이것은이다 캐 노니 컬 질문 Active Directory 그룹 정책 기본 사항에 대한

그룹 정책이란 무엇입니까? 어떻게 작동하며 왜 사용해야합니까?

_{참고 :이 기능은 기능 및 기능에 익숙하지 않은 새 관리자에게 제공되는 질문 및 답변입니다.}

그룹 정책이란 무엇입니까?

그룹 정책은 Windows 2000 이상의 Active Directory 도메인을 실행하는 관리자가 사용할 수있는 도구입니다 . 도메인에 가입 된 클라이언트 컴퓨터 및 서버의 설정을 중앙에서 관리하고 소프트웨어를 배포하는 기본적인 방법을 제공합니다.

설정은 GPO (그룹 정책 개체)라는 개체로 그룹화됩니다. GPO는 Active Directory OU ( 조직 구성 단위 )에 연결되며 사용자와 컴퓨터에 적용 할 수 있습니다. 보안 필터링 또는 항목 수준 대상 을 사용하여 그룹 구성원을 기준으로 정책 응용 프로그램을 필터링 할 수 있지만 GPO를 그룹에 직접 적용 할 수는 없습니다 .

멋지다, 무엇을 할 수 있을까?

아무것도.

심각하게도 도메인의 사용자 나 컴퓨터에 원하는 모든 작업을 수행 할 수 있습니다. 폴더 리디렉션, 암호 복잡성, 전원 설정, 드라이브 매핑, 드라이브 암호화, Windows 업데이트 등과 같은 항목에 대해 사전 정의 된 수백 가지 설정 이 있습니다. 사전 정의 된 설정을 통해 구성 할 수없는 것은 스크립팅을 통해 제어 할 수 있습니다. 배치 및 VBScript 스크립트는 지원되는 모든 클라이언트에서 지원되며 PowerShell 스크립트는 Windows 7 호스트에서 실행될 수 있습니다.

전문가 팁 : 실제로 PowerShell 2.0이 설치되어있는 한 Windows XP 및 Windows Vista 호스트에서 PowerShell 시작 스크립트를 실행할 수 있습니다. 이 구문으로 스크립트를 호출하는 배치 파일을 만들 수 있습니다.

powershell Set-ExecutionPolicy RemoteSigned
powershell \\\\server\share\script.ps1
powershell Set-ExecutionPolicy Restricted

첫 번째 행은 원격 공유의 서명되지 않은 스크립트가 해당 호스트에서 실행될 수있게하고 두 번째 행은 배치 파일에서 스크립트를 호출합니다. 세 번째 줄은 최대 보안을 위해 정책을 다시 제한 (기본값)으로 설정합니다.

그룹 정책 개체는 어떻게 적용됩니까?

GPO는 예측 가능한 순서로 적용됩니다. 로컬 정책이 먼저 적용됩니다. gpedit.msc를 통해 로컬 컴퓨터에 정책이 설정되어 있습니다. 사이트 정책이 두 번째로 적용됩니다. 도메인 정책은 세 번째로 적용되고 OU 정책은 네 번째로 적용됩니다. 개체가 여러 OU 내에 중첩되어 있으면 GPO가 루트에 가장 가까운 OU에 먼저 적용됩니다.

충돌이있는 경우 마지막 GPO가 "승리"됩니다. 예를 들어 컴퓨터가있는 OU에 연결된 정책이 해당 GPO의 설정과 상위 OU에 연결된 설정간에 충돌이있을 경우 승리합니다.

로그온 및 시작 스크립트가 멋져 보입니다. 어떻게 작동합니까?

로그온 또는 시작 스크립트는 Domain Users및 Domain Computers공유가있는 공유에 대한 읽기 액세스 권한이있는 한 모든 네트워크 공유에서 작동 할 수 있습니다 . 일반적으로에 거주 \\domain.tld\sysvol하지만 필수 요건은 아닙니다.

컴퓨터가 시작될 때 시작 스크립트가 실행됩니다. 로컬 시스템에서 SYSTEM 계정으로 실행됩니다. 즉, 컴퓨터 계정으로 네트워크 리소스에 액세스합니다. 예를 들어 시작 스크립트가 UNC 가 \\server01\share1있고 컴퓨터 이름이 있는 공유의 네트워크 리소스에 액세스 할 수있게하려면 해당 공유에 대한 액세스 권한이 WORKSTATION01있는지 확인해야합니다 WORKSTATION01$. 이 스크립트는 시스템으로 실행되므로 소프트웨어 설치, 레지스트리의 권한있는 섹션 수정 및 로컬 시스템의 대부분의 파일 수정과 같은 작업을 수행 할 수 있습니다.

로그온 스크립트는 로컬로 로그온 한 사용자의 보안 컨텍스트에서 실행됩니다. 사용자가 관리자가 아니기 때문에 소프트웨어를 설치하거나 보호 된 레지스트리 설정을 수정하는 데 사용할 수 없습니다.

로그온 및 시작 스크립트는 Windows 2003 및 이전 도메인의 초석 이었지만 이후 Windows Server 릴리스에서는 그 유용성이 떨어졌습니다. 그룹 정책 기본 설정을 통해 관리자는 드라이브 및 프린터 매핑, 바로 가기, 파일, 레지스트리 항목, 로컬 그룹 구성원 및 시작 또는 로그온 스크립트에서만 수행 할 수있는 기타 여러 가지 사항을 처리 할 수있는 훨씬 나은 방법을 제공합니다. 간단한 작업을 위해 스크립트를 사용해야한다고 생각한다면 그룹 정책이나 선호도가있을 수 있습니다. 오늘날 Windows 7 이상의 클라이언트가있는 도메인에서는 복잡한 작업에만 시작 또는 로그온 스크립트가 필요합니다.

멋진 GPO를 찾았지만 사용자에게 적용되며 컴퓨터에 적용하고 싶습니다!

그래, 알아 나 거기 가봤 어. 이는 특히 프린터 또는 이와 유사한 리소스에 대한 일부 사용자 정책이 사용자가 아닌 컴퓨터를 기반으로하려는 학술 실험실 또는 기타 공유 컴퓨터 시나리오에서 널리 사용됩니다. 당신이 운이 좋은 것을 맞춰보세요! 그룹 정책 루프백 모드에 대한 GPO 설정을 사용하려고합니다 .

천만에요.

이 소프트웨어를 사용하여 소프트웨어를 설치할 수 있다고 했습니까?

그렇습니다. 그러나 몇 가지주의 사항이 있습니다. 소프트웨어는 MSI 형식 이어야 하고 수정 한 내용은 MST 파일 이어야 합니다. 다음과 같은 소프트웨어로 MST를 만들 수 있습니다ORCA 또는 다른 MSI 편집기 . 변형하지 않으면 최종 결과는 달리기와 같습니다.msiexec /i <path to software> /q

이 소프트웨어는 시작시에만 설치되므로 소프트웨어를 배포하는 매우 빠른 방법은 아니지만 무료입니다. 예산이 적은 랩 환경에서 자정에 모든 랩 컴퓨터를 임의의 30 분 오프셋으로 재부팅하는 예약 된 작업 (GPO를 통해)을 만들었습니다. 이를 통해 해당 랩에서 소프트웨어가 최대 1 일 동안 만료됩니다. 여전히 SCCM , LANDesk 와 같은 소프트웨어 , Altaris 또는 필요에 따라 소프트웨어를 "푸시"할 수있는 다른 소프트웨어가 선호됩니다.

얼마나 자주 적용됩니까?

클라이언트는 30 분마다 무작위로 90 분마다 그룹 정책 개체를 새로 고칩니다. 즉, 기본적으로 최대 120 분 동안 대기 할 수 있습니다. 또한 드라이브 매핑, 폴더 리디렉션 및 파일 기본 설정과 같은 일부 설정은 시작 또는 로그온시에만 적용됩니다. 그룹 정책은 즉각적인 빠른 수정 상황이 아닌 장기 계획 관리를위한 것입니다.

도메인 컨트롤러는 5 분마다 정책을 새로 고칩니다.

그룹 정책 기본 설정에 대한 간단한 참고 사항 :이 설정을 사용하고 싶지만 Windows XP SP2 또는 Windows XP SP3 워크 스테이션이있는 경우 먼저 Windows XP 용 그룹 정책 기본 설정 클라이언트 쪽 확장 (KB943729) 을 설치해야합니다 .

컴퓨터 컨테이너 및 컴퓨터 OU

AD ( Active Directory)Computers container 의 도메인 루트 에는 기본값이 있으며 , 종종 Active Directory 조직 구성 단위 (OU)로 오인됩니다. 이것은 사실입니다 , 그리고 아닙니다 . 이것은 실제로 OU가 아니기 때문에이 컨테이너 내의 개체에는 그룹 정책이 적용되지 않습니다. 이 규칙에 대한 예외는에서 적용되는 그룹 정책 입니다. 정책은의 개체에 적용되는 유일한 정책 입니다.ContainerOUdomain levelComputers container

기본적으로 미리 준비되지 않은 도메인에 가입 된 컴퓨터 개체는로 이동합니다 Computers container.

따라서 정책이 적용되지 않는 이유가 궁금하다면 해당 개체가 AD의 올바른 위치에 있는지 확인하십시오.

GPO 백업

GPMC (그룹 정책 관리 콘솔)를 사용하여 GPO를 백업 할 수 있습니다.

1. 그룹 정책 관리를 열고 Group Policy Objects백업 할 GPO (그룹 정책 개체)가 포함 된 포리스트와 도메인을 두 번 클릭 합니다.
2. 단일 GPO를 백업하려면 GPO를 마우스 오른쪽 단추로 클릭 한 다음 백업을 클릭하십시오. 도메인의 모든 GPO를 백업하려면 마우스 오른쪽 단추를 클릭하고을 Group Policy Objects클릭 Back Up All합니다.
3. 백업 그룹 정책 개체 대화 상자의 위치 상자에 GPO 백업을 저장할 위치의 경로를 입력하거나 찾아보기를 클릭하고 GPO 백업을 저장할 폴더를 찾습니다 ( s)를 누른 다음 확인을 누릅니다.
4. 설명 상자에 백업 할 GPO에 대한 설명을 입력 한 다음 확인을 누릅니다 Backup. 여러 GPO를 백업하는 경우 설명은 백업 한 모든 GPO에 적용됩니다.
5. 작업이 완료되면 확인을 클릭하십시오.

그룹 정책을 백업 할 때 가장 좋은 점은 버전 관리 기능이 내장되어 있다는 것입니다. 즉,이 절차를 여러 번 사용할 수 있으며 정책 간 변경 사항을 추적합니다. 그런 다음 특정 버전의 정책으로 복원 할 수 있습니다.

Backup-GPO 명령을 사용하여 백업 을 자동화 하는 PowerShell 스크립트 를 실행하도록 예약 된 작업을 설정할 수도 있습니다.

GPO를 백업하고있는 폴더를 기존 백업 방법을 사용하여 백업하려고합니다.

GPO를 백업하기 위해 예약 된 작업에 추가 할 수있는 간단한 Powershell 스크립트를 찾고 계십니까? MDOP 팩에 AGPM이 없습니까?

여기 요

첫 번째는 요일에 매일 회전하는 백업을 수행합니다. 각 폴더 (일요일 / 월요일 등)에 대해 미리 폴더 경로를 작성해야합니다. 새 항목을 사용하지 않은 이유는 매번 테스트 항목 및 새 항목을 처리하는 이유를 알고 있기 때문입니다. 1 일 후의 고정 폴더. 실행중인 서버에서 사용 가능한 AD Powershell 모듈이 필요합니다.

# GPOBackupScriptDayOfWeek.PS1
# This script Backup all GPOs and save it to a folder based on the day of the week
# It runs as an automated task on SERVER and we keep a one week rotation on disk


Import-Module grouppolicy 
$date = get-date
$dayofweek = $date.DayofWeek
#Remove current backup from the folder (to alleviate space issues down the road since it won't overwrite each time)
Remove-Item \\SERVER\GPO_Backup\$dayofweek\* -Recurse -Force
#Backup current GPOs to the folder
Backup-Gpo -All -Path \\SERVER\GPO_Backup\$dayofweek

여기도 똑같지 만 이번에는 월간입니다. 다시 1 월, 2 월 등의 폴더를 미리 만듭니다.

# GPOBackupScript.PS1
# This script Backup all GPOs and save it to a folder each month on the first of the month
# It runs as an automated task on SERVER and we keep a one year rotation

Import-Module grouppolicy 
$month = get-date -Format MMMM
#Remove current backup from the folder (to alleviate space issues down the road since it won't overwrite each time)
Remove-Item \\SERVER\GPO_Backup\$month\* -Recurse -Force
#Backup current GPOs to the folder
Backup-Gpo -All -Path \\SERVER\GPO_Backup\$month