그룹정책

그룹정책이란 중앙의 정책서버에서 정책을 생성하여 도메인 내의 모든 host에 적용하는 일종의 규칙이다. 기능 및 보안등의 모든 설정을 할 수 있으며 매우 다양하다. 2008의 경우 약 2400여개의 정책 설정이 가능해진다. 정책은 local, 사이트, 도메인, ou 순으로 설정이 가능하다. 관리도구 - 그룹정책관리 기능이 있다.

여러가지 기능이 있지만 제어판기능 제한과 배경화면에 대한 정책을 만들어보겠다. 먼저 그룹정책을 위한 그룹을 만들어야 하기 떄문에 AD사용자에서 OU를통해 test라는 새 개체를 만들었다.

Test에 도메인user a와 테스트할 pc1대를 넣어주었다.

그 후 그룹 정책 개체를 새로만들기로 추가했다. 이름은 제어판_제한으로 하였다.

생겨난 개체의 편집을 해줘야 한다. 편집에서 사용자 구성 – 관리 템플릿 – 제어판 확인!

제어판 엑세스 금지라는 부분을 사용을 체크하고 편집을 마친다.

정책을 만들었으니까 적용을 시켜줘야 하는데 기존 gpo 연결을 통해 아까 임의로 만든 test그룹에 연결하겠다.

client에서 도메인의 a유저로 접속한 후 gpupdate /force를 통해 사용자 정책 업데이트를 시켜줘야 한다. 그 후 재접속 하였다.

제어판을 클릭하게 되면 정책에 의해 막혔음을 알 수 있다.

배경화면 설정을 위해 다른 서버에 c에 desk라는 파일에 jpg파일을 하나 만들었다.

배경화면이라는 gpo를 만들겠다. 그리고 편집에서 정책 – 관리템플릿 – 바탕화면이 존재하기 떄문에 클릭해준다.

배경무늬 사용을 선택하여주고 경로를 알맞게 설정하여 준다.

역시 gpo를 적용시켜주공 client에서는 update를 해준다.

재접속을 해보면 무사히 바탕화면이 바뀌었음을 확인할 수 있다. 강제로 설정해준 것이므로 cleint임의로 바탕화면을 바꿀 수 없다. (정책)

또 한 그룹에 여러가지 정책이 정해질 수 있는데 정책이 겹칠 수도 있다. 권한이 상충할 수 있다. 그 부분을 확인하기 위해 제어판을 제한 했었는데 제어판 사용을 가능하게 하는 제한x라는 정책을 만들겠다

client에서 확인해본 결과 역시나 실행되지 않음을 알 수 있다.

그 이유는 우선순위에 있다. 제어판제한이 제어판제한X보다 우선순위가 높아 제한이 실행된 것이다. 최근에 한 것이 더 우선순위가 낮다.

여기서 두 가지 해결법이 존재한다. 첫 번쨰는 제어판 제한의 연결사용을 해체하는 법과 두 번쨰는 적용이라는 기능을 사용하는 것이다. 적용은 강제라는 뜻으로 무조건 실행해야하는 방법을 뜻한다. 제어판 제한X를 적용을 통해 강제로 써보겠다.

적용하면 정책에 자물쇠가 생김을 확인할 수 있다.

CLIENT에서 정책업데이트를 하고 확인하여 보겠다. 무사히 제어판이 엑세스 됨을 확인할 수 있다.