그룹 정책 개요(2007 Office System)
업데이트 날짜: 2007년 3월
적용 대상: Office Resource Kit
마지막으로 수정된 항목: 2015-03-09
그룹 정책은 관리자가 사용자 및 컴퓨터에 대한 특정 컴퓨팅 구성을 구현하는 데 사용할 수 있는 인프라입니다. 정책 설정은 Active Directory 포리스트 범위 내의 구성원 서버 및 도메인 컨트롤러에도 적용할 수 있습니다. 관리자는 그룹 정책을 사용하여 구성을 한 번 정의한 다음 운영 체제에서 해당 상태를 적용하도록 합니다.
그룹 정책 설정은 사이트, 도메인 또는 OU(조직 구성 단위)와 같은 선택된 Active Directory 디렉터리 서비스 컨테이너에 연결된 GPO(그룹 정책 개체)에 들어 있습니다. 영향을 받는 대상에서는 Active Directory의 계층적 특성을 사용하여 GPO 내의 설정을 확인합니다.
그룹 정책 인프라는 한 개의 그룹 정책 엔진과 여러 개의 개별 확장으로 구성됩니다. 이러한 확장은 관리 템플릿 확장을 통해 레지스트리를 수정하거나 보안 설정, 소프트웨어 설치, 폴더 리디렉션, Internet Explorer 유지 관리, 무선 네트워크 설정 등의 영역에 대한 그룹 정책 설정을 지정하는 방법으로 그룹 정책 설정을 구성하는 데 사용됩니다.
각 그룹 정책 확장은 다음과 같은 두 개의 확장으로 구성됩니다.
클라이언트 컴퓨터에 적용되는 정책 설정을 정의하고 설정하는 데 사용되는 그룹 정책 개체 편집기 MMC(Microsoft Management Console) 스냅인의 서버 쪽 확장
그룹 정책 엔진에서 정책 설정을 적용하기 위해 호출하는 클라이언트 쪽 확장
2007 Microsoft Office 시스템의 시스템 정책 설정은 관리 템플릿 파일(.adm)에 들어 있습니다. 자세한 내용은 관리 템플릿 섹션을 참조하십시오.
다음 섹션에서는 그룹 정책의 개념에 대해 간략히 설명합니다. 자세한 내용은 Microsoft TechNet 사이트의 그룹 정책 모음 (영문)(https://go.microsoft.com/fwlink/?linkid=80200\&clcid=0x412)을 참조하십시오.
이 항목의 내용
로컬 및 Active Directory 기반 그룹 정책
그룹 정책 처리
그룹 정책 적용
그룹 정책 개체의 적용 대상 지정
관리 템플릿 확장
사용자 기본 설정 및 실제 정책
그룹 정책 관리 도구
Office 사용자 지정 도구 및 그룹 정책
로컬 및 Active Directory 기반 그룹 정책
모든 컴퓨터에는 해당 컴퓨터가 도메인의 일부이든 독립 실행형 컴퓨터이든 관계없이 항상 처리되는 로컬 GPO가 있습니다. 로컬 GPO는 도메인 기반 GPO에 의해 차단될 수 없습니다. 하지만 도메인 GPO는 로컬 GPO보다 나중에 처리되므로 도메인 GPO의 설정이 항상 우선합니다.
개별 컴퓨터에서도 로컬 그룹 정책 개체를 구성할 수 있지만 그룹 정책은 Active Directory가 설치된 Windows 2000 또는 Windows Server 2003 기반 네트워크에서 최대의 효과를 발휘할 수 있습니다.
관리자는 범위에 관계없이 조직을 구성하는 모든 부분에 대해 필요한 대로 그룹 정책 설정을 구현할 수 있습니다. 이를 위해 관리자는 사이트, 도메인 및 OU에 GPO를 연결합니다. GPO 연결은 사용자 및 컴퓨터에 다음과 같이 적용됩니다.
사이트에 연결된 GPO는 해당 사이트 내의 모든 사용자 및 컴퓨터에 적용됩니다.
도메인에 연결된 GPO는 해당 도메인 내의 모든 사용자 및 컴퓨터에 직접 적용되며 상속에 의해 자식 OU 내의 모든 사용자 및 컴퓨터에도 적용됩니다. 도메인 간에는 그룹 정책이 상속되지 않습니다.
OU에 연결된 GPO는 해당 OU 내의 모든 사용자 및 컴퓨터에 직접 적용되며 상속에 의해 자식 OU 내의 모든 사용자 및 컴퓨터에도 적용됩니다.
만들어진 GPO는 도메인에 저장됩니다. GPO가 OU와 같은 Active Directory 컨테이너에 연결된 경우 이 연결은 GPO의 구성 요소가 아니라 해당 Active Directory 컨테이너의 구성 요소가 됩니다.
GPO 만들기 권한이 있는 관리자만 GPO를 만들 수 있습니다. 기본적으로 도메인 관리자, 엔터프라이즈 관리자 및 Group Policy Creator Owners 그룹의 구성원만이 그룹 정책 개체를 만들 수 있습니다. GPO를 편집하려면 해당 GPO에 대한 편집 권한이 있어야 합니다.
그룹 정책 인프라에 대한 자세한 내용은 Microsoft TechNet 사이트의 그룹 정책 모음 (영문)(https://go.microsoft.com/fwlink/?linkid=80200\&clcid=0x412)을 참조하십시오.
Windows Vista 및 Windows Server® 2008 운영 체제에서 로컬 GPO를 관리하기 위해 새로 도입된 기능은 독립 실행형 컴퓨터의 관리자가 독립 실행형 컴퓨터의 사용자에게 여러 그룹 정책 개체를 적용할 수 있게 해 줍니다.
여러 로컬 GPO: Windows Vista 및 Windows Server 2008 변경 사항
Windows Vista와 Windows Server 2008에서는 독립 실행형 컴퓨터에서 여러 개의 로컬 GPO를 관리할 수 있는 기능이 지원됩니다. 이 기능은 도서관이나 컴퓨터 실습실과 같이 단일 컴퓨터에서 공유 컴퓨팅을 처리해야 하는 환경을 관리하는 데 유용합니다. 로컬 사용자나 기본 제공 그룹에 여러 개의 로컬 GPO를 할당할 수 있습니다.
작업 그룹 환경에서는 각 컴퓨터가 해당 컴퓨터의 정책 설정을 유지 관리합니다. 이 기능은 도메인 기반 그룹 정책에 사용할 수 있으며, 사용하지 않으려는 경우에는 그룹 정책 설정을 통해 이 기능을 해제할 수 있습니다.
관리자는 여러 로컬 GPO를 사용하여 다음을 수행할 수 있습니다.
독립 실행형 컴퓨터의 로컬 사용자들에게 각기 다른 수준의 로컬 그룹 정책을 적용할 수 있습니다. 이 기능은 도메인 기반 관리를 사용할 수 없는 공유 컴퓨팅 환경에 이상적입니다.
관리자 그룹과 관리자가 아닌 사용자 그룹에 대해 각기 다른 방식으로 그룹 정책을 관리할 수 있습니다. 예를 들어 관리자가 컴퓨터 실습실의 컴퓨터를 설정하여 보안 환경을 구성하려는 경우 사용자 그룹에 대해서는 엄격히 관리되는 정책 설정을 만들고 기본 제공 관리자 계정에 대해서는 유연하게 관리되는 정책 설정을 만들 수 있습니다. 이 기능 덕분에 로컬 관리자는 관리 작업을 수행하기 전에 워크스테이션을 관리하는 데 방해가 되는 그룹 정책 설정을 명시적으로 해제하거나 제거할 필요가 없습니다. 또한 Windows Vista 관리자는 도메인 기반 그룹 정책을 명시적으로 설정하지 않고도 로컬 그룹 정책 설정을 해제할 수 있습니다.
도메인 관리자는 도메인 그룹 정책 개체에서 로컬 그룹 정책 개체 처리 안 함 정책 설정을 사용하도록 설정하여 Windows Vista를 실행하는 클라이언트에 대해 로컬 그룹 정책 개체가 처리되지 않도록 설정할 수 있습니다. 이 설정은 컴퓨터 구성\관리 템플릿\시스템\그룹 정책에서 액세스할 수 있습니다.
Windows Vista에서는 로컬 그룹 정책, 관리자 및 관리자가 아닌 사용자에 대한 그룹 정책, 그리고 사용자별 로컬 그룹 정책이라는 세 가지 계층의 로컬 그룹 정책 개체를 제공합니다. 이러한 계층의 로컬 그룹 정책 개체는 다음 순서에 따라 처리됩니다.
로컬 그룹 정책
관리자 및 관리자가 아닌 사용자에 대한 그룹 정책
사용자별 로컬 그룹 정책
Windows Vista에서 여러 로컬 GPO 기능을 사용하는 방법에 대한 자세한 내용은 Microsoft TechNet 웹 사이트의 여러 로컬 그룹 정책 개체 관리 단계별 가이드 (영문)를 참조하십시오.
그룹 정책 처리
로컬 GPO가 먼저 처리되며 해당 컴퓨터 또는 사용자가 속한 조직 구성 단위(즉, 해당 컴퓨터 또는 사용자가 직접적인 구성원이 되는 조직 구성 단위)는 나중에 처리됩니다. 그룹 정책 설정은 다음 순서로 처리됩니다.
로컬 GPO. 각 컴퓨터에는 로컬로 저장된 그룹 정책 개체가 있습니다. 이 GPO는 컴퓨터 및 사용자 그룹 정책 모두에 대해 처리됩니다.
사이트. 해당 컴퓨터가 속한 사이트에 연결된 GPO는 다음에 처리됩니다. 처리는 관리자가 GPMC(그룹 정책 관리 콘솔)에서 해당 사이트에 대한 연결된 그룹 정책 개체 탭에서 지정한 순서대로 수행됩니다. 연결 순서가 가장 낮은 GPO가 마지막에 처리되며 우선 순위가 가장 높습니다. 그룹 정책 관리 콘솔에 대한 자세한 내용은 그룹 정책 관리 도구 섹션을 참조하십시오.
도메인. 도메인에 연결된 여러 GPO는 관리자가 그룹 정책 관리 콘솔에서 해당 도메인에 대한 연결된 그룹 정책 개체 탭에서 지정한 순서대로 처리됩니다. 연결 순서가 가장 낮은 GPO가 마지막에 처리되며 우선 순위가 가장 높습니다.
조직 구성 단위. Active Directory 계층 구조에서 최상위 수준의 조직 구성 단위에 연결된 GPO가 먼저 처리되고 그 다음으로 자식 조직 구성 단위에 연결된 GPO가 차례로 처리됩니다. 해당 사용자 또는 컴퓨터가 속한 조직 구성 단위에 연결된 GPO는 마지막에 처리됩니다.
처리 순서는 다음 조건에 따라 달라집니다.
GPO에 적용된 WMI(Windows Management Instrumentation) 또는 보안 필터링
로컬 GPO가 아닌 도메인 기반 GPO는 모두 적용 옵션을 사용하여 강제로 적용될 수 있으므로 해당 정책 설정은 덮어쓸 수 없습니다. 강제로 적용된 GPO는 마지막에 처리되므로 다른 어떤 설정도 해당 GPO의 설정을 덮어쓸 수 없습니다. 강제로 적용된 GPO가 둘 이상 있는 경우 각 GPO의 동일한 설정이 서로 다른 값으로 설정되어 있을 수 있습니다. 이 경우 GPO의 연결 순서에 따라 최종적으로 적용될 설정을 포함하는 GPO가 결정됩니다.
도메인 또는 조직 구성 단위에서 그룹 정책 상속은 선택적으로 상속 차단으로 지정될 수 있습니다. 하지만 강제로 적용된 GPO는 항상 적용되며 차단될 수 없으므로 상속이 차단되어 있어도 강제로 적용된 GPO의 정책 설정은 계속 적용됩니다.
정책 상속
사용자 및 컴퓨터에 실제 적용되는 정책 설정은 사이트, 도메인 또는 OU에서 적용된 GPO를 결합한 결과입니다. 해당 Active Directory 컨테이너에서 사용자 및 컴퓨터에 여러 개의 GPO가 적용될 경우에는 GPO의 설정이 취합됩니다. 기본적으로 Active Directory에서 높은 수준의 컨테이너(부모 컨테이너)에 연결된 GPO에서 배포된 설정은 자식 컨테이너에 상속되며 자식 컨테이너에 연결된 GPO에서 배포된 설정과 결합됩니다. 여러 GPO가 서로 충돌하는 값으로 정책 설정을 설정하려고 할 경우 우선 순위가 가장 높은 GPO의 설정값으로 설정됩니다. 나중에 처리되는 GPO가 먼저 처리되는 GPO보다 우선 순위가 높습니다.
그룹 정책 적용
컴퓨터에 대한 그룹 정책은 컴퓨터가 시작될 때 적용됩니다. 사용자에 대한 그룹 정책은 사용자가 로그온할 때 적용됩니다. 그룹 정책은 초기 컴퓨터 시작 및 사용자 로그온 시에 처리될 뿐 아니라 그 후에도 백그라운드에서 정기적으로 적용됩니다. 백그라운드 새로 고침 중 클라이언트 쪽 확장은 서버에서 GPO나 GPO 목록에 변경된 내용이 있는 경우에만 정책 설정을 다시 적용합니다.
소프트웨어 설치 및 폴더 리디렉션의 경우 컴퓨터가 시작되거나 사용자가 로그온할 때만 그룹 정책이 처리됩니다.
동기 및 비동기 처리
동기 프로세스는 한 프로세스의 실행이 끝나야만 다음 프로세스가 시작되는 일련의 프로세스라고 할 수 있습니다. 비동기 프로세스는 프로세스 결과가 다른 프로세스에 영향을 주지 않기 때문에 서로 다른 스레드에서 동시에 실행될 수 있습니다. 관리자는 각 GPO에 대한 정책 설정을 사용하여 처리가 동기적으로가 아니라 비동기적으로 이루어지도록 기본 처리 동작을 변경할 수 있습니다.
동기 처리 상태에서는 클라이언트 컴퓨터에서 모든 그룹 정책의 처리가 60분 내에 끝나야 합니다. 60분 후에도 처리가 끝나지 않은 클라이언트 쪽 확장은 중지 신호를 받습니다. 이 경우 관련된 정책 설정이 완전히 적용되지 않을 수 있습니다.
빠른 로그온 최적화 기능
빠른 로그온 최적화 기능은 기본적으로 도메인 및 작업 그룹 구성원 모두에 대해 설정됩니다. 그 결과 컴퓨터가 시작되거나 사용자가 로그온할 때 정책이 비동기적으로 적용됩니다. 이러한 정책 적용 방식은 백그라운드 새로 고침과 유사합니다. 이 기능을 사용하면 로그온 대화 상자가 나타나는 데 걸리는 시간과 사용자가 데스크톱을 사용할 수 있게 되는 데 걸리는 시간이 줄어듭니다.
[!참고] 사용자가 처음으로 로그온할 경우, 사용자에게 로밍 프로필이 있는 경우, 사용자에게 HomeDir가 있는 경우 및 사용자의 사용자 개체에 로그온 스크립트가 지정되어 있는 경우에는 로그온 최적화가 사용되지 않으며 정책이 동기적으로 처리됩니다. 폴더 리디렉션 및 그룹 정책 소프트웨어 설치의 경우에는 정책이 동기적으로 적용되어야 합니다. 이러한 경우에는 컴퓨터 시작이 비동기적으로 이루어질 수 있습니다. 하지만 로그온은 동기적이므로 로그온 시 최적화가 수행되지 않습니다.
Windows XP Professional, Windows XP 64-Bit Edition(Itanium) 및 Windows Server 2003 운영 체제는 도메인 환경에서 빠른 로그온 최적화를 지원합니다.
서버의 경우 시작 및 로그온 처리는 항상 정책 설정이 사용될 때처럼 동작합니다.
관리자는 컴퓨터 시작 및 로그온 시 네트워크가 초기화될 때까지 항상 대기 정책 설정을 사용하여 빠른 로그온 최적화 기능을 해제할 수 있습니다. 이 정책 설정은 그룹 정책 개체 편집기의 컴퓨터 구성\관리 템플릿\시스템\로그온 노드에서 액세스할 수 있습니다. 이 정책 설정을 사용할 경우 로그온은 Windows 2000 클라이언트의 로그온과 동일한 방식으로 수행됩니다. 즉, Windows XP에서는 네트워크가 완전히 초기화된 후에야 사용자가 로그온됩니다. 그룹 정책은 포그라운드에서 동기적으로 적용됩니다.
느린 연결 처리
일부 그룹 정책 확장은 연결 속도가 임계값 미만일 경우 처리되지 않습니다. 그룹 정책에서 느린 연결로 간주하는 기본 연결 속도는 500Kbps(초당 킬로비트) 미만입니다.
느린 연결의 경우 그룹 정책을 처리하기 위한 기본 설정은 다음과 같습니다.
| 설정 | 기본값 |
|---|---|
보안 설정 |
설정(해제할 수 없음) |
IP 보안 |
설정 |
EFS |
설정 |
소프트웨어 제한 정책 |
설정 |
무선 |
설정 |
관리 템플릿 |
설정(해제할 수 없음) |
소프트웨어 설치 |
해제 |
스크립트 |
해제 |
폴더 리디렉션 |
해제 |
IE 유지 관리 |
설정 |
관리자는 정책 설정을 사용하여 기본 설정을 재정의할 수 있습니다. 컴퓨터의 그룹 정책 저속 연결 검색에 대한 설정을 지정하려면 그룹 정책 개체 편집기의 컴퓨터 구성\관리 템플릿\시스템\그룹 정책 노드에 있는 그룹 정책 저속 연결 검색 정책 설정을 사용합니다.
사용자에 대해 이 옵션을 설정하려면 사용자 구성\관리 템플릿\시스템\그룹 정책에 있는 그룹 정책 저속 연결 검색 정책 설정을 사용합니다.
느린 연결을 통해 그룹 정책을 관리하는 방법에 대한 자세한 내용은 Microsoft TechNet 사이트의 저속 연결 검색을 위한 그룹 정책 지정 (영문)(https://go.microsoft.com/fwlink/?linkid=80435\&clcid=0x412)을 참조하십시오.
그룹 정책 새로 고침 간격
기본적으로 그룹 정책은 최대 30분의 지연 시간을 임의로 두고 90분마다 처리됩니다. 따라서 전체 최대 새로 고침 간격은 최대 120분입니다.
보안 설정의 경우, 보안 설정 정책을 편집한 후 해당 그룹 정책 개체가 연결된 조직 구성 단위의 컴퓨터에 정책 설정이 새로 고쳐지는 시기는 다음과 같습니다.
컴퓨터가 다시 시작될 때
워크스테이션 또는 서버에서 90분마다, 도메인 컨트롤러에서 5분마다
기본적으로 그룹 정책에 의해 전달되는 보안 정책 설정은 GPO가 변경되지 않았더라도 16시간(960분) 간격으로도 적용됩니다.
그룹 정책 새로 고침 트리거
그룹 정책 개체에 대한 변경 내용은 먼저 해당 도메인 컨트롤러에 복제되어야 합니다. 따라서 그룹 정책 설정에 대한 변경 내용은 사용자의 데스크톱에서 즉시 사용할 수 없습니다. 보안 정책 설정을 적용할 때와 같은 일부 경우에는 정책 설정을 즉시 적용해야 할 수 있습니다.
관리자는 자동 백그라운드 새로 고침이 수행될 때까지 기다리지 않고 로컬 컴퓨터에서 수동으로 정책 새로 고침을 트리거할 수 있습니다. 이렇게 하려면 명령줄에 gpupdate를 입력하여 사용자 또는 컴퓨터 정책 설정을 새로 고칩니다. GPMC를 사용하여 정책 새로 고침을 트리거할 수는 없습니다.
gpupdate 명령은 해당 명령이 실행되는 로컬 컴퓨터에서 백그라운드 정책 새로 고침을 트리거합니다. gpupdate 명령은 Windows Server 2003 및 Windows XP 환경에서 사용됩니다.
필요할 때 서버에서 클라이언트로 그룹 정책 적용을 푸시할 수는 없습니다.
gpupdate를 사용하는 방법에 대한 자세한 내용은 Microsoft TechNet 웹 사이트의 GPUpdate.exe를 사용하여 그룹 정책 설정 새로 고침(https://go.microsoft.com/fwlink/?linkid=80461\&clcid=0x412)을 참조하십시오.
그룹 정책 개체의 적용 대상 지정
GPO에서 설정을 받을 사용자 및 컴퓨터를 지정하는 기본 방법은 사이트, 도메인 및 조직 구성 단위에 대한 GPO 연결입니다.
연결 순서 변경, 정책 상속 차단, GPO 연결 항상 적용(이전의 무시 안 함), GPO 연결 해제 등의 방법으로 GPO가 처리되는 기본 순서를 변경할 수 있습니다.
관리자는 보안 필터링과 WMI 필터링을 사용하여 GPO를 적용할 사용자 및 컴퓨터 집합을 수정할 수 있습니다.
관리자는 루프백 처리 기능을 사용하여 특정 컴퓨터에 로그온하는 모든 사용자에게 동일한 정책 설정 집합이 적용되도록 할 수도 있습니다.
GPO 처리 순서 변경
관리자는 다음 중 한 가지 방법을 사용하여 GPO가 처리되는 순서를 변경할 수 있습니다.
연결 순서를 변경합니다. 사이트, 도메인 또는 OU의 GPO 연결 순서는 연결이 적용되는 시기를 제어합니다. 관리자는 목록의 각 연결을 적절한 위치로 올리거나 내려 연결 순서를 변경하는 방법으로 연결 우선 순위를 변경할 수 있습니다. 순서가 높은 연결(1이 가장 높은 순서)이 사이트, 도메인 또는 조직 구성 단위에 대해 높은 우선 순위를 갖습니다.
상속을 차단합니다. 도메인 또는 OU에 대한 상속 차단 기능을 사용하면 상위 사이트, 도메인 또는 조직 구성 단위에 연결된 GPO가 자식 수준의 Active Directory 컨테이너에 자동으로 상속되지 않습니다. 기본적으로 자식 수준 컨테이너는 부모의 모든 GPO를 상속합니다. 하지만 일부 경우에는 상속을 차단하는 것이 유용합니다.
GPO 연결을 강제로 적용합니다. 관리자는 GPO 연결을 적용으로 설정하여 해당 GPO 연결의 설정이 모든 자식 개체의 설정보다 우선하도록 지정할 수 있습니다. 강제로 적용되는 GPO 연결은 부모 컨테이너에서 차단될 수 없습니다. GPO에 충돌하는 설정이 포함되어 있고 상위 수준 컨테이너에서 강제로 적용되는 설정이 없는 경우에는 자식 조직 구성 단위에 연결된 GPO의 설정이 상위 수준 부모 컨테이너의 GPO 연결 설정을 덮어씁니다. 강제 적용을 사용하면 부모 GPO 연결이 항상 우선합니다. 기본적으로 GPO 연결은 강제로 적용되지 않습니다.
GPO 연결을 사용하지 않습니다. 기본적으로는 모든 GPO 연결이 처리됩니다. 사이트, 도메인 또는 조직 구성 단위에 대해 GPO 연결을 사용하지 않도록 설정하면 해당 사이트, 도메인 또는 조직 구성 단위에 대한 GPO 적용을 완전히 차단할 수 있습니다. 이 경우 GPO를 사용하지 않는 것은 아닙니다. GPO가 다른 사이트, 도메인 또는 조직 구성 단위에 연결된 경우 해당 사이트, 도메인 또는 조직 구성 단위에서는 GPO 연결이 사용되는 한 해당 GPO가 계속 처리됩니다.
보안 필터링
이 방법은 GPO가 연결된 컨테이너 내의 특정 보안 주체만 GPO를 적용하도록 지정하는 데 사용됩니다. 관리자는 보안 필터링을 사용하여 GPO가 단일 그룹, 사용자 또는 컴퓨터에만 적용되도록 함으로써 GPO의 범위를 좁힐 수 있습니다. GOP 내의 각기 다른 설정에 대해 보안 필터링을 선택적으로 사용할 수는 없습니다.
GPO는 그룹 멤버 자격을 통해 실제적으로 또는 명시적으로 GPO에 대한 읽기 및 그룹 정책 적용(AGP) 권한을 모두 부여받은 사용자 또는 컴퓨터에만 적용됩니다. 기본적으로 사용자 및 컴퓨터를 포함한 Authenticated Users 그룹에 대해서는 모든 GPO의 읽기 및 AGP가 허용으로 설정되어 있습니다. 이로써 모든 인증된 사용자는 조직 구성 단위, 도메인 또는 사이트에 GPO가 적용될 때 새 GPO의 설정을 받게 됩니다.
기본적으로 도메인 관리자, 엔터프라이즈 관리자 및 로컬 시스템에는 그룹 정책 적용 ACE(액세스 제어 항목) 없이 모든 권한이 부여되어 있습니다. 관리자는 Authenticated Users 그룹의 구성원이기도 합니다. 따라서 관리자는 기본적으로 GPO의 설정을 받습니다. 이러한 사용 권한을 변경하여 조직 구성 단위, 도메인 또는 사이트 내의 특정 사용자, 그룹 또는 컴퓨터로 범위를 제한할 수 있습니다.
GPMC(그룹 정책 관리 콘솔)에서는 이러한 사용 권한을 단일 단위로 관리하고 해당 GPO에 대한 보안 필터링을 GPO 범위 탭에 표시합니다. GPMC에서는 그룹, 사용자 및 컴퓨터를 각 GPO에 대한 보안 필터로 추가하거나 제거할 수 있습니다. GPMC에 대한 자세한 내용은 그룹 정책 관리 도구 섹션을 참조하십시오.
Windows Management Instrumentation 필터링
WMI(Windows Management Instrumentation)는 Microsoft에서 구현한 웹 기반 엔터프라이즈 관리 분야의 첨단 기술로, 관리 인프라 표준을 설정하고 다양한 하드웨어 및 소프트웨어 관리 시스템의 정보를 결합할 수 있는 방법을 제공합니다. WMI는 CPU, 메모리, 디스크 공간 및 제조업체와 같은 하드웨어 구성 데이터뿐 아니라 레지스트리, 드라이버, 파일 시스템, Active Directory, Windows Installer 서비스, 네트워킹 구성, 응용 프로그램 데이터 등의 소프트웨어 구성 데이터도 노출합니다. 대상 컴퓨터에 대한 데이터는 GPO의 WMI 필터링과 같은 관리 목적으로 사용될 수 있습니다.
WMI 필터링은 GPO에 WQL(WMI Query Language) 쿼리를 연결하여 GPO 적용을 필터링하는 데 사용됩니다. 이 쿼리를 사용하면 WMI에서 여러 항목을 쿼리할 수 있습니다. 쿼리에서 모든 쿼리 항목에 대해 true를 반환하면 대상 사용자 또는 컴퓨터에 GPO가 적용됩니다.
GPO는 WMI 필터에 연결되어 대상 컴퓨터에 적용되며, 필터는 대상 컴퓨터에서 확인됩니다. WMI 필터에서 false를 반환하면 GPO가 적용되지 않습니다. 단, 클라이언트 컴퓨터에서 Windows를 실행하는 경우는 예외로, 이 경우에는 필터가 무시되고 GPO가 항상 적용됩니다. WMI 필터에서 true를 반환하는 경우에는 GPO가 적용됩니다.
WMI 필터는 디렉터리에서 GPO와는 별도의 개체로 존재합니다. WMI 필터는 GPO에 연결되어 있어야 적용되며, WMI 필터와 해당 필터가 연결된 GPO는 동일한 도메인에 있어야 합니다. WMI 필터는 도메인에만 저장됩니다. 각 GPO에는 WMI 필터가 하나만 있을 수 있으며, 동일한 WMI 필터를 여러 GPO에 연결할 수 있습니다.
루프백 처리
루프백 처리는 서버, 키오스크, 실험실, 강의실 및 접수처와 같이 엄밀하게 관리되는 환경의 컴퓨터에 유용한 고급 그룹 정책 설정입니다. 루프백을 설정하면 컴퓨터에 로그온하는 모든 사용자에게 해당 컴퓨터에 적용되는 GPO의 사용자 구성 정책 설정이 사용자의 사용자 구성 설정 대신(바꾸기 모드의 경우) 또는 이 설정에 추가로(병합 모드의 경우)적용됩니다. 관리자는 이 기능을 사용하여 Active Directory에서의 사용자 위치에 관계없이 특정 컴퓨터에 로그온하는 모든 사용자에게 동일한 정책 설정 집합이 적용되도록 할 수 있습니다.
루프백 처리를 설정하려면 그룹 정책 개체 편집기의 컴퓨터 구성\관리 템플릿\시스템\그룹 정책 아래에 있는 사용자 그룹 정책 루프백 처리 모드 정책 설정을 사용합니다.
루프백 처리 기능을 사용하려면 사용자 계정과 컴퓨터 계정이 모두 Windows 2000 이상의 도메인에 있어야 합니다. 작업 그룹에 가입된 컴퓨터의 경우에는 루프백이 작동하지 않습니다.
GPO 적용 대상을 지정하는 방법에 대한 자세한 내용은 Microsoft TechNet 사이트의 GPMC를 사용하여 그룹 정책 개체의 범위 제어(https://go.microsoft.com/fwlink/?linkid=80462\&clcid=0x412)를 참조하십시오.
관리 템플릿 확장
그룹 정책의 관리 템플릿 확장은 정책 설정을 구성하는 데 사용되는 MMC 서버 쪽 스냅인과 대상 컴퓨터의 레지스트리 키를 설정하는 클라이언트 쪽 확장으로 구성되어 있습니다. 관리 템플릿 정책은 레지스트리 기반 정책 또는 레지스트리 정책이라고도 합니다.
2007 Microsoft Office 시스템 정책 설정은 Microsoft 다운로드 센터의 2007 Office system 관리 템플릿 파일(ADM, ADMX, ADML) 및 Office 사용자 지정 도구 2.0 버전(https://go.microsoft.com/fwlink/?linkid=78161\&clcid=0x412)에서 다운로드할 수 있는 관리 템플릿 파일에 들어 있습니다.
관리 템플릿 파일
관리 템플릿 파일(.adm)은 그룹 정책 개체 편집기와 GPML를 통해 옵션이 표시되는 방식을 정의하는 범주 및 하위 범주의 계층 구조로 구성되어 있습니다. 또한 관리 템플릿 파일은 항목을 선택할 경우 변경 작업을 수행해야 하는 레지스트리 위치를 나타내고, 해당 선택 항목과 관련된 옵션 또는 제한 사항(값)을 지정하며, 일부 경우에는 선택 항목이 활성화될 때 사용할 기본값을 나타냅니다.
.adm 파일의 기능은 제한되어 있습니다. .adm 파일의 용도는 사용자 인터페이스에서 정책 설정을 구성할 수 있도록 하는 것으로, .adm 파일 자체에 정책 설정이 들어 있지는 않습니다. 정책 설정은 도메인 컨트롤러의 Sysvol 폴더에 있는 registry.pol 파일에 들어 있습니다.
관리 템플릿의 서버 쪽 스냅인은 그룹 정책 개체 편집기의 컴퓨터 구성 노드와 사용자 구성 노드 아래에 나타나는 관리 템플릿 노드를 제공합니다. 컴퓨터 구성 아래의 설정은 컴퓨터에 대한 레지스트리 설정을 조작합니다. 사용자 구성 아래의 설정은 사용자에 대한 레지스트리 설정을 조작합니다. 일부 정책 설정의 경우에는 값을 입력하기 위한 텍스트 상자 등의 간단한 UI 요소가 필요하지만 대부분의 정책 설정에는 다음 옵션만 있습니다.
사용: 해당 정책을 적용합니다. 일부 정책 설정에서는 해당 정책이 활성화될 때의 동작을 정의하는 추가 옵션이 제공됩니다.
사용 안 함: 대부분의 정책 설정에 대해 사용 상태와는 반대의 동작을 적용합니다. 예를 들어 사용을 선택할 경우 해당 기능이 해제 상태가 된다면 사용 안 함을 선택할 경우 해당 기능은 설정 상태가 됩니다.
구성되지 않음: 해당 정책을 적용하지 않습니다. 대부분의 설정은 기본값이 구성되지 않음입니다.
2007 Office system용 관리 템플릿 파일
2007 Office System에는 다음 관리 템플릿 파일을 사용할 수 있습니다.
office12.adm: 공유 Office 구성 요소
access12.adm: Microsoft Office Access 2007
cpao12.adm: Microsoft Office Outlook 2007용 일정 인쇄 길잡이
excel12.adm: Microsoft Office Excel 2007
groove12.adm: Microsoft Office Groove 2007
ic12.adm: Microsoft Office InterConnect 2007
inf12.adm: Microsoft Office InfoPath 2007
onent12.adm: Microsoft Office OneNote 2007
outlk12.adm: Microsoft Office Outlook 2007
ppt12.adm: Microsoft Office PowerPoint 2007
proj12.adm: Microsoft Office Project 2007
pub12.adm: Microsoft Office Publisher 2007
spd12.adm: Microsoft Office SharePoint Designer 2007
visio12.adm: Microsoft Office Visio 2007
word12.adm: Microsoft Office Word 2007
관리자는 다음과 같은 작업에 2007 Office System 정책 설정을 사용할 수 있습니다.
2007 Office System 응용 프로그램에 대한 보안 설정 관리
2007 Office System 응용 프로그램에서 인터넷에 연결할 수 없도록 설정
사용자에게 혼란을 줄 수 있거나 사용자 작업에 불필요한 2007 Office System 사용자 인터페이스 설정 숨기기 또는 해제
사용자 컴퓨터에 대한 엄격히 관리되거나 덜 제한적인 표준 구성 만들기
이전 버전 Office에서의 마이그레이션을 준비하기 위해 2007 Office System 응용 프로그램의 기본 파일 저장 옵션 설정
예를 들어 관리자는 그룹 정책을 사용하여 다음과 같은 Office 사용자 인터페이스를 제어하는 대부분의 설정을 사용하지 않도록 설정하거나 사용하도록 설정하거나 구성할 수 있습니다.
메뉴 명령
바로 가기 키
옵션 대화 상자 설정
2007 Office System에 사용할 수 있는 대다수의 그룹 정책 설정은 상당한 정도의 유연성을 제공합니다. 관리자는 특정 비즈니스 요구 사항 및 조직의 보안 문제를 고려하여 매우 제한적이거나 유연하게 관리되는 구성을 만들 수 있습니다.
2007 Office System 관리 템플릿 파일을 다운로드하려면 Microsoft 다운로드 센터의 2007 Office system 관리 템플릿 파일(ADM, ADMX, ADML) 및 Office 사용자 지정 도구 2.0 버전을 참조하십시오.
Microsoft 다운로드 센터에서 2007 Microsoft Office system Open XML 형식 변환기 관리 템플릿(ADM) 2.0 버전을 다운로드할 수도 있습니다. 관리자는 이 템플릿을 사용하여 Microsoft Office Word, Excel 및 PowerPoint 2007 Open XML 형식 변환기의 기본 동작을 수정할 수 있습니다.
관리자는 Microsoft Office 2003 및 Microsoft Office XP 관리 템플릿 파일을 수정하여 2007 Office System 프로그램의 새로운 OpenXML 형식을 포함하도록 파일의 다른 이름으로 저장 기본 옵션을 설정할 수 있습니다. 자세한 내용은 Microsoft KB(기술 자료) 웹 사이트의 문서 932127, Office 2003 및 Office XP의 기존 Office 정책 파일(ADM 파일)을 수정하여 2007 Microsoft Office 프로그램의 새 OpenXML 파일 형식을 포함하도록 다른 이름으로 저장 기본 파일 형식 설정 (영문)을 참조하십시오.
관리 템플릿에 대한 자세한 내용은 관리 템플릿 확장 기술 참조 (영문)(https://go.microsoft.com/fwlink/?linkid=56088\&clcid=0x412)를 참조하십시오.
Windows Vista와 Windows Server 2008에서는 다음 섹션에 설명된 것과 같이 관리 템플릿 파일에 대한 새로운 XML 기반 형식이 도입되었습니다.
관리 템플릿 파일: Windows Vista 및 Windows Server 2008 변경 사항
Windows NT 4.0에서 처음 발표된 관리 템플릿 파일은 .adm 파일이라는 고유한 파일 형식을 사용했습니다. Windows Vista 및 Windows Server 2008 운영 체제에서 이 파일은 XML 기반 파일 형식을 사용하여 레지스트리 기반 정책 설정을 표시하는 ADMX 파일로 대체되었습니다. 이 새로운 관리 템플릿 파일을 사용하면 Windows Vista와 Windows Server 2008 운영 체제에서 레지스트리 기반 정책 설정을 보다 쉽게 관리할 수 있습니다. Office 2007 ADM 파일 및 ADMX 파일에 포함된 정책 설정은 동일합니다.
새로운 ADMX 및 ADML 파일은 이전의 .adm 파일을 대체하며 언어 중립적 리소스 파일(ADMX)과 언어별 리소스 파일(ADML)로 나뉩니다. 이러한 새 파일 형식을 사용하면 그룹 정책 도구에서 관리자가 구성한 언어에 따라 사용자 인터페이스를 조정할 수 있습니다.
그룹 정책 개체 편집기와 그룹 정책 관리 콘솔에서는 현재 환경에서 사용하고 있을 수 있는 이전의 .adm 파일도 계속 인식합니다. GPO의 사용자 지정 .adm 파일(또는 운영 체제에서 기본적으로 제공되지 않은 .adm 파일)은 그룹 정책 개체 편집기와 그룹 정책 관리 콘솔에서 사용됩니다. 이러한 도구에서는 System.adm 및 Inetres.adm과 같이 운영 체제에 기본적으로 포함된 이전의 .adm 파일은 인식하지 못합니다.
관리자는 Windows Vista를 실행하는 워크스테이션에서 Windows Vista 및 이전 운영 체제에 영향을 주는 그룹 정책 설정을 관리할 수 있습니다. ADMX 파일은 Windows Vista에서만 지원됩니다. 따라서 ADMX 파일을 이전 운영 체제에 복사해도 아무런 영향이 없습니다.
[!참고] 관리자는 ADMX Migrator 도구를 사용하여 ADM 파일을 ADMX 형식으로 변환할 수 있습니다. ADMX Migrator는 ADMX 편집기에 관리 템플릿 작성 및 편집을 위한 그래픽 사용자 인터페이스를 제공합니다. 자세한 내용은 ADMX Migrator (영문)(https://go.microsoft.com/fwlink/?linkid=77409&clcid=0x412)를 참조하십시오.
Windows Vista의 ADMX 및 ADML 파일 저장소
중앙 저장소는 Active Directory 도메인 컨트롤러의 Sysvol 폴더에 만들어지는 폴더입니다. 이 폴더는 도메인의 ADMX 및 ADML 파일을 위한 단일 중앙 저장소 위치를 제공합니다. 관리자는 Windows Server 2003 R2, Windows Server 2003 SP1 또는 Windows 2000 Server를 실행하는 도메인 컨트롤러에 중앙 저장소를 만들 수 있습니다. Windows Server 2008의 경우에는 중앙 저장소를 만들 필요가 없습니다.
Vista에서 ADMX 파일을 관리하는 방법에 대한 자세한 내용은 Microsoft TechNet 웹 사이트의 그룹 정책 ADMX 파일 관리 단계별 가이드 (영문), ADMX 파일을 사용하여 그룹 정책 개체를 편집하기 위한 요구 사항 (영문) 및 시나리오 2: ADML 파일을 사용하여 도메인 기반 GPO 편집 (영문)을 참조하십시오.
사용자 기본 설정 및 실제 정책
관리자가 완전하게 관리할 수 있는 그룹 정책 설정을 실제 정책이라고 합니다. 사용자가 구성하거나 설치 시 운영 체제의 기본 상태를 반영하는 설정은 기본 설정이라고 합니다. 실제 정책과 기본 설정은 모두 사용자 컴퓨터의 레지스트리를 수정하는 정보를 포함하지만 실제 정책과 기본 설정 간에는 중요한 차이점이 있습니다. 실제 정책 설정은 기본 설정보다 우선합니다.
실제 정책의 레지스트리 값은 그룹 정책용으로 승인된 레지스트리 키 아래에 저장됩니다. 사용자는 이러한 설정을 변경하거나 해제할 수 없습니다.
컴퓨터 정책 설정의 경우:
HKEY_LOCAL_MACHINE\Software\Policies(기본 위치)
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies
사용자 정책 설정의 경우:
HKEY_CURRENT_USER\Software\Policies(기본 위치)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
기본 설정은 설치 시 사용자 또는 운영 체제에 의해 설정됩니다. 기본 설정을 저장하는 레지스트리 값은 앞의 목록에 표시된 승인된 그룹 정책 키의 외부에 있습니다. 사용자는 자신의 기본 설정을 변경할 수 있습니다.
관리자는 승인된 그룹 정책 레지스트리 트리 외부에 레지스트리 값을 설정하는 .adm 파일을 작성할 수 있습니다. 이 방법을 사용하면 레지스트리 키 또는 값이 특정 방식으로만 설정되도록 할 수 있습니다. 관리자는 이 방법을 사용하여 실제 정책 설정 대신 기본 설정을 구성하고 해당 설정으로 레지스트리를 표시합니다. 이는 기본 설정이 해제되거나 삭제되더라도 해당 설정이 레지스트리에 유지됨을 의미합니다.
이 방법으로 GPO를 사용하여 기본 설정을 구성할 경우 관리자가 만드는 GPO에는 ACL(액세스 제어 목록) 제한이 없습니다. 따라서 사용자가 레지스트리에서 해당 값을 변경할 수 있습니다. GPO가 범위를 벗어나더라도(GPO가 연결 해제되거나 사용할 수 없게 되거나 삭제되는 경우) 레지스트리에서 해당 값이 제거되지 않습니다.
반면 실제 레지스트리 정책 설정에는 사용자가 설정을 변경할 수 없도록 하는 ACL 제한이 있습니다. 해당 값을 설정하는 GPO가 범위를 벗어나면 정책 값이 제거됩니다. 이러한 이유로 실제 정책은 완전하게 관리할 수 있는 정책 설정으로 간주됩니다. 기본적으로 그룹 정책 개체 편집기에는 완전하게 관리할 수 있는 정책 설정만 표시됩니다.
그룹 정책 개체 편집기에서 기본 설정을 보려면 관리 템플릿 노드를 클릭하고 보기, 필터링을 차례로 클릭한 다음 완전히 관리가 가능한 정책 설정만 표시의 선택을 취소합니다.
실제 정책 설정은 기본 설정보다 우선하지만 기본 설정에 사용되는 레지스트리 키를 덮어쓰거나 수정하지는 않습니다. 기본 설정과 충돌하는 정책 설정이 배포될 경우에는 정책 설정이 기본 설정보다 우선적으로 적용됩니다. 정책과 기본 설정이 모두 있는 경우 정책이 제거되거나 해제되면 기본 설정이 복원됩니다. 기본 설정은 그에 반하는 정책 설정이나 레지스트리 편집에 의해 복원되기 전까지는 레지스트리에 유지됩니다.
다음 표에서는 정책 설정과 기본 설정의 영향을 간략하게 보여 줍니다.
| 그룹 정책 있음 | 기본 설정 있음 | 결과 동작 |
|---|---|---|
아니요 |
아니요 |
기본값 |
아니요 |
예 |
기본 설정에 따라 동작 구성 |
예 |
아니요 |
정책 설정에 따라 동작 구성 |
예 |
예 |
정책 설정에 따라 동작 구성. 기본 설정은 무시됨 |
2007 Office system의 경우 사용자별 정책 설정은 모두 HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\12.0 하위 키에 저장됩니다. 컴퓨터별 정책은 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Office\12.0 하위 키에 저장됩니다. 기본적으로 두 정책 하위 키는 모두 잠겨 있으므로 사용자가 해당 키를 수정할 수 없습니다.
그룹 정책 관리 도구
관리자는 GPMC(그룹 정책 관리 콘솔) 및 그룹 정책 개체 편집기 MMC(Microsoft Management Console) 스냅인 도구를 사용하여 그룹 정책을 관리합니다. 대부분의 그룹 정책 관리 작업을 관리하는 데는 그룹 정책 관리 콘솔을 사용하고, 그룹 정책 개체의 정책 설정을 구성하는 데는 그룹 정책 개체 편집기를 사용합니다.
그룹 정책 관리 콘솔
GPMC는 GPO의 범위 지정, 위임, 필터링 및 상속 조작과 같은 그룹 정책의 핵심 요소를 관리하기 위한 단일 도구로, 그룹 정책의 관리를 간단하게 해 줍니다. GPMC를 사용하여 GPO 백업(내보내기), 복원, 가져오기 및 복사를 수행할 수도 있습니다. 관리자는 GPMC를 사용하여 GPO가 네트워크에 미칠 영향을 예측하고 GPO가 컴퓨터 또는 사용자에 대한 설정을 어떻게 변경했는지 확인할 수 있습니다. GPMC는 도메인 환경에서 대부분의 그룹 정책 작업을 관리하는 데 사용되는 기본 설정 도구입니다.
GPMC에서는 엔터프라이즈 전체의 GPO, 사이트, 도메인 및 OU를 볼 수 있으며 이를 사용하여 Windows Server 2003 또는 Windows 2000 도메인을 관리할 수 있습니다. 관리자는 GPMC를 사용하여 그룹 정책 개체의 개별 정책 설정 구성을 제외한 모든 그룹 정책 관리 작업을 수행합니다. 그룹 정책 개체의 개별 정책 설정을 구성하는 데는 그룹 정책 개체 편집기를 사용합니다. GPMC에서는 그룹 정책 개체 편집기를 호출하므로 GPMC에서 이 도구를 사용할 수 있습니다.
관리자는 GPMC를 사용하여 초기 설정이 없는 GPO를 만듭니다. GPO를 만들고 동시에 해당 GPO를 Active Directory 컨테이너에 연결할 수도 있습니다. GPO 내의 개별 설정을 구성하려면 GPMC 내에서 GPO를 편집합니다. 그러면 그룹 정책 개체 편집기는 GPO가 로드된 상태로 표시됩니다.
관리자는 GPMC를 사용하여 Active Directory의 사이트, 도메인 또는 OU에 GPO를 연결할 수 있습니다. GPO를 연결해야만 Active Directory 컨테이너의 사용자 및 컴퓨터에 설정이 적용됩니다.
GPMC에는 Windows에서 제공하는 다음 RSoP(정책 결과 집합) 기능이 포함되어 있습니다.
그룹 정책 모델링 - 관리자가 지정한 상황에서 적용되는 정책 설정을 시뮬레이트합니다. 관리자는 그룹 정책 모델링을 사용하여 기존 구성에 적용될 RSoP 데이터를 시뮬레이트하거나, 시뮬레이트된 디렉터리 환경의 가상 변경 사항으로 인한 영향을 분석할 수 있습니다. 이 시뮬레이션은 Windows Server 2003을 실행하는 도메인 컨트롤러의 서비스에 의해 수행되므로 그룹 정책 모델링을 사용하려면 Windows Server 2003을 실행하는 도메인 컨트롤러가 적어도 하나는 있어야 합니다. 자세한 내용은 Microsoft TechNet 웹 사이트의 그룹 정책 모델링 (영문)(https://go.microsoft.com/fwlink/?linkid=82672\&clcid=0x412)을 참조하십시오.
그룹 정책 결과 - 컴퓨터 및 사용자에 실제로 적용되는 정책 데이터를 나타냅니다. 데이터는 대상 컴퓨터를 쿼리하고 해당 컴퓨터에 적용된 RSoP 데이터를 가져오는 방법으로 얻을 수 있습니다. 그룹 정책 결과 기능은 클라이언트 운영 체제에서 제공되며 이 기능을 사용하려면 최신 버전의 운영 체제가 필요합니다. 자세한 내용은 Microsoft TechNet 웹 사이트의 그룹 정책 결과 (영문)(https://go.microsoft.com/fwlink/?linkid=82673\&clcid=0x412)를 참조하십시오.
GPMC는 원래 Microsoft Windows Server 2003 및 Windows XP를 위한 별도의 다운로드 구성 요소로 제공되었습니다. GPMC를 다운로드하려면 Microsoft 다운로드 센터 웹 사이트의 GPMC(그룹 정책 관리 콘솔) 다운로드 (영문)(https://go.microsoft.com/fwlink/?linkid=58541\&clcid=0x412)를 참조하십시오.
Windows Vista와 Windows Server 2008에서는 GPMC가 운영 체제에 직접 통합되어 그룹 정책 개체 편집기와 함께 그룹 정책 작업을 관리하기 위한 표준 도구로 사용됩니다.
GPMC에 대한 자세한 내용은 Microsoft TechNet 사이트의 그룹 정책 관리 콘솔 사용 단계별 가이드 (영문)(https://go.microsoft.com/fwlink/?linkid=75196\&clcid=0x412)를 참조하십시오.
그룹 정책 개체 편집기
그룹 정책 개체 편집기는 그룹 정책 개체의 정책 설정을 구성하는 데 사용되는 MMC 스냅인입니다. 그룹 정책 개체 편집기는 gpedit.dll에 들어 있으며 Windows 2000, Windows XP, Windows Server 2003, Windows Vista 및 Windows Server 2008 운영 체제와 함께 설치됩니다.
Windows 2000, Windows XP(Windows Server 2003 관리 도구 팩이 설치된 경우) 및 Windows Server 2003을 실행하는 컴퓨터에서는 Active Directory 사용자 및 컴퓨터 스냅인과 Active Directory 사이트 및 서비스 스냅인에서 그룹 정책 개체 편집기에 액세스할 수 있습니다.
도메인의 구성원이 아닌 로컬 컴퓨터에 대한 그룹 정책 설정을 구성하려면 그룹 정책 개체 편집기를 사용하여 로컬 GPO(Windows Vista 또는 Windows Server 2008을 실행하는 컴퓨터의 경우에는 여러 GPO)를 관리합니다. 도메인 환경에서 그룹 정책 설정을 구성하려면 그룹 정책 개체 편집기를 호출하는 GPMC를 그룹 정책 관리 작업용 기본 설정 도구로 사용하는 것이 좋습니다.
그룹 정책 개체 편집기는 관리자에게 GPO의 그룹 정책 설정을 구성하기 위한 계층적 트리 구조를 제공합니다. 이러한 GPO는 컴퓨터 또는 사용자 개체가 들어 있는 사이트, 도메인 및 OU에 연결할 수 있습니다.
그룹 정책 개체 편집기는 두 개의 기본 노드로 구성되어 있습니다. 그 중 사용자 구성 노드에는 사용자 로그온 시 및 정기적 백그라운드 새로 고침 시 사용자에게 적용되는 설정이 들어 있고, 컴퓨터 구성 노드에는 컴퓨터 시작 시 및 정기적 백그라운드 새로 고침 시 컴퓨터에 적용되는 설정이 들어 있습니다. 이 두 기본 노드는 설정 가능한 다양한 종류의 정책 설정이 들어 있는 여러 폴더로 세분됩니다. 이러한 폴더에는 다음이 포함됩니다.
소프트웨어 설치 설정이 들어 있는 소프트웨어 설정
보안 설정 및 스크립트 정책 설정이 들어 있는 Windows 설정
레지스트리 기반 정책 설정이 들어 있는 관리 템플릿
그룹 정책 개체 편집기에 대한 자세한 내용은 Microsoft TechNet Windows Server 2003 사이트의 그룹 정책(GPMC 이전)(https://go.microsoft.com/fwlink/?linkid=72742\&clcid=0x412)을 참조하십시오.
Office 사용자 지정 도구 및 그룹 정책
관리자는 OCT(Office 사용자 지정 도구)와 그룹 정책이라는 두 가지 도구를 사용하여 2007 Office System 응용 프로그램의 사용자 구성을 사용자 지정할 수 있습니다. 두 도구 모두 사용자 설정을 구성하지만 다음과 같은 중요한 차이점이 있습니다.
Office 사용자 지정 도구는 설치 사용자 지정 파일(MSP 파일)을 만드는 데 사용됩니다. 관리자는 OCT를 사용하여 기능을 사용자 지정하고 사용자 설정을 구성할 수 있습니다. 사용자는 설치 후 대부분의 설정을 수정할 수 있습니다. OCT에서는 HKEY_CURRENT_USER/Software/Microsoft/Office/12.0과 같이 공용으로 액세스할 수 있는 레지스트리 부분에서 설정을 구성하기 때문입니다. 이 도구는 일반적으로 데스크톱 구성을 중앙에서 관리하지 않는 조직에서 사용됩니다. 자세한 내용은 2007 Office System의 Office 사용자 지정 도구를 참조하십시오.
그룹 정책은 관리 템플릿에 포함된 2007 Office System 정책 설정을 적용하는 데 사용되며 이러한 정책 설정은 운영 체제에서 적용합니다. Active Directory 환경에서 관리자는 그룹 정책 개체가 연결된 사이트, 도메인 또는 조직 구성 단위의 사용자 및 컴퓨터 그룹에 정책 설정을 적용할 수 있습니다. 실제 정책 설정은 승인된 정책의 레지스트리 키에 작성되며 이러한 설정에는 관리자가 아닌 사용자가 해당 설정을 변경할 수 없도록 하는 ACL 제한이 있습니다. 관리자는 그룹 정책을 사용하여 엄격히 관리되는 데스크톱 구성을 만들 수 있습니다. 또한 조직의 비즈니스 및 보안 요구 사항을 처리하기 위해 유연하게 관리되는 구성을 만들 수도 있습니다.
이 문서의 다운로드
이 항목은 다운로드 가능한 다음 문서에도 포함되어 있어 더 쉽게 읽고 인쇄할 수 있습니다.
사용 가능한 문서의 전체 목록은 Office Resource Kit 정보 (영문)를 참조하십시오.