되었다.

 

 

 

 

6-2. 회계부 OU의 직원들은 제어판에 접근하지 못하도록 설정

(1) 그룹 정책 관리에서 그룹 정책 개체(GPO) > 새로 만들기에서 제어판 제어 정책을 생성한다.

 

 

(2) 생성한 제어 정책의 편집기로 들어간다.

 

 

(3) 사용자 구성 > 정책 > 관리 템플릿 > 제어판 또는 모든 설정에서 Prohibit access to Control Panel and PC Settings를 찾고 해당 옵션을 활성화한다.

 

(4) 회계부 OU에 방금 설정한 제어판 제어 정책을 적용한다.

 

 

(5) 테스트를 위해 WinClient VMs의 skd@hanbit.com(회계부 사용자 계정)으로 로그온한다.

 

 

(8) gpupdate /force 커맨드로 정책 사항을 적용시킨 뒤 제어판을 실행하면 위와 같이 제어판에 접근 불가능하다는 메시지가 나타나게 된다.

 

 

 

 

 

 

 

 

7. 그룹 정책의 상속(Inheritance) 실습 

7-1. 그룹 정책의 상속 거부(Inheritance Denied), 강제 상속(Inheritance Forced)

 - 새로운 그룹 정책을 생성한 뒤 기술부 OU에 적용

(단, 기술1팀 기준으로 상속 차단을 진행)

(1) 기술부 OU에 기술 1팀 OU를 생성하고 사용자를 생성한다.

 

 

(2) hanbit.com 도메인 내부 GPO에 "바탕 화면 배경 변경 정책"을 생성한다.

 

 

(3) 사용자 구성 > 정책 > 관리 템플릿 > 개인 설정에서 바탕화면 배경 변경 금지 옵션을 활성화한다.

 

 

 

(4) 그룹 정책 설정 > 기술부를 우클릭하면 GPO 설정 메뉴가 보인다. 해당 메뉴로 접속한 후 이전에 설정한 바탕화면 배경 배경 변경 정책 GPO를 적용한다.

 

 

 

(5) 기술부 하단의 기술1팀 OU에서 상속 차단 설정을 활성화한다.

 

 

(6) WinClient VMs에서 pkd@hanbit.com 사용자로 로그온한다.

 

 

(7) 현재 pkd@hanbit.com(기술부 OU 소속) 계정의 바탕화면 설정이 조직 관리에 의해 제한되어 있다는 문구가 확인된다.

 

 

(8) 반면 기술1팀은 상속 차단이 되어 있으므로 GPO가 미적용되어 바탕화면 수정이 가능할 것이다. 이 부분을 확인하기 위해 기술1팀 사용자로 로그온한다.

 

 

(9) 기대했던 결과처럼, 기술1팀의 사용자는 바탕화면 수정이 가능한 상태다.

 

 

 

 

7-2. 그룹 강제 상속 테스트 (상속 차단을 진행하더라도 강제 상속이 반영되어 있다면 무조건 상속되도록 설정된다.)

(1) 강제 상속은 마치 본사에서 부서에 각각 거부할 수 없는 정책을 지시하는 개념으로 생각하면 쉽다.

 

 

(2) First VMs의 그룹 정책 관리에서 기술부를 지정하고 바탕 화면 배경 변경 정책에서 "적용" 옵션을 주면 강제 상속이 수행되도록 변경된다.

 

(3) 이후 기술부를 선택하고 그룹 정책을 업데이트시킨다.

 

 

(4) 다시 기술1팀 사용자로 로그인한 후 커맨드 프롬프트를 열고 그룹 정책을 강제로 적용하기 위해 위와 같은 옵션을 준다.

 

 

(5) 기술1팀에도 GPO가 적용되어 바탕화면 수정이 불가능하다.

 

 

 

 

 

 

8. 사용자가 아닌 컴퓨터(디바이스)에 적용하는 그룹 정책

8-1. 컴퓨터에 그룹 정책이 적용되는 부분을 확인 (교육장 컴퓨터 로그온 시 웹 브라우저 실행)

(1) First VMs를 기준으로 hanbit.com 도메인에 교육장 OU를 생성한다.

 

 

(2) WINCLIENT를 교육장 OU로 이동시킨다.

 

 

(3) 그룹 정책 관리의 신규 GPO를 위와 같이 생성한다.

 

(3) 교육장 정책의 편집으로 이동해서 컴퓨터 구성 > 정책 > 관리 템플릿 > 로그온에서 사용자 로그온 시 다음 프로그램 실행 정책을 활성화한다.

 

(4) 이후 값 추가에서 위와 같이 입력하고 설정을 적용한다.

 

 

(5) 이후 교육장 OU에서 교육장 정책 GPO를 포함한다.

 

 

(6) 현재 WinClient VMs에서 skd@hanbit.com 계정으로 접속하여 위의 명령 적용 후 로그온을 시도해도 Edge 브라우저가 실행되지 않아 추가적으로 확인이 필요할 것 같다.

 

 

 

 

 

 

9. 로그온 스크립트를 이용한 그룹 정책

9-1. 로그온 스크립트를 적용한 그룹 정책

- 교육장 컴퓨터를 시작할 경우 First VMs의 폴더가 Z 드라이브로 네트워크 드라이브 연결이 되도록 설정

 

(1) 로컬 C 드라이브에 DataFiles 폴더를 생성하고 고급 공유 옵션에서 Authenticated Users 그룹만 모든 권한을 갖도록 설정한다.

 

 

(2) 메모장을 열어서 위와 같은 스크립트 코드를 작성한다.

 

 

(3) 방금 폴더에 .bat 형식으로 바꿔서 저장한다.

 

 

(4) 교육장 정책의 그룹 정책 관리 에디터로 와서 컴퓨터 구성 > 관리 템플릿 > 로그온에서 사용자 로그온 시 다음 프로그램 실행 옵션을 열고 위와 같이 명시해준다.

 

 

(5) WinClient VMs로 접속해서 위의 경로로 이동한다.

 

 

(6) 진행하면 알 수 없는 실행 게시자가 확인되면서 Connect.bat 파일을 실행시킬 건지 묻게 된다. Run을 눌러 실행한다.

 

 

 

(7) 이후 First VMs에 접속해서 디바이스를 확인해 보면 위와 같은 네트워크 드라이브가 생성된 것을 확인할 수 있다.

 

 

 

 

 

 

 

10. Group Policy Modeling Wizard, Policy Management(Backup & Remove), Policy Copy & Taste

10-1. 그룹 정책 모델링 마법사

(1) 그룹 정책 관리에서 그룹 정책 모델링 마법사를 연다.

 

 

(2) 정책 시뮬레이션 대상을 설정하는데, 사용자 정보에 HANBIT\Administrator, 컴퓨터 정보에 HANBIT\WINCLIENT를 지정한다.

 

 

(3) 사이트명을 Default-First-Site-Name으로 지정한다.

 

 

(4) 다음으로 넘어간다.

 

(5) 별도 수정없이 넘어간다.

 

(6) 설정된 그룹 정책 모델링의 결과를 확인할 수 있다.

 

 

(7) 보고서를 웹 환경으로 저장할 수도 있다.

 

 

(10) 웹 브라우저에서도 모델링 결과를 확인할 수 있게 제공하고 있다.

 

 

 

 

 

10-2. 그룹 정책 백업

(1) 그룹 정책 편집기에서 도메인을 hanbit.com, second.hanbit.com을 모두 표시할 수 있도록 설정한다.

 

 

(2) 이후 GPO에서 hanbit.com 도메인의 정책을 모두 백업한다.

 

 

(3) GPO 백업창이 열리는데 백업을 진행한다.

 

 

(4) 백업이 진행되고 완료되면 종료한다.

 

 

(5) 지정한 경로로 접속해보면 hanbit.com 도메인의 정책 사항이 모두 백업되어 있다.

 

 

 

 

10-3. 기존 정책 삭제 후 백업 폴더에서 복원

(1) 백업 폴더에서 정책들을 복원해 보기 위해 기존 hanbit.com 도메인의 정책을 모두 삭제한다.

 

 

 

(2) GPO 옵션 중 백업 관리 옵션으로 들어간다.

 

 

(3) 위에서 백업한 경로에 정책들이 백업되어 있는 부분을 확인 가능하다.

(4) 아래 보면 백업 버튼이 있는데 각각 모두 백업을 진행할 수 있다.

 

 

(5) hanbit.com 도메인 내부에 정책들이 모두 반영되어 있다.

 

 

 

 

10-4. hanbit.com 도메인의 그룹 정책을 second.hanbit.com 도메인으로 복사

(1) GPO에서 생성된 정책 리스트를 모두 선택하고 복사해 둔다.

 

 

(2) 복사한 정책을 second.hanbit.com 도메인의 GPO 영역에 붙여넣는다.

 

 

(3) 붙여넣는 순간, 도메인 간 복사 마법사가 시작된다.

 

 

(4) 새 GPO에 대한 기본 권한 사용을 체크하고 넘어간다.

 

 

(5) 복사를 완료하고 마법사를 종료한다.

 

 

(6) second.hanbit.com 도메인 내부에 정책이 복사된 것을 확인할 수 있다.

 

 

 

 

 

 

 

11. Folder Redirection Group Policy

(1) 폴더 리디렉션 정책은 도메인 사용자가 도메인  내부의 어떤 컴퓨터에서 접속하든, 자신이 사용하던 폴더가 그대로 보이도록 해 주는 정책을 의미한다.

 

(2) 폴더 리디렉션을 사용할 경우 아래와 같은 사항들을 고민해야 한다.

- 용량이 큰 파일은 폴더 리디렉션을 사용하기에 부적합하다.

- 도메인 사용자의 폴더는 도메인 서버에 저장되므로 서버 부하를 고민해야 한다.

- 폴더 리디렉션 가능 항목은 내 문서/애플리케이션 데이터/바탕 화면/시작 메뉴가 있다.

 

 

 

11-1. 폴더 리디렉션 그룹 정책 사용 실습

(1) 로컬 디스크 내부에 domainUserFolder를 생성한다. 

 - 생성 후 숨김 처리한다.

 

 

(2) 생성한 폴더의 고급 공유 옵션으로 접속해서 Authenticated Users 그룹에게 모든 권한을 넘겨준다.

 

 

(3) 그룹 정책 관리에서 GPO에 폴더 리디렉션이라는 신규 정책을 생성한다.

 

 

(4) 폴더 리디렉션 정책 에디터를 열고 사용자 구성 > 정책 > Windows 설정 > 폴더 리디렉션 > Document 경로의 속성을 위와 같이 변경한다.

- 루트 경로의 경우 \\FIRST\domainUserFolder$로 지정한다.

 

 

 

 

11-2. 관리부 OU 계정에서 폴더 리디렉션이 적용되는지 확인

 

(1) 확인 이전에 Active Directory 메뉴에서 관리부 OU에 기존 GPO 연결을 활성화시키는 부분을 적용해 놓는다.

(2) WinClient VMs에서 관리부 계정으로 접속한다.

 

 

(3) 이후 로그온해서 Documents 폴더의 속성을 확인해 보면 폴더 위치가 조금 다르다. 바로 경로가 공유된 리디렉션 환경의 서버 폴더임을 확인할 수 있다.

 

- 현재 폴더명에 차이가 있는 건 실습 도중 폴더를 다시 만들었기 때문이다. 사실상 돌아가는 부분이나 원리는 똑같다.

 

 

(4) 해당 Documents 폴더에서 새로운 notepad 파일을 생성한다.

 

 

(5) 이후 First VMs 환경에서 로컬 디스크 C →  DomainUserFolder 폴더로 접근해 보면 내부에 kkd(이전 관리부 OU의 사용자) 폴더가 생성되어 있고 그 내부에 kkd 계정이 공유하는 Documents 폴더가 확인된다. First VMs에서 소유한 권한이 아니므로 현재 상태에서는 해당 폴더에 접근할 수 없다.

 

(6) 이를 통해 도메인 내부의 어느 클라이언트로 로그온해서 작업하더라도 각 사용자들끼리 본인의 컴퓨터 환경에서 작업하는 효과를 기대할 수 있다.

 

 

 

 

 

 

12. Reference

(1) https://www.hanbit.co.kr/store/books/look.php?p_code=B2079064069

이것이 Windows Server다(개정판)

※ 해당 포스팅을 기준으로 내용 추가가 필요하다고 생각되면 기존 내용에 다른 내용이 추가될 수 있습니다.

개인적으로 공부하며 정리한 내용이기에 오타나 틀린 부분이 있을 수 있으며, 이에 대해 댓글로 알려주시면 감사하겠습니다!