내보내기(0) 인쇄
모두 확장

그룹 정책 계획 및 배포 가이드

업데이트 날짜: 2009년 1월

적용 대상: Windows Server 2008

Windows Server 2008 그룹 정책을 사용하여 레지스트리 기반 정책 설정, 보안 설정, 소프트웨어 배포, 스크립트, 폴더 리디렉션 및 기본 설정 옵션을 비롯한 컴퓨터 및 사용자 그룹에 대한 구성을 관리할 수 있습니다. Windows Server 2008의 새로운 기능인 그룹 정책 기본 설정은 GPO(그룹 정책 개체)에서 구성 가능한 정책 설정 범위를 확장하는 20개 이상의 그룹 정책 확장입니다. 그룹 정책 설정과 달리 기본 설정은 적용되지 않습니다. 사용자는 초기 배포 후에 기본 설정을 변경할 수 있습니다. 그룹 정책 기본 설정에 대한 자세한 내용은 그룹 정책 기본 설정 개요(페이지는 영문일 수 있음)를 참조하십시오.

그룹 정책을 사용하여 조직의 총 소유 비용을 크게 줄일 수 있습니다. 사용 가능한 많은 정책 설정, 여러 정책 간의 상호 작용, 상속 옵션 등의 다양한 요소로 인해 그룹 정책 디자인이 복잡해질 수 있습니다. 조직의 비즈니스 요구 사항에 맞게 솔루션을 신중하게 계획, 디자인, 테스트 및 배포하여 조직에 필요한 표준화된 기능, 보안 및 관리 제어를 제공할 수 있습니다.

그룹 정책의 개요

그룹 정책을 사용하면 Windows Server 2008, Windows Vista, Windows Server 2003 및 Windows XP를 실행 중인 컴퓨터에서 사용자 및 컴퓨터 설정의 변경과 구성을 Active Directory를 기반으로 관리할 수 있습니다. 그룹 정책을 사용하여 사용자 및 컴퓨터 그룹에 대한 구성을 정의할 수 있을 뿐만 아니라 많은 서버별 작업 및 보안 설정을 구성하여 서버 컴퓨터를 관리할 수 있습니다.

사용자가 만든 그룹 정책 설정은 GPO에 포함됩니다. GPO를 만들고 편집하려면 GPMC(그룹 정책 관리 콘솔)를 사용합니다. GPMC에서 선택된 Active Directory 사이트, 도메인 및 OU(조직 구성 단위)에 GPO를 연결하여 GPO의 정책 설정을 해당 Active Directory 개체의 사용자 및 컴퓨터에 적용합니다. OU는 그룹 정책 설정을 할당할 수 있는 최하위 수준 Active Directory 컨테이너입니다.

그룹 정책 디자인을 결정하려면 조직의 비즈니스 요구 사항, 서비스 수준 계약과 보안, 네트워크 및 IT 요구 사항을 정확하게 파악해야 합니다. 현재 환경과 사용자 요구 사항을 분석하고, 그룹 정책을 사용하여 달성하려는 비즈니스 목표를 정의하고, 그룹 정책 인프라 디자인 지침에 따라 조직의 요구에 가장 적합한 방법을 정할 수 있습니다.

그룹 정책 솔루션 구현 프로세스

그룹 정책 솔루션 구현 과정에서는 솔루션을 계획, 디자인, 배포 및 유지 관리합니다.

그룹 정책 디자인을 계획할 경우 그룹 정책 관리를 간소화하고 서비스 수준 계약을 준수하도록 OU 구조를 디자인해야 합니다. GPO 작업을 위한 올바른 운영 절차를 정합니다. 그룹 정책 상호 운용성 문제를 파악하고 소프트웨어 배포에 그룹 정책을 사용할지 여부를 결정해야 합니다.

디자인 단계에서 다음을 수행합니다.

  • 그룹 정책의 적용 범위를 정의합니다.

  • 회사의 모든 사용자에게 적용할 수 있는 정책 설정을 결정합니다.

  • 역할과 위치를 기반으로 사용자와 컴퓨터를 분류합니다.

  • 사용자 및 컴퓨터 요구 사항을 기반으로 데스크톱 구성을 계획합니다.

체계적인 디자인은 그룹 정책을 성공적으로 배포하는 데 도움이 됩니다.

배포 단계는 테스트 환경에서 준비하는 것으로 시작합니다. 이 프로세스는 다음과 같습니다.

  • 표준 데스크톱 구성 만들기

  • GPO 적용 범위 필터링

  • 그룹 정책 기본 상속에 대한 예외 지정

  • 그룹 정책 관리 위임

  • 그룹 정책 모델링을 사용하여 효과적인 정책 설정 평가

  • 그룹 정책 결과를 사용하여 결과 평가

준비 단계는 중요합니다. 따라서 그룹 정책 구현을 프로덕션 환경에 배포하기 전에 테스트 환경에서 철저하게 테스트해야 합니다. 준비와 테스트를 완료한 후 GPMC를 사용하여 GPO를 프로덕션 환경에 마이그레이션합니다. 그룹 정책의 반복 구현을 고려합니다. 100개의 새로운 그룹 정책 설정을 배포하는 대신 초기 준비 단계를 거쳐 일부 정책 설정만 배포하여 그룹 정책 인프라가 올바르게 작동하는지 확인합니다.

마지막으로 GPMC를 사용하여 GPO 작업 및 문제 해결을 위한 제어 절차를 정하여 그룹 정책 유지 관리를 준비합니다.

note참고
Microsoft AGPM(고급 그룹 정책 관리)은 GPO에 대한 포괄적인 변경 제어 및 향상된 관리를 제공하여 GPMC의 기능을 확장합니다. AGPM에 대한 자세한 내용은 MDOP(Microsoft Desktop Optimization Pack) 웹 사이트(http://go.microsoft.com/fwlink/?LinkId=100757)(페이지는 영문일 수 있음)를 참조하십시오.

그룹 정책 솔루션을 디자인하기 전에 수행해야 할 작업

그룹 정책 구현을 디자인하려면 조직의 현재 환경을 파악하고 다음 영역에서 준비 단계를 수행해야 합니다.

  • Active Directory: 포리스트의 모든 도메인에 대한 Active Directory OU 디자인에서 그룹 정책 적용을 지원하는지 확인합니다. 자세한 내용은 이 가이드의 뒷부분에 있는 그룹 정책을 지원하는 OU 구조 디자인을 참조하십시오.

  • 네트워킹: 네트워크가 변경 및 구성 관리 기술에 대한 요구 사항을 충족하는지 확인합니다. 예를 들어 그룹 정책에서 정규화된 도메인 이름을 사용하기 때문에 그룹 정책을 올바르게 처리하려면 포리스트에서 DNS(Directory Name Service)를 실행해야 합니다.

  • 보안: 도메인에서 현재 사용 중인 보안 그룹의 목록을 가져옵니다. 조직 구성 단위 관리 책임을 위임한 보안 관리자와 긴밀하게 협력하고 보안 그룹 필터링이 필요한 디자인을 만듭니다. GPO를 필터링하는 방법에 대해서는 이 가이드의 뒷부분에 나오는 그룹 정책 적용 범위 정의의 "선택한 그룹에 GPO 적용(필터링)"을 참조하십시오.

  • IT 요구 사항: 도메인과 도메인의 OU에 대한 관리 소유자 및 회사 관리 표준 목록을 가져옵니다. 이를 통해 적절한 위임 계획을 수립하고 그룹 정책이 적절하게 상속되는지 확인할 수 있습니다.

note참고
그룹 정책은 네트워킹, 보안 및 Active Directory에 따라 다르므로 이러한 기술을 잘 알고 있어야 합니다. 그룹 정책을 구현하기 전에 이러한 개념을 익혀 두는 것이 좋습니다.

그룹 정책에 대한 관리 요구 사항

그룹 정책을 사용하려면 조직에서 Active Directory를 사용하고 대상 데스크톱 및 서버 컴퓨터에서 Windows Server 2008, Windows Vista, Windows Server 2003 또는 Windows XP를 실행해야 합니다.

기본적으로 Domain Admins 또는 Enterprise Admins 그룹의 구성원만 GPO를 만들어 연결할 수 있지만 이 작업을 다른 사용자에게 위임할 수 있습니다. 그룹 정책의 관리 요구 사항에 대한 자세한 내용은 이 가이드의 뒷부분에 나오는 그룹 정책 관리 위임을 참조하십시오.

GPMC

GPMC를 사용하면 조직의 여러 포리스트에서 그룹 정책을 완벽하게 통합 관리할 수 있습니다. 또한 네트워크에서 모든 GPO, WMI(Windows Management Instrumentation) 필터 및 그룹 정책 관련 권한을 관리할 수 있습니다. GPMC를 그룹 정책에 대한 기본 액세스 지점으로 간주하고 GPMC 인터페이스에서 제공하는 모든 그룹 정책 관리 도구를 사용하십시오.

GPMC는 그룹 정책 관리를 위한 스크립트 가능한 인터페이스와 MMC 기반 UI(사용자 인터페이스)로 구성됩니다. GPMC 32비트 버전과 64비트 버전이 Windows Server 2008에 포함되어 있습니다.

GPMC에는 다음과 같은 기능이 있습니다.

  • GPO 가져오기 및 내보내기

  • GPO 복사 및 붙여넣기

  • GPO 백업 및 복원

  • 기존 GPO 검색

  • 보고 기능

  • 그룹 정책 모델링. 프로덕션 환경에서 그룹 정책을 구현하기 전에 그룹 정책 배포 계획을 위한 RsoP(정책 결과 집합) 데이터를 시뮬레이트할 수 있습니다.

  • 그룹 정책 결과. GPO 상호 작용을 보고 그룹 정책 배포 문제를 해결하기 위한 RSoP 데이터를 가져올 수 있습니다.

  • 도메인 및 포리스트 전체에서 GPO를 쉽게 가져오고 복사할 수 있도록 마이그레이션 테이블 지원. 마이그레이션 테이블은 원본 GPO의 사용자, 그룹, 컴퓨터 및 UNC(범용 명명 규칙) 경로에 대한 참조를 대상 GPO의 새 값에 매핑하는 파일입니다.

  • 저장 및 인쇄 가능한 HTML 보고서로 GPO 설정 및 RSoP 데이터 보고

  • GPMC에서 사용할 수 있는 모든 작업을 허용하는 스크립트 가능한 인터페이스. 그러나 스크립트를 사용하여 GPO에서 개별 정책 설정을 편집할 수는 없습니다.

note참고
Windows Server 2008에는 이전 GPMC 버전의 GPMC 예제 스크립트가 포함되어 있지 않습니다. 그러나 그룹 정책 관리 콘솔 예제 스크립트(페이지는 영문일 수 있음)에서 Windows Server 2008용 GPMC 예제 스크립트를 다운로드할 수 있습니다. GPMC 예제 스크립트를 사용하는 방법에 대해서는 이 가이드의 뒷부분에 나오는 스크립트를 사용하여 그룹 정책 관리를 참조하십시오.

GPMC의 향상되고 간소화된 그룹 정책 관리 인터페이스를 통해 그룹 정책 배포를 보다 효율적으로 관리하고 그룹 정책을 최대한 활용할 수 있습니다.

그룹 정책을 지원하는 OU 구조 디자인

Active Directory 환경에서 GPO를 사이트, 도메인 또는 OU에 연결하여 그룹 정책 설정을 할당합니다. 일반적으로 대부분의 GPO를 OU 수준으로 할당하므로 OU 구조가 그룹 정책 기반 클라이언트 관리 전략을 지원하는지 확인하십시오. 암호 정책과 같은 일부 그룹 정책 설정을 도메인 수준으로 적용할 수도 있습니다. 극히 일부지만 사이트 수준으로 적용되는 정책 설정도 있습니다. 조직의 관리 구조를 반영하고 GPO 상속을 활용하는 잘 디자인된 OU 구조로 그룹 정책을 쉽게 적용할 수 있습니다. 예를 들어 잘 디자인된 OU 구조는 특정 GPO를 조직의 서로 다른 부분에 적용할 수 있도록 이러한 GPO의 복제를 방지할 수 있습니다. 필요한 경우 OU를 만들어 관리 권한을 위임하고 그룹 정책 구현을 돕습니다.

OU 디자인에서는 그룹 정책 요구에 독립적인 관리 권한 위임의 요구 사항과 그룹 정책의 적용 범위 지정 요구 사항을 상호 조율해야 합니다. 위임 및 범위 문제 해결을 위한 OU 디자인 권장 사항은 다음과 같습니다.

  • 관리 권한 위임: 도메인에서 OU를 만든 다음 특정 OU에 대한 관리 권한을 특정 사용자나 그룹에 위임할 수 있습니다. 관리 권한 위임 요구 사항이 OU 구조에 영향을 줄 수 있습니다.

  • 그룹 정책 적용: OU 구조를 디자인할 때 관리할 개체를 먼저 고려합니다. 최상위 수준 근처에 워크스테이션, 서버 및 사용자로 구성된 OU가 있는 구조를 만들 수 있습니다. 관리 모델에 따라 지역 기반의 OU를 다른 OU의 자식 또는 부모로 보고, 위치별 구조를 복제하여 여러 사이트에서 복제되는 것을 방지할 수 있습니다. 이렇게 하면 그룹 정책 적용이 보다 명확해지거나 해당 수준 아래에 대한 관리를 위임해야 하는 경우에만 아래에 OU를 추가합니다.

OU에 같은 유형의 개체(예: 사용자 개체와 컴퓨터 개체 중 하나)가 포함되어 있는 구조를 사용하여 특정 유형의 개체에 적용되지 않는 이러한 GPO 섹션을 사용하지 않도록 쉽게 설정할 수 있습니다. 그림 1에 표시된 이 OU 디자인 방법을 사용하면 작업이 보다 간단해지고 그룹 정책의 적용 속도가 향상됩니다. OU 구조의 높은 계층에 연결된 GPO가 기본적으로 상속되므로 GPO를 복제하거나 여러 컨테이너에 연결해야 할 필요성이 줄어듭니다.

Active Directory 구조를 디자인할 경우 관리 및 위임의 용이성을 가장 우선적으로 고려해야 합니다.

451a6097-641f-4263-b7ae-063c952da0bb

새 사용자 및 컴퓨터 계정에 그룹 정책 적용

새 사용자 및 컴퓨터 계정은 기본적으로 CN=Users 및 CN=Computers 컨테이너에 만들어집니다. 이러한 컨테이너가 도메인에 연결된 GPO를 상속하더라도 컨테이너에 그룹 정책을 직접 적용할 수 없습니다. 그룹 정책을 기본 사용자 및 컴퓨터 컨테이너에 적용하려면 새 Redirusr.exe 및 Redircomp.exe 도구를 사용해야 합니다.

Windows Server 2008에 포함된 Redirusr.exe(사용자 계정용) 및 Redircomp.exe(컴퓨터 계정용) 도구를 사용하여 새 사용자 및 컴퓨터 계정이 만들어지는 기본 위치를 변경할 수 있으므로, GPO 범위를 새로 만든 사용자 및 컴퓨터 개체로 쉽게 직접 지정할 수 있습니다. 이러한 도구는 Active Directory Services 역할을 가진 서버의 %windir%\system32에 있습니다.

도메인 관리자는 Redirusr.exe 및 Redircomp.exe를 도메인별로 한 번씩 실행하여, 새로 만드는 모든 사용자 및 컴퓨터 계정이 배치되는 OU를 지정할 수 있습니다. 관리자는 이러한 할당되지 않은 계정을 해당 계정이 최종 배치될 OU에 할당하기 전에 그룹 정책으로 관리할 수 있습니다. 그룹 정책으로 새 사용자 및 컴퓨터 계정에 사용되는 OU를 제한하여 계정에 대한 보안을 강화하는 것이 좋습니다.

사용자 및 컴퓨터 계정을 리디렉션하는 방법에 대해서는 Microsoft 기술 자료 문서 324949, "Windows Server 2003 도메인에서 사용자 및 컴퓨터 컨테이너 리디렉션"(http://go.microsoft.com/fwlink/?LinkId=100759)을 참조하십시오.

사이트 및 복제 고려 사항

적절한 정책 설정을 결정할 때 사이트의 지리적 위치, 도메인 컨트롤러의 물리적 배치, 복제 속도 등과 같은 Active Directory의 물리적 측면을 고려합니다.

GPO는 각 도메인 컨트롤러의 Sysvol 폴더와 Active Directory에 저장되며, 이러한 위치는 서로 다른 복제 메커니즘을 사용합니다. 리소스 키트 도구 그룹 정책 개체(Gpotool.exe)를 사용하여 GPO가 여러 도메인 컨트롤러에 복제되지 않은 것으로 의심될 때 문제를 진단할 수 있습니다.

Gpotool.exe에 대한 자세한 내용은 Microsoft 도움말 및 지원(http://go.microsoft.com/fwlink/?LinkId=109283)(페이지는 영문일 수 있음)을 참조하십시오. Windows Server 2008 리소스 키트 도구를 다운로드하려면 Microsoft 다운로드 센터의 Windows Server 2008 리소스 키트 도구(http://go.microsoft.com/fwlink/?LinkId=4544)(페이지는 영문일 수 있음)를 참조하십시오.

일반적으로 원격 사이트의 클라이언트에 대한 느린 연결이 관련된 경우 도메인 컨트롤러 배치가 문제입니다. 클라이언트와 인증 도메인 컨트롤러 사이의 네트워크 링크 속도가 기본 느린 연결 임계값(500킬로비트/초) 아래로 떨어지면 기본적으로 관리 템플릿(레지스트리 기반) 설정, 새 무선 정책 확장 및 보안 설정만 적용됩니다. 다른 모든 그룹 정책 설정은 기본적으로 적용되지 않습니다. 그러나 그룹 정책을 사용하여 이 동작을 수정할 수 있습니다.

GPO의 사용자 측면과 컴퓨터 측면 모두에 대해 그룹 정책 느린 연결 검색 정책을 사용하여 느린 연결 임계값을 변경할 수 있습니다. 필요한 경우 느린 임계값 이하에서 처리될 그룹 정책 확장을 조정할 수도 있습니다. 관리 요구 사항을 충족하기 위해 로컬 도메인 컨트롤러를 원격 위치에 배치하는 것이 나은 경우도 있습니다.

서비스 수준 계약 준수

일부 IT 그룹에서는 서비스 수준 계약을 사용하여 서비스 운영 방법을 지정합니다. 예를 들어 서비스 수준 계약을 통해 컴퓨터를 시작하고 로그온하는 데 필요한 최대 시간, 사용자가 로그온 후에 컴퓨터를 사용할 수 있는 기간 등을 규정할 수 있습니다. 서비스 수준 계약에서 서비스 응답 표준을 설정하는 경우도 있습니다. 예를 들어 서비스 수준 계약에서 사용자가 새 소프트웨어 응용 프로그램을 받거나 이전에 사용할 수 없었던 기능에 액세스할 수 있는 기간을 정의할 수 있습니다. 서비스 응답에 영향을 줄 수 있는 문제로는 사이트 및 복제 토폴로지, 도메인 컨트롤러의 위치 지정, 그룹 정책 관리자 위치 등이 있습니다.

GPO를 처리하는 데 필요한 시간을 줄이려면 다음 전략 중 하나를 사용해 보십시오.

  • GPO에 컴퓨터 구성 또는 사용자 구성 설정만 포함되어 있는 경우 적용되지 않는 정책 설정 부분을 사용하지 않도록 설정합니다. 그러면 대상 컴퓨터에서 사용하지 않도록 설정된 GPO 부분을 검색하지 않으므로 처리 시간이 단축됩니다. GPO의 일부를 사용하지 않도록 설정하는 방법에 대해서는 이 가이드의 뒷부분에 나오는 GPO에서 사용자 구성 또는 컴퓨터 구성 설정을 사용하지 않도록 설정을 참조하십시오.

  • 필요한 경우 작은 GPO를 결합하여 통합 GPO를 구성합니다. 그러면 사용자 또는 컴퓨터에 적용되는 GPO 수가 줄어듭니다. 사용자 또는 컴퓨터에 적용되는 GPO 수가 적을수록 시작 또는 로그온 시간이 단축되고 정책 구조 문제를 쉽게 해결할 수 있습니다.

  • GPO에 대한 변경 내용은 도메인 컨트롤러에 복제되고 이로 인해 클라이언트 또는 대상 컴퓨터에서 새 다운로드가 수행됩니다. 자주 변경해야 하는 GPO가 크거나 복잡한 경우 정기적으로 업데이트하는 섹션만 포함하는 새 GPO를 만들어 보십시오. 이 방법을 테스트하여 네트워크에 미치는 영향을 최소화하고 대상 컴퓨터의 처리 시간을 단축하는 것이 GPO 구조를 더 복잡하게 만들어 문제 발생 가능성이 커지는 것보다 더 이득이 되는지 판단합니다.

  • 그룹 정책 변경 제어 프로세스를 구현하고 GPO에 대한 변경 내용을 기록해야 합니다. 그러면 GPO 관련 문제를 해결하고 기록 유지를 요구하는 서비스 수준 계약을 준수하는 데 도움이 됩니다. GPO에 대한 변경 제어 프로세스 구현 및 GPO 관리에 AGPM을 사용해 보십시오.

그룹 정책 목표 정의

그룹 정책 배포를 계획할 경우 비즈니스 요구 사항과 그룹 정책을 사용하여 이러한 요구 사항을 충족하는 방법을 파악합니다. 그러면 요구 사항을 충족하는 데 가장 적절한 정책 설정 및 구성 옵션을 결정할 수 있습니다.

각 그룹 정책 구현의 목표는 사용자 위치, 작업 요건, 컴퓨터 환경 및 회사 보안 요구 사항에 따라 달라집니다. 특정 기능으로 인해 시스템 구성 파일이 수정되어 컴퓨터 성능이 저하되는 것을 방지하기 위해 사용자의 컴퓨터에서 해당 기능을 제거하거나, 사용자가 작업을 수행하는 데 필요하지 않은 응용 프로그램을 제거할 수 있습니다. 또한 그룹 정책을 사용하여 운영 체제 옵션을 구성하거나, Internet Explorer 설정을 지정하거나, 보안 정책을 설정할 수 있습니다.

조직의 현재 환경과 요구 사항을 정확하게 파악하면 조직의 요구에 가장 적합한 계획을 디자인할 수 있습니다. 프로세스 작업자, 데이터 입력 작업자 등의 사용자 유형, 기존 컴퓨터 구성 및 계획된 컴퓨터 구성에 대한 정보를 수집해야 합니다. 이 정보를 기반으로 그룹 정책 목표를 정의할 수 있습니다.

회사의 기존 방법 평가

사용할 적절한 그룹 정책 설정을 식별하려면 먼저 다음과 같은 요소를 비롯하여 회사 환경의 현재 방법을 평가합니다.

  • 다양한 유형의 사용자에 대한 사용자 요구 사항

  • 현재 IT 역할(예: 관리자 그룹에서 세분화되는 다양한 관리 임무)

  • 기존 회사 보안 정책

  • 서버 및 클라이언트 컴퓨터에 대한 기타 보안 요구 사항

  • 소프트웨어 배포 모델

  • 네트워크 구성

  • 데이터 저장소 위치 및 절차

  • 현재 사용자 및 컴퓨터 관리

그룹 정책 목표 정의

이제 그룹 정책 목표 정의 과정에서 다음을 결정합니다.

  • 각 GPO의 목적

  • 각 GPO의 소유자 - 정책 설정을 요청하고 담당하는 사람

  • 사용할 GPO 수

  • 각 GPO를 연결할 적절한 컨테이너(사이트, 도메인 또는 OU)

  • 각 GPO에 포함되는 정책 설정 유형 및 사용자와 컴퓨터에 대한 적절한 정책 설정

  • 그룹 정책의 기본적인 처리 순서에 대한 예외 설정 시기

  • 그룹 정책에 대한 필터링 옵션 설정 시기

  • 설치할 소프트웨어 응용 프로그램 및 해당 위치

  • 폴더 리디렉션에 사용할 네트워크 공유

  • 실행할 로그온, 로그오프, 시작 및 종료 스크립트의 위치

그룹 정책에 대한 지속적인 관리 계획

그룹 정책 솔루션을 디자인하고 구현할 때 지속적인 그룹 정책 관리를 계획해야 합니다. GPO 추적 및 관리 절차를 설정하여 규정된 방법에 따라 모든 변경 내용이 구현되도록 할 수 있습니다.

그룹 정책에 대한 지속적인 관리를 간소화하고 통제하려면 다음과 같이 하십시오.

  • 다음과 같은 사전 배포 프로세스를 사용하여 항상 그룹 정책 배포를 준비합니다.

    • 그룹 정책 모델링을 사용하여 새 GPO가 기존 GPO와 상호 작용하는 방법을 이해합니다.

    • 프로덕션 환경 다음에 모델링되는 테스트 환경에서 새 GPO를 배포합니다.

    • 그룹 정책 결과를 사용하여 테스트 환경에 실제로 적용되는 GPO 설정을 파악합니다.

  • GPMC를 사용하여 GPO를 정기적으로 백업합니다.

  • GPMC를 사용하여 조직 전체에서 그룹 정책을 관리합니다.

  • 필요한 경우가 아니면 기본 도메인 정책이나 기본 도메인 컨트롤러 정책을 수정하지 마십시오. 대신 도메인 수준에서 새 GPO를 만들어 기본 정책 설정을 무시하도록 설정합니다.

  • 각 GPO의 목적을 명확하게 식별하는 의미 있는 GPO 명명 규칙을 정의합니다.

  • 관리자를 GPO별로 한 명씩만 지정합니다. 이를 통해 관리자의 작업을 다른 관리자의 작업이 덮어쓰는 것을 방지할 수 있습니다.

Windows Server 2008 및 GPMC를 사용하여 여러 관리자 그룹에 GPO 편집 및 연결 권한을 위임할 수 있습니다. 적절한 GPO 제어 절차가 없을 경우 위임된 관리자가 GOP 설정을 복제하거나, 다른 관리자가 지정한 정책 설정과 충돌하는 GPO 또는 회사 표준에 맞지 않는 GPO를 만들 수 있습니다. 이러한 충돌은 사용자의 데스크톱 환경에 부정적인 영향을 주고 지원 요청을 증가시키며 GPO 문제 해결을 더 어렵게 만들 수 있습니다.

상호 운용성 문제 식별

혼합된 환경에서 그룹 정책 구현을 계획할 경우 발생 가능한 상호 운용성 문제를 고려해야 합니다. Windows Server 2008 및 Windows Vista에는 Windows Server 2003 또는 Windows XP에 사용되지 않는 새 그룹 정책 설정이 많이 있습니다. 그러나 Windows Server 2008의 GPMC에는 최신 정책 설정이 포함되어 있으므로 조직의 클라이언트 및 서버 컴퓨터에서 주로 Windows Server 2003 또는 Windows XP를 실행하더라도 이 GPMC를 사용해야 합니다. 최신 정책 설정의 GPO를 해당 정책 설정을 지원하지 않는 이전 운영 체제에 적용해도 문제가 발생하지 않습니다.

Windows Server 2003 또는 Windows XP Professional을 실행 중인 대상 컴퓨터에서는 Windows Server 2008 또는 Windows Vista에서만 지원되는 정책 설정이 무시됩니다. 적용할 정책 설정과 대상 운영 체제를 결정하려면 정책 설정 설명에서 지원 정보를 참조하십시오. 이 정보는 정책 설정을 읽을 수 있는 운영 체제에 대해 설명합니다.

그룹 정책 변경 내용이 적용되는 시기 결정

GPO의 변경 내용은 먼저 해당 도메인 컨트롤러에 복제되어야 하기 때문에 그룹 정책 설정의 변경 내용을 사용자의 데스크톱에서 바로 사용할 수 없습니다. 또한 클라이언트에서는 그룹 정책 검색에 대한 90분 새로 고침 간격(최대 30분씩 임의로)을 사용합니다. 따라서 변경된 그룹 정책 설정이 즉시 적용되는 경우는 거의 없습니다. GPO 구성 요소는 도메인 컨트롤러의 Sysvol 폴더와 Active Directory에 저장됩니다. 다음과 같은 두 개의 독립적인 메커니즘에 따라 GPO가 다른 도메인 컨트롤러에 복제됩니다.

  • Active Directory의 복제는 Active Directory의 기본 제공 복제 시스템을 통해 제어됩니다. 기본적으로 동일한 사이트에 있는 도메인 컨트롤러 간의 복제에 걸리는 시간은 대개 1분 미만입니다. 네트워크가 LAN보다 느린 경우 이 프로세스가 느려질 수 있습니다.

  • Sysvol 폴더의 복제는 FRS(파일 복제 서비스) 또는 DFSR(분산 파일 시스템 복제)을 통해 제어됩니다. 사이트에서 FRS 복제는 15분마다 수행됩니다. 도메인 컨트롤러가 서로 다른 사이트에 있는 경우 복제 프로세스는 사이트 토폴로지와 일정을 기반으로 설정된 간격에 따라 수행됩니다. 최소 간격은 15분입니다.

note참고
특정 사이트의 특정 사용자 또는 컴퓨터 그룹에 변경 내용을 즉시 적용하려면 해당 개체에 가장 가까운 도메인 컨트롤러에 연결한 다음 해당 도메인 컨트롤러에서 구성을 변경합니다. 그러면 해당 사용자에게 업데이트된 정책 설정이 먼저 제공됩니다.

정책 새로 고침 간격

그룹 정책을 새로 고치는 기본 메커니즘은 시작과 로그온입니다. 또한 그룹 정책은 다른 간격에 따라 정기적으로 새로 고쳐집니다. 정책 새로 고침 간격은 GPO에 변경 내용이 적용되는 속도에 영향을 줍니다. 기본적으로 Windows Server 2008, Windows Vista, Windows Server 2003 및 Windows XP를 실행하는 클라이언트와 서버에서는 최대 30분의 임의 오프셋을 사용하여 90분마다 GPO의 변경 여부를 확인합니다.

Windows Server 2008 또는 Windows Server 2003을 실행하는 도메인 컨트롤러에서는 5분마다 컴퓨터 정책의 변경 여부를 확인합니다. 정책 설정 컴퓨터에 대한 그룹 정책 새로 고침 간격, 도메인 컨트롤러에 대한 그룹 정책 새로 고침 간격, 사용자에 대한 그룹 정책 새로 고침 간격 중 하나를 사용하여 이 폴링 빈도를 변경할 수 있습니다. 그러나 새로 고침 빈도를 짧게 지정하면 네트워크 트래픽이 증가할 수 있고 도메인 컨트롤러의 부하가 증가하므로 바람직하지 않습니다.

그룹 정책 새로 고침 트리거

필요한 경우 자동 다른 작업하면서 새로 고침을 기다리지 않고 로컬 컴퓨터에서 그룹 정책 새로 고침을 수동으로 트리거할 수 있습니다. 이렇게 하려면 명령줄에 gpupdate를 입력하여 사용자 또는 컴퓨터 정책 설정을 새로 고칩니다. GPMC를 사용하여 그룹 정책 새로 고침을 트리거할 수는 없습니다. gpupdate 명령은 해당 명령이 실행되는 로컬 컴퓨터에서 백그라운드 정책 새로 고침을 트리거합니다.

gpupdate 명령에 대한 자세한 내용은 이 가이드의 뒷부분에 나오는 그룹 정책 새로 고침 간격 변경을 참조하십시오.

note참고
폴더 리디렉션, 소프트웨어 응용 프로그램 지정 등과 같은 일부 정책 설정을 적용하려면 사용자가 로그오프했다가 다시 로그온해야 합니다. 컴퓨터를 다시 시작해야 컴퓨터에 할당된 소프트웨어 응용 프로그램이 설치됩니다.

소프트웨어 설치 관련 문제 식별

그룹 정책을 사용하여 소프트웨어 응용 프로그램을 설치할 수 있지만 특히 중소규모의 조직에서는 해당 소프트웨어 응용 프로그램이 요구 사항을 충족하는 최상의 솔루션인지를 확인해야 합니다. 그룹 정책을 사용하여 소프트웨어 응용 프로그램을 설치하는 경우 컴퓨터를 다시 시작하거나 사용자가 로그온해야 할당된 응용 프로그램이 설치되거나 업데이트됩니다.

System Center Configuration Manager 2007(이전의 Systems Management Server[SMS])을 통한 소프트웨어 배포에서는 그룹 정책 기반 소프트웨어 배포에서는 사용할 수 없는 인벤토리 기반 대상 지정, 상태 보고, 예약 등과 같은 엔터프라이즈 수준 기능을 제공합니다. 따라서 그룹 정책을 사용하여 데스크톱을 구성하고 시스템 보안 및 액세스 권한을 설정할 수 있지만, 소프트웨어 응용 프로그램을 제공할 때는 구성 관리자를 사용합니다. 이 방법을 사용하면 업무가 많지 않은 시간에 응용 프로그램을 설치하도록 예약하여 대역폭을 제어할 수 있습니다.

구성 관리자에서 제공하는 추가 기능 및 보안이 필요한지 여부와 사용자의 요구 사항 및 환경에 따라 적절한 도구를 선택합니다. 구성 관리자에 대한 자세한 내용은 System Center Configuration Manager(http://go.microsoft.com/fwlink/?LinkId=109285)를 참조하십시오.

그룹 정책 모델 디자인

주요 목적은 비즈니스 요구 사항에 따라 GPO 구조를 디자인하는 것입니다. 조직의 컴퓨터 및 사용자는 조직 전체에 적용할 정책 설정과 모든 사용자나 컴퓨터에 적용 가능한 정책 설정을 결정합니다. 또한 유형, 기능 또는 업무 역할에 따라 컴퓨터 또는 사용자를 구성하는 데 사용할 정책 설정을 결정합니다. 그런 다음 서로 다른 유형의 정책 설정을 GPO로 그룹화하고 적절한 Active Directory 컨테이너에 연결합니다.

그룹 정책 상속 모델과 우선 순위 결정 방법도 유의하십시오. 기본적으로 상위 수준의 Active Directory 사이트, 도메인 및 OU에 연결된 GPO의 옵션 설정은 하위 수준의 모든 OU에 상속됩니다. 그러나 하위 수준에 연결된 GPO에서 상속된 정책을 무시할 수 있습니다.

예를 들어 상위 수준에 연결된 GPO를 사용하여 표준 바탕 화면 배경 무늬를 지정하고, 특정 OU에서만 다른 배경 무늬를 사용하도록 할 수 있습니다. 이를 위해 해당 하위 수준 OU에 두 번째 GPO를 연결할 수 있습니다. 더 낮은 수준의 GPO가 마지막으로 적용되므로 두 번째 GPO가 도메인 수준 GPO를 무시하여 해당 하위 수준 OU에 다른 그룹 정책 설정을 제공합니다. 상속 차단 및 적용을 사용하여 이 기본 상속 동작을 수정할 수 있습니다.

아래 지침에 따라 그룹 정책 디자인을 조직의 필요에 맞게 조정할 수 있습니다.

  • 특정 사용자 또는 컴퓨터 그룹에 대해 항상 적용해야 하는 정책 설정이 있는지 확인합니다. 이러한 정책 설정을 포함하는 GPO를 만들어 적절한 사이트, 도메인 또는 OU에 연결하고 해당 링크를 적용으로 지정합니다. 이 옵션을 설정하면 하위 수준의 Active Directory 컨테이너에 있는 GPO가 상위 수준의 GPO 정책 설정을 무시하지 못하도록 하여 상위 수준의 GPO 정책 설정을 적용합니다. 예를 들어 도메인 수준에서 특정 GPO를 정의하고 해당 GPO를 적용하도록 지정하면 GPO에 포함된 정책이 해당 도메인의 모든 OU에 적용되며, 하위 수준 OU에 연결된 GPO가 해당 도메인 그룹 정책을 무시할 수 없습니다.

note참고
적용 및 정책 상속 금지 기능은 가급적 사용하지 마십시오. 이러한 기능을 많이 사용하면 특정 정책 설정이 적용되거나 적용되지 않는 이유를 다른 GPO 관리자가 바로 확인할 수 없으므로 정책 문제 해결이 어려워질 수 있습니다.

  • 전체 조직에 적합한 정책 설정을 결정하고 해당 정책 설정을 도메인에 연결할 것을 고려합니다. 또한 GPMC를 사용하여 GPO를 복사하거나 GPO 정책 설정을 가져와서 여러 도메인에서 동일한 GPO를 만들 수 있습니다.

  • GPO를 OU 구조 또는 사이트에 연결한 다음 보안 그룹을 사용하여 특정 사용자 또는 컴퓨터에 해당 GPO를 선택적으로 적용합니다.

  • 조직에서 컴퓨터 유형과 사용자의 역할 또는 작업 기능을 분류하여 OU로 그룹화합니다. 필요한 경우 GPO를 사용하여 각각에 대한 환경을 구성한 다음 GPO를 해당 OU에 연결합니다.

  • GPO를 프로덕션 환경에 배포하기 전에 그룹 정책 기반 관리 전략을 테스트할 준비 환경을 준비합니다. 이 단계는 배포 준비에 해당하며 그룹 정책 배포가 관리 목표를 충족하는지를 확인하는 중요한 단계입니다. 이 프로세스에 대한 자세한 내용은 이 가이드의 뒷부분에 나오는 그룹 정책 배포 준비를 참조하십시오.

그룹 정책의 적용 범위 정의

GPO의 적용 범위를 정의하려면 다음 사항을 고려하십시오.

  • GPO를 연결할 위치

  • GPO에 사용할 보안 필터링

    보안 필터링을 사용하면 GPO의 정책 설정을 받아서 적용할 사용자 및 컴퓨터를 구체적으로 지정할 수 있습니다. 보안 그룹 필터링은 전체 GPO를 그룹, 사용자 또는 컴퓨터에 적용할지 여부를 결정하며, GPO 내의 다른 정책 설정에 이를 선택적으로 사용할 수 없습니다.

  • 적용할 WMI 필터

    WMI 필터를 사용하면 대상 컴퓨터의 특성을 기반으로 GPO 범위를 동적으로 결정할 수 있습니다.

기본적으로 GPO는 상속되고 누적되며 Active Directory 컨테이너에 있는 모든 컴퓨터 및 사용자와 하위 컨테이너에 영향을 줍니다. GPO는 로컬 그룹 정책, 사이트, 도메인 및 OU의 순서로 처리되며 마지막에 처리된 GPO가 이전 GPO를 무시합니다. 기본 상속 방법에서는 컴퓨터 또는 사용자 개체에서 가장 멀리 떨어진 Active Directory 컨테이너부터 그룹 정책을 평가합니다. GPO 링크에 대한 적용(무시 안 함) 옵션을 설정하지 않았거나 도메인 또는 OU에 정책 상속 차단 정책 설정이 적용된 경우 컴퓨터 또는 사용자에 가장 가까운 Active Directory 컨테이너가 상위 수준의 Active Directory 컨테이너에 설정된 그룹 정책을 무시합니다. LGPO가 가장 먼저 처리되므로 Active Directory 컨테이너에 연결된 GPO의 정책 설정이 로컬 정책 설정을 무시합니다.

Active Directory 컨테이너에 여러 GPO를 연결할 수 있지만 처리 우선 순위를 알고 있어야 합니다. GPMC의 연결된 그룹 정책 개체 탭에 표시된 그룹 정책 개체 링크 목록에서 링크 순서가 가장 낮은 GPO 링크가 기본적으로 우선권을 갖습니다. 그러나 하나 이상의 GPO 링크에 적용 옵션이 설정되어 있는 경우 적용으로 설정된 가장 높은 GPO 링크가 우선권을 갖습니다.

요약해서 말하면 적용은 링크 속성이고 정책 상속 차단은 컨테이너 속성입니다. 적용정책 상속 차단에 우선합니다. 또한 GPO를 사용하지 않도록 설정하거나, GPO에서 해당 컴퓨터 설정을 사용하지 않도록 설정하거나, 해당 사용자 설정을 사용하지 않도록 설정하거나, 모든 설정을 사용하지 않도록 설정하는 4가지 방법으로 GPO 자체에 대한 정책 설정을 사용하지 않도록 설정할 수도 있습니다.

GPMC를 사용하면 조직 전체에서 GPO 상속을 확인하고 한 MMC 콘솔에서 링크를 관리할 수 있어 매우 간단하게 GPO에 대한 정책 설정을 사용하지 않도록 설정할 수 있습니다. 그림 2에서는 GPMC에 표시된 그룹 정책 상속을 보여 줍니다.

e3115f72-6178-43c4-a324-6fad9692b942
note참고
도메인, 사이트 또는 OU에 대한 GPO 링크의 상속 및 우선 순위와 관련한 세부 정보를 보려면 GPO 링크를 포함하는 사이트, 도메인 또는 OU와 GPO에 대한 읽기 권한이 있어야 합니다. 사이트, 도메인 또는 OU에 대한 읽기 권한이 있지만 이와 연결된 GPO 중 하나에 대한 읽기 권한이 없는 경우 해당 GPO가 액세스할 수 없는 GPO로 표시되고 해당 GPO의 이름이나 기타 정보를 읽을 수 없습니다.

필요한 GPO 수 결정

필요한 GPO 수는 디자인 방법, 환경의 복잡성, 목표 및 프로젝트 범위에 따라 다릅니다. 포리스트가 여러 개 있거나 포리스트에 여러 도메인이 있는 경우 각 도메인에 필요한 GPO 수가 서로 다릅니다. 다양한 사용자 모집단을 가진 매우 복잡한 비즈니스 환경을 지원하는 도메인에는 작고 간단한 도메인보다 더 많은 GPO가 필요합니다.

조직을 지원하는 데 필요한 GPO 수가 늘어나면 그룹 정책 관리자의 작업 부하도 늘어납니다. 그룹 정책 관리를 간소화하기 위해 수행할 수 있는 단계가 있습니다. 대개 지정된 사용자 또는 컴퓨터 집합에 적용되고 일반 관리자에 의해 관리되는 정책 설정을 단일 GPO 그룹으로 분류해야 합니다. 또한 다양한 사용자 또는 컴퓨터 그룹이 공통된 요구 사항을 갖고 몇 개의 그룹만 증분 변경 내용을 필요로 할 경우 Active Directory 구조에서 상위에 연결된 단일 GPO를 사용하여 이러한 사용자 또는 컴퓨터 그룹에 모두 공통된 요구 사항을 적용합니다. 그런 다음 관련 OU에서 증분 변경 내용만 적용하는 GPO를 더 추가합니다. 이 방법이 적용되지 않는 경우도 있으므로 이 지침에 대한 예외를 만들어야 할 수 있습니다. 예외를 만들 경우 해당 내용을 추적하십시오.

note참고
단일 사용자 또는 컴퓨터에 대해 최대 999개의 GPO 처리가 지원됩니다. 최대값을 초과할 경우 GPO가 처리되지 않습니다. 이 제한 사항은 동시에 적용될 수 있는 GPO 수에만 영향을 주며, 도메인에서 만들어 저장할 수 있는 GPO 수에는 영향을 주지 않습니다.

컴퓨터에 적용되는 GPO 수는 시작 시간에 영향을 주고, 사용자에 적용되는 GPO 수는 네트워크에 로그온하는 데 필요한 시간에 영향을 줍니다. 사용자에게 연결되는 GPO 수가 많을수록 특히, GPO 내의 정책 설정 수가 많을수록 사용자가 로그온할 때마다 GPO를 처리하는 데 걸리는 시간이 길어집니다. 사용자에 대해 그룹 정책 읽기 및 적용 권한이 모두 설정되어 있는 경우 로그온 프로세스 중에 사용자 사이트, 도메인 및 OU 계층의 각 GPO가 적용됩니다. GPMC에서 그룹 정책 읽기 및 적용 권한은 보안 필터링이라는 단일 단위로 관리됩니다.

보안 필터링을 사용하고 지정된 사용자나 그룹에 대한 그룹 정책 적용 권한을 제거할 경우 해당 사용자에게 읽기 권한이 필요한 경우가 아니면 읽기 권한도 함께 제거합니다. GPMC를 사용하는 경우에는 GPMC에서 이 작업을 자동으로 수행하므로 편리합니다. 그룹 정책 적용 권한을 설정하지 않고 읽기 권한을 설정한 경우 GPO가 적용되지는 않지만 GPO가 연결된 OU 계층의 모든 사용자 또는 컴퓨터에 의해 GPO가 검사됩니다. 이 검사 프로세스로 인해 로그온 시간이 약간 길어집니다.

사용자가 정의하는 정책 설정으로 인해 그룹 정책 솔루션에서 로그온 화면을 표시하는 데 걸리는 시간이 너무 길어지지 않고 정책 설정이 데스크톱 서비스 수준 계약을 준수하도록 테스트 환경에서 그룹 정책 솔루션을 항상 테스트하십시오. 이 준비 기간 중에 테스트 계정으로 로그온하여 여러 GPO가 사용자 환경의 개체에 미치는 영향을 평가합니다.

GPO 연결

사용자 및 컴퓨터에 GPO의 정책 설정을 적용하려면 사이트, 도메인 또는 OU에 GPO를 연결해야 합니다. GPMC를 사용하여 각 사이트, 도메인 또는 OU에 GPO 링크를 하나 이상 추가할 수 있습니다. GPO 만들기 및 연결은 중요한 권한이므로 신뢰할 수 있고 그룹 정책을 잘 알고 있는 관리자에게만 위임해야 합니다.

사이트에 GPO 연결

특정한 실제 위치에 있는 컴퓨터에 적용할 정책 설정(예: 특정 네트워크 또는 프록시 구성 설정)이 많은 경우 해당 정책 설정만 사이트 기반 정책 설정에 포함시킬 수 있습니다. 사이트와 도메인이 서로 독립적이기 때문에 GPO를 사이트에 연결하려면 사이트의 컴퓨터가 여러 도메인을 거쳐야 할 수 있습니다. 이 경우 정상적으로 연결되는지 확인합니다.

정책 설정이 단일 사이트의 컴퓨터에 명확하게 해당하지 않는 경우 사이트 대신 도메인 또는 OU 구조에 GPO를 할당하는 것이 좋습니다.

도메인에 GPO 연결

도메인의 모든 사용자와 컴퓨터에 GPO를 적용하려면 도메인에 GPO를 연결합니다. 예를 들어 보안 관리자가 회사 표준을 적용하기 위해 도메인 기반 GPO를 구현하는 경우가 종종 있습니다. 이때 다른 관리자가 이러한 정책 설정을 무시할 수 없도록 GPMC 적용 옵션을 사용하도록 설정하고 도메인 기반 GPO를 만들 수 있습니다.

Important중요
기본 도메인 정책 GPO에 포함된 정책 설정을 수정해야 하는 경우 이 용도로 새 GPO를 만들어 도메인에 연결한 다음 적용 옵션을 설정하는 것이 좋습니다. 일반적으로 기본 도메인 정책 GPO나 기본 도메인 컨트롤러 정책 GPO를 수정하지 마십시오.

이름에서 알 수 있듯이 기본 도메인 정책 GPO는 도메인에 연결됩니다. 기본 도메인 정책 GPO는 도메인의 첫 번째 도메인 컨트롤러가 설치되고 관리자가 처음으로 로그온할 때 만들어집니다. 이 GPO에는 도메인의 도메인 컨트롤러에서 적용하는 도메인 전체 계정 정책 설정, 암호 정책, 계정 잠금 정책 및 Kerberos 정책이 포함되어 있습니다. 모든 도메인 컨트롤러는 기본 도메인 정책 GPO에서 이러한 계정 정책 설정 값을 검색합니다. 도메인 계정에 계정 정책을 적용하려면 이러한 정책 설정을 도메인에 연결된 GPO에 배포해야 합니다. 계정 정책 설정을 OU 등의 하위 수준으로 설정할 경우 해당 OU에 속하는 컴퓨터의 로컬 계정(도메인이 아닌 계정)과 OU의 자식에만 정책 설정이 적용됩니다.

기본 GPO를 변경하기 전에 GPMC를 사용하여 GPO를 백업해야 합니다. 기본 GPO를 변경하는 데 문제가 있고 이전 상태나 초기 상태로 되돌릴 수 없는 경우 다음 섹션에서 설명하는 Dcgpofix.exe 도구를 사용하여 초기 상태의 기본 정책을 다시 만들 수 있습니다. AGPM을 사용하는 경우 변경 내용의 레코드가 유지되므로 이전 상태나 초기 상태로 되돌릴 수 있습니다.

기본 도메인 정책 GPO 및 기본 도메인 컨트롤러 GPO 복원

Dcgpofix.exe는 GPMC를 사용할 수 없는 재해 발생 시 기본 도메인 정책 GPO 및 기본 도메인 컨트롤러 GPO를 원래 상태로 완전히 복원하는 명령줄 도구입니다. Dcgpofix.exe는 Windows Server 2008 및 Windows Server 2003의 C:\Windows\system32\ 폴더에 있습니다.

Dcgpofix.exe는 생성 당시에 기본 GPO에 포함되어 있던 정책 설정만 복원합니다. Dcgpofix.exe는 관리자가 만드는 다른 GPO는 복원하지 않으며, 기본 GPO에 대한 재해 복구에만 사용됩니다.

note참고
Dcgpofix.exe는 구성 관리자, Exchange 등과 같은 응용 프로그램을 통해 만든 정보를 저장하지 않습니다.

Dcgpofix.exe의 구문은 다음과 같습니다.

DcGPOFix [/ignoreschema] [/Target: Domain | DC | BOTH]

표 1에는 Dcgpofix.exe 도구와 함께 사용할 수 있는 명령줄 옵션이 정리되어 있습니다.

표 1 Dcgpofix.exe 명령줄 옵션

옵션 옵션 설명

/ignoreschema

기본적으로 Windows Server 2008에 포함되어 있는 Dcgpofix 버전은 Windows Server 2008 도메인에서만 작동합니다. 이 옵션은 해당 Dcgpofix 버전이 Windows Server 2008이 아닌 도메인에서도 작동하도록 스키마 검사를 무시합니다.

/target: DOMAIN 또는

기본 도메인 정책을 다시 만들도록 지정합니다.

/target: DC 또는

기본 도메인 컨트롤러 정책을 다시 만들도록 지정합니다.

/target: BOTH

기본 도메인 정책과 기본 도메인 컨트롤러 정책을 모두 다시 만들도록 지정합니다.

Dcgpofix.exe에 대한 자세한 내용은 Dcgpofix.exe(http://go.microsoft.com/fwlink/?LinkId=109291)를 참조하십시오.

OU 구조에 GPO 연결

GPO는 일반적으로 OU 구조에 연결됩니다. 이 방법이 가장 유연하고 관리 효율성이 높기 때문입니다. 예를 들면 다음과 같습니다.

  • 사용자 및 컴퓨터를 OU 내부 및 외부로 이동할 수 있습니다.

  • 필요한 경우 OU를 다시 정렬할 수 있습니다.

  • 공통된 관리 요구 사항을 가진 보다 작은 사용자 그룹과 함께 작업할 수 있습니다.

  • 관리자를 기준으로 사용자 및 컴퓨터를 구성할 수 있습니다.

GPO를 사용자 중심 GPO와 컴퓨터 중심 GPO로 구성하면 그룹 정책 환경을 이해하기 쉽게 만들어 문제를 간단하게 해결할 수 있습니다. 그러나 사용자 및 컴퓨터 구성 요소를 개별 GPO로 구분하면 더 많은 GPO가 필요할 수 있습니다. 적용되지 않는 GPO 사용자 또는 컴퓨터 부분을 사용하지 않도록 설정하고 지정된 GPO를 적용하는 데 필요한 시간을 줄이도록 GPO 상태 설정을 구성하여 이를 보완할 수 있습니다.

GPO 링크 순서 변경

각 사이트, 도메인 및 OU에서 링크 순서에 따라 GPO가 적용되는 순서가 제어됩니다. 링크의 우선 순위를 변경하려면 목록에서 각 링크를 위 또는 아래의 적절한 위치로 이동하여 링크 순서를 변경할 수 있습니다. 번호가 가장 낮은 링크가 지정된 사이트, 도메인 또는 OU에 대해 더 높은 우선 순위를 갖습니다.

예를 들어 GPO 링크를 6개 추가하고 나중에 마지막으로 추가한 링크가 가장 높은 우선 순위를 갖게 하려면 해당 GPO 링크의 링크 순서를 1로 조정합니다. 사이트, 도메인 또는 OU에 대한 GPO 링크의 링크 순서를 변경하려면 GPMC를 사용합니다.

보안 필터링을 사용하여 선택한 그룹에 GPO 적용

기본적으로 GPO는 연결된 사이트, 도메인 또는 OU에 포함된 모든 사용자와 컴퓨터에 적용됩니다. GPO에 대한 보안 필터링을 사용하여 GPO에 대한 사용 권한을 수정함으로써 적용 대상을 특정 사용자, Active Directory 보안 그룹의 구성원 또는 컴퓨터로 수정할 수 있습니다. 보안 필터링을 OU의 적절한 배치와 결합하여 지정된 사용자 또는 컴퓨터 집합을 대상으로 지정할 수 있습니다.

지정된 사용자, 보안 그룹 또는 컴퓨터에 GPO를 적용하려면 해당 사용자, 그룹 또는 컴퓨터에 GPO에 대한 그룹 정책 읽기 및 적용 권한이 모두 있어야 합니다. 기본적으로 인증된 사용자의 그룹 정책 읽기 및 적용 권한은 모두 허용으로 설정되어 있습니다. 이러한 사용 권한은 GPMC의 보안 필터링을 사용하여 단일 단위로 함께 관리됩니다.

GPO가 모든 인증된 사용자가 아니라 GPMC 콘솔 트리의 특정 사용자, 보안 그룹 또는 컴퓨터에만 적용되도록 지정된 GPO에 대한 사용 권한을 설정하려면 해당 GPO가 포함된 포리스트와 도메인의 그룹 정책 개체를 확장합니다. GPO를 클릭하고 세부 정보 창의 범위 탭에 있는 보안 필터링에서 Authenticated Users를 제거하고 추가를 클릭한 다음 새 사용자, 그룹 또는 컴퓨터를 추가합니다.

예를 들어 OU에서 사용자의 하위 집합만 GPO를 받도록 하려면 보안 필터링에서 Authenticated Users를 제거합니다. 그런 다음 GPO를 받을 사용자의 하위 집합을 포함하는 보안 필터링 권한을 가진 새 보안 그룹을 추가합니다. GPO가 연결되는 사이트, 도메인 또는 OU에서 이 그룹의 구성원만 GPO를 받고 다른 사이트, 도메인 또는 OU의 그룹 구성원은 GPO를 받지 않습니다.

특정 그룹 정책 설정이 Administrators 그룹의 구성원에게 적용되지 않게 할 수 있습니다. 이렇게 하려면 다음 중 하나를 수행합니다.

  • 관리자에 대한 개별 OU를 만들고 대부분의 관리 설정을 적용할 계층에서 이 OU를 제외시킵니다. 그러면 관리되는 사용자에게 제공하는 대부분의 정책 설정이 관리자에게 전달되지 않습니다. 이 개별 OU가 도메인의 직계 자식인 경우 관리자는 도메인이나 사이트에 연결된 GPO의 정책 설정만 받을 수 있습니다. 일반적으로 여기에는 포괄적으로 적용 가능한 일반 정책 설정만 연결되므로 관리자가 이러한 정책 설정을 받을 수 있습니다. 원하지 않는 경우 관리자의 OU에서 상속 차단 옵션을 설정할 수 있습니다.

  • 관리자가 관리 작업을 수행할 때만 개별 관리 계정을 사용하도록 합니다. 개별 관리 계정은 관리 작업을 수행하지 않을 때도 관리됩니다.

  • 관리자가 아닌 사용자만 정책 설정을 받도록 GPMC에서 보안 필터링을 사용합니다.

WMI 필터 적용

WMI 필터를 사용하여 GPO 적용을 제어할 수 있습니다. 각 GPO를 하나의 WMI 필터에 연결할 수 있지만, 동일한 WMI 필터를 여러 GPO에 연결할 수도 있습니다. WMI 필터를 GPO에 연결하려면 필터를 만들어야 합니다. WMI 필터는 그룹 정책을 처리하는 동안 대상 컴퓨터에서 평가됩니다. GPO는 WMI 필터가 true로 평가된 경우에만 적용됩니다. Windows 2000 기반 컴퓨터에서는 WMI 필터가 무시되고 GPO가 항상 적용됩니다.

note참고
예외 관리에 주로 WMI 필터를 사용하는 것이 좋습니다. WMI 필터는 GPO의 대상을 특정 사용자 및 컴퓨터로 지정하는 강력한 솔루션을 제공하지만, 그룹 정책을 처리할 때마다 WMI 필터가 평가되기 때문에 시작 및 로그온 시간이 길어집니다. 또한 WMI 필터에는 시간 제한이 없으므로 필요한 경우에만 WMI 필터를 사용해야 합니다.

GPMC를 사용하여 WMI 필터에 대해 만들기 및 삭제, 연결 및 연결 해제, 복사 및 붙여넣기, 가져오기 및 내보내기, 속성 보기 및 편집 등과 같은 작업을 수행할 수 있습니다.

도메인에 있는 하나 이상의 도메인 컨트롤러에서 Windows Server 2008 또는 Windows Server 2003을 실행 중이거나 도메인에서 /Domainprep 옵션을 사용하여 ADPrep를 실행한 경우에만 WMI 필터를 사용할 수 있습니다. 그렇지 않으면 GPO에 대한 범위 탭의 WMI 필터링 섹션과 도메인 아래의 WMI 필터 노드가 표시되지 않습니다. 이 섹션에서 설명하는 항목은 그림 3을 참조하십시오.

a69987c9-84ec-4473-9f2c-efe0022d5331

WMI 필터링 옵션 설정

WMI는 대상 컴퓨터의 관리 데이터를 노출합니다. 데이터로는 레지스트리, 드라이버, 파일 시스템, Active Directory, SNMP, Windows Installer 및 네트워킹 데이터를 비롯하한 하드웨어 및 소프트웨어 인벤토리, 설정 및 구성 정보 등이 있습니다. 관리자는 이 데이터를 기반으로 하는 하나 이상의 쿼리로 구성되는 WMI 필터를 만들어 GPO 적용 여부를 제어할 수 있습니다. 필터는 대상 컴퓨터에서 평가됩니다. WMI 필터가 true로 평가되면 GPO가 대상 컴퓨터에 적용되고, 필터가 false로 평가되면 GPO가 적용되지 않습니다. Windows 2000 기반 클라이언트 또는 서버 대상에서는 WMI 필터가 무시되고 GPO가 항상 적용됩니다. WMI 필터가 없으면 GPO가 항상 적용됩니다.

WMI 필터를 사용하여 다양한 개체와 기타 매개 변수를 기반으로 그룹 정책 설정 대상을 지정할 수 있습니다. 표 2에는 WMI 필터에 대해 지정할 수 있는 예제 쿼리 기준이 정리되어 있습니다.

표 2 예제 WMI 필터

쿼리된 WMI 데이터 예제 쿼리 기준

서비스

DHCP 서비스를 실행 중인 컴퓨터

레지스트리

지정된 레지스트리 키 또는 항목이 채워진 컴퓨터

Windows 이벤트 로그

지난 5분 동안 감사 이벤트를 보고한 컴퓨터

운영 체제 버전

Windows Server 2003 이상을 실행하는 컴퓨터

하드웨어 인벤토리

Pentium III 프로세서가 장착된 컴퓨터

하드웨어 구성

수준 3에 네트워크 어댑터가 있는 컴퓨터

서비스 연결

SQL 서비스에 종속된 서비스가 있는 컴퓨터

WMI 필터는 하나 이상의 WQL(WMI Query Language) 쿼리로 구성됩니다. WMI 필터는 GPO의 모든 정책 설정에 적용되므로 관리자는 정책 설정마다 필터링 요구 사항이 다를 경우 별도의 GPO를 만들어야 합니다. WMI 필터는 잠재적 GPO 목록이 결정된 후에 대상 컴퓨터에서 평가되고 보안 그룹 구성원 자격을 기준으로 필터링됩니다.

그룹 정책 기반 소프트웨어 배포를 WMI 필터와 결합하여 소프트웨어 배포에 대해 제한된 인벤토리 기반 대상 지정을 수행할 수 있지만, 이 방법은 다음과 같은 이유로 인해 사용하지 않는 것이 좋습니다.

  • 각 GPO는 WMI 필터를 하나만 가질 수 있습니다. 응용 프로그램마다 인벤토리 요구 사항이 다를 경우 WMI 필터와 GPO가 여러 개 필요합니다. GPO 수가 늘어나면 시작 및 로그온 시간에 영향이 있고 관리 부하가 늘어납니다.

  • WMI 필터를 평가하는 데 많은 시간이 소요되어 로그온 및 시작 시간이 길어질 수 있습니다. 시간은 쿼리의 구성에 따라 다릅니다.

예제 WMI 필터

위에서 설명했듯이 WMI 필터는 예외 관리 도구로써 가장 유용합니다. 특정 기준에 대해 필터링하여 특정 GPO의 대상을 특정 사용자 및 컴퓨터로만 지정할 수 있습니다. 다음 섹션에서는 이 기술을 보여 주는 WMI 필터에 대해 설명합니다.

운영 체제를 기반으로 대상 지정

이 예에서 관리자는 Windows Vista 기반 컴퓨터만을 대상으로 엔터프라이즈 모니터링 정책을 배포하려고 합니다. 관리자는 다음과 같은 WMI 필터를 만들 수 있습니다.

Select * from Win32_OperatingSystem where Caption like "%Vista%"

대부분의 WMI 필터는 Root\CimV2 네임스페이스를 사용하며, 이 옵션은 GPMC 사용자 인터페이스에 기본적으로 채워져 있습니다.

Windows 2000 기반 컴퓨터에서는 WMI 필터가 무시되므로 필터링된 GPO가 항상 적용됩니다. 그러나 두 GPO를 사용하고 링크 순서를 이용하여 Windows 2000 설정을 가진 GPO에 더 높은 우선 순위를 지정함으로써 이 문제를 해결할 수 있습니다. 그런 다음 운영 체제가 Windows Vista 또는 Windows XP가 아니고 Windows 2000인 경우에만 해당 Windows 2000 GPO에 대한 WMI 필터를 사용합니다. Windows 2000 기반 컴퓨터는 Windows 2000 GPO를 받고 Windows Vista 또는 Windows XP GPO의 정책 설정을 무시합니다. Windows Vista 또는 Windows XP 클라이언트는 Windows Vista 또는 Windows XP GPO의 모든 정책 설정을 받습니다.

하드웨어 인벤토리를 기반으로 대상 지정

이 예에서 관리자는 모뎀이 장착된 데스크톱에만 새 네트워크 연결 관리자 도구를 배포하려고 합니다. 관리자는 다음 WMI 필터로 해당 데스크톱을 대상으로 지정하여 패키지를 배포할 수 있습니다.

Select * from Win32_POTSModem Where Name = " MyModem"

그룹 정책을 WMI 필터와 함께 사용할 경우 WMI 필터가 GPO의 모든 정책 설정에 적용됩니다. 배포마다 요구 사항이 다를 경우 각각 자체의 WMI 필터가 있는 여러 GPO를 사용해야 합니다.

구성을 기반으로 대상 지정

이 예에서 관리자는 멀티캐스트를 지원하는 컴퓨터에 GPO를 적용하지 않으려고 합니다. 관리자는 다음 필터를 사용하여 멀티캐스트를 지원하는 컴퓨터를 식별할 수 있습니다.

Select * from Win32_NetworkProtocol where SupportsMulticasting = true

디스크 공간 및 파일 시스템 유형을 기반으로 대상 지정

이 예에서 관리자는 C, D 또는 E 파티션에 10MB 이상의 사용 가능한 공간이 있는 컴퓨터를 대상으로 지정하려고 합니다. 파티션이 하나 이상의 로컬 고정 디스크에 있고 NTFS 파일 시스템을 실행해야 합니다. 관리자는 다음 필터를 사용하여 이러한 기준을 충족하는 컴퓨터를 식별할 수 있습니다.

SELECT * FROM Win32_LogicalDisk WHERE (Name = " C:"  OR Name = " D:"  OR Name = " E:" ) AND DriveType = 3 AND FreeSpace > 10485760 AND FileSystem = " NTFS"

위의 예에서 DriveType = 3은 로컬 디스크를 나타내고 FreeSpace 단위는 바이트(10MB = 10,485,760바이트)입니다.

WMI 필터를 만들려면

  1. GPMC 콘솔 트리에서 WMI 필터를 추가할 포리스트와 도메인의 WMI 필터를 마우스 오른쪽 단추로 클릭합니다.

  2. 새로 만들기를 클릭합니다.

  3. 새 WMI 필터 대화 상자에서 이름 상자에 새 WMI 필터의 이름을 입력한 다음 설명 상자에 필터에 대한 설명을 입력합니다.

  4. 추가를 클릭합니다.

  5. WMI 쿼리 대화 상자에서 기본 네임스페이스를 그대로 두거나 다음 중 하나를 수행하여 다른 네임스페이스를 지정합니다.

    • 네임스페이스 상자에 WMI 쿼리에 사용할 네임스페이스의 이름을 입력합니다. 기본값은 root\CimV2입니다. 대부분의 경우 이 값을 변경할 필요가 없습니다.

    • 찾아보기를 클릭하고 목록에서 네임스페이스를 선택한 다음 확인을 클릭합니다.

  6. 쿼리 상자에 WMI 쿼리를 입력한 다음 확인을 클릭합니다.

  7. 쿼리를 더 추가하려면 4-6단계를 반복하여 각 쿼리를 추가합니다.

  8. 쿼리를 모두 추가한 후 저장을 클릭합니다.

이제 WMI 필터를 연결할 수 있습니다.

그룹 정책 상속 사용

회사 표준 GPO를 정의하는 것이 유용한 경우가 있습니다. 여기서 "회사 표준"은 조직 내의 광범위한 사용자 집합에 적용되는 정책 설정을 말합니다. 회사 표준 GPO를 정의하는 것이 좋은 시나리오 예로 "특별히 권한이 부여된 사용자만 명령 프롬프트 또는 레지스트리 편집기에 액세스할 수 있습니다."라는 비즈니스 요구 사항이 있습니다. 그룹 정책 상속을 사용하면 여러 사용자 그룹에 대한 정책 설정을 사용자 지정하면서 이 회사 표준을 적용할 수 있습니다.

이렇게 하려면 OU(예: 사용자 계정 OU)에 연결되는 GPO(예: 표준 사용자 정책 GPO)에서 명령 프롬프트 사용 안 함레지스트리 편집 도구 사용 안 함 정책 설정을 지정합니다. 그러면 이 정책 설정이 해당 OU의 모든 사용자에게 적용됩니다. 그런 다음 관리자가 명령 프롬프트 및 레지스트리 편집 도구에 액세스할 수 있게 명시적으로 허용하는 GPO(예: 관리자 정책 GPO)를 만듭니다. GPO를 관리자 OU에 연결하여 표준 사용자 정책 GPO에 구성된 정책 설정을 무시합니다. 이 방법은 그림 4에 나와 있습니다.

48d12c74-030c-4728-a511-782c9d7ab5dc

다른 사용자 그룹에서 명령 프롬프트에 액세스할 수 있고 레지스트리에는 액세스할 수 없게 다른 GPO를 만들 수 있습니다. 새 GPO는 표준 사용자 정책 GPO에서 만든 레지스트리 도구 설정을 무시하지 않기 때문에 레지스트리 편집 도구에 대한 액세스는 계속 거부됩니다. 일반적으로 회사 표준 GPO에는 위의 그림보다 더 많은 정책 설정과 구성 옵션이 포함되어 있습니다. 예를 들어 회사 표준 GPO는 일반적으로 다음과 같은 작업을 수행하는 데 사용됩니다.

  • 사용자에게 유해할 수 있고 필요 없는 기능 모두 제거

  • 구성원 서버 및 워크스테이션에 대한 액세스 권한, 보안 설정, 파일 시스템 및 레지스트리 권한 정의

일반적으로 GPO는 도메인이나 사이트 대신 OU 구조에 할당됩니다. 사용자, 워크스테이션 및 서버와 관련한 OU 모델을 구성할 경우 회사 표준 정책 설정을 식별하고 구성하는 것이 더 쉽습니다. 또한 적용되지 않는 GPO의 사용자 또는 컴퓨터 부분을 사용하지 않도록 설정하여 그룹 정책을 보다 쉽게 관리할 수 있습니다.

보안 관련 정책 설정(예: 제한된 그룹 구성원 자격, 파일 시스템 액세스 권한, 레지스트리 액세스 권한 등)에 대한 기본값을 설정할 경우 이러한 정책 설정이 병합되지 않으며 "최신 작성자 우선(last-writer-wins)" 원칙에 따라 작동함을 알고 있어야 합니다. 다음 예에서는 이 원칙을 보여 줍니다.

예: 최신 작성자 우선 원칙

관리자는 로컬 Power Users 그룹의 구성원 자격을 Technical Support 및 Help Desk 그룹으로 정의하는 기본 워크스테이션 GPO를 만듭니다. Business Banking 그룹에서 이 목록에 Business Banking Support 그룹을 추가하기 위해 새 기본 워크스테이션 GPO를 만들려고 합니다. 새 GPO에서 세 그룹을 모두 Power Users 그룹의 구성원으로 지정하지 않으면 Business Banking Support 그룹만 해당 워크스테이션에 대한 Power User 권한을 갖습니다.

그룹 정책 배포

그룹 정책을 배포하려면 GPO 만들기, 정책 설정 가져오기, GPO 백업 및 복원, GPO 편집 및 연결, GPO 기본 상속에 대한 예외 설정, GPO 적용 필터링, 관리 위임, 그룹 정책 모델링을 통한 계획, 그룹 정책 결과를 사용한 GPO 적용 평가 등의 GPO 작업 절차를 잘 알고 있어야 합니다.

프로덕션 배포 전에 항상 안전한 환경에서 GPO를 철저히 테스트하십시오. 배포 전에 GPO 계획, 디자인 및 테스트를 철저히 수행할수록 최적의 그룹 정책 배포를 보다 쉽게 만들고 구현 및 유지 관리할 수 있습니다. 이 컨텍스트에서 테스트 및 파일럿 배포의 중요성을 아무리 강조해도 지나치지 않습니다. 테스트에서는 프로덕션 환경을 면밀하게 시뮬레이트해야 합니다.

모든 중요한 변형과 배포 전략에 대한 테스트와 검증을 마쳐야 디자인이 완료됩니다. GPO 구현 전략을 철저하게 테스트하려면 특정 정책 설정(예: 보안 설정)과 데스크톱 및 데이터 관리를 사용하여 네트워크의 각 사용자 및 컴퓨터 그룹에 대해 GPO를 구성해야 합니다. 테스트 환경을 사용하여 특정 GPO를 개발, 테스트 및 검사하고, GPMC 모델링 마법사와 결과 마법사를 최대한 활용하십시오.

그룹 정책의 반복 구현도 고려하십시오. 즉, 100개의 새로운 그룹 정책 설정을 배포하는 대신 초기 준비 단계를 거쳐 일부 정책 설정만 배포하여 그룹 정책 인프라가 올바르게 작동하는지 확인합니다.

그룹 정책을 준비하는 방법에 대해서는 이 가이드에 나오는 그룹 정책 배포 준비를 참조하십시오.

GPO 만들기 및 작업

GPO 변경은 즉시 수행되므로, 테스트 환경에서 GPO 테스트를 완전히 마칠 때까지는 GPO를 프로덕션 위치(사이트, 도메인 또는 OU)에서 연결 해제된 상태로 두십시오. GPO를 개발하는 동안에는 GPO를 테스트 OU에 연결 또는 연결 해제된 상태로 유지합니다.

이 섹션에서는 GPO 만들기 및 배포 프로세스에 대해 설명합니다. 배포 전에 그룹 정책 구성을 테스트하는 방법에 대해서는 이 가이드에 나오는 그룹 정책 배포 준비를 참조하십시오.

다음 절차에서는 GPMC를 사용하여 GPO를 만들고 편집하는 방법에 대해 설명합니다.

연결 해제된 GPO를 만들려면

  1. GPMC 콘솔 트리에서 연결 해제된 새 GPO를 만들 포리스트와 도메인의 그룹 정책 개체를 마우스 오른쪽 단추로 클릭합니다.

  2. 새로 만들기를 클릭합니다.

  3. 새 GPO 대화 상자에서 새 GPO의 이름을 지정한 다음 확인을 클릭합니다.

GPO를 편집하려면 다음 절차를 따르십시오.

GPO를 편집하려면

  1. GPMC 콘솔 트리에서 편집할 GPO가 있는 포리스트 및 도메인의 그룹 정책 개체를 확장합니다.

  2. 편집할 GPO를 마우스 오른쪽 단추로 클릭하고 편집을 클릭합니다.

  3. 콘솔 트리에서 필요한 경우 항목을 확장하여 수정할 정책 설정이 포함된 항목을 찾습니다. 항목을 클릭하여 세부 정보 창에서 연관된 정책 설정을 봅니다.

  4. 세부 정보 창에서 편집할 정책 설정의 이름을 두 번 클릭합니다. 새 소프트웨어 설치 패키지 배포를 위한 정책 설정과 같은 일부 정책 설정에서는 고유한 사용자 인터페이스를 사용합니다.

  5. 속성 대화 상자에서 필요한 경우 정책 설정을 수정한 다음 확인을 클릭합니다.

GPO를 연결하려면

기본적으로 GPO의 정책 설정을 사용자 및 컴퓨터에 적용하려면 GPO를 Active Directory의 컨테이너에 연결합니다. GPO를 Active Directory의 세 가지 유형의 컨테이너(사이트, 도메인 및 OU)에 연결할 수 있습니다. GPO를 여러 Active Directory 컨테이너에 연결할 수 있습니다.

GPO는 도메인 단위로 저장됩니다. 예를 들어 GPO를 OU에 연결할 경우 GPO가 해당 OU에 실제로 위치하지 않습니다. GPO는 포리스트의 아무 위치에나 연결할 수 있는 도메인 단위 개체입니다. GPMC의 UI를 사용하면 링크와 실제 GPO를 명확하게 구별할 수 있습니다.

GPMC에서는 다음 방법 중 하나를 사용하여 기존 GPO를 Active Directory 컨테이너에 연결할 수 있습니다.

  • 사이트, 도메인 또는 OU 항목을 마우스 오른쪽 단추로 클릭한 다음 기존 GPO 연결을 클릭합니다. 이 절차는 GPMC를 설치하기 전에 Active Directory 사용자 및 컴퓨터 스냅인에서 사용할 수 있었던 그룹 정책 탭에서 추가를 선택하는 것과 같습니다. 이 절차를 수행하려면 도메인에 GPO가 이미 있어야 합니다.

  • GPO를 그룹 정책 개체 항목에서 GPO를 연결할 OU로 끌어 놓습니다. 이 끌어 놓기 기능은 동일한 도메인에서만 작동합니다.

다음 섹션의 설명에 따라 GPMC를 사용하여 새 GPO 만들기와 연결을 동시에 수행할 수 있습니다.

GPO를 만들고 연결하려면

GPO를 만들어 사이트, 도메인 또는 OU에 연결하려면 도메인에서 GPO를 만든 다음 연결해야 합니다.

다음 절차는 GPMC를 설치하기 전에 Active Directory 사용자 및 컴퓨터 스냅인에서 사용할 수 있었던 그룹 정책 탭에서 새로 만들기를 클릭하는 것과 같습니다. 이 작업은 GPMC에 하나의 동작으로 표시되지만 실제로는 GPO를 도메인에서 만든 다음 새 GPO를 사이트, 도메인 또는 OU에 연결하는 두 가지 동작이 수행됩니다.

GPO를 만들어 사이트, 도메인 또는 OU에 연결하려면

  1. GPMC 콘솔 트리에서 연결할 GPO가 포함된 포리스트 및 도메인의 그룹 정책 개체를 확장합니다.

  2. 도메인 또는 OU 항목을 마우스 오른쪽 단추로 클릭한 다음 이 도메인에서 GPO를 만들어 여기에 연결을 클릭합니다.

  3. 새 GPO 대화 상자에서 새 GPO의 이름을 입력한 다음 확인을 클릭합니다.

GPO 연결을 해제 즉, GPO와 사이트, 도메인 또는 OU 간의 연결을 삭제하려면 다음 절차를 따르십시오.

사이트, 도메인 또는 OU와 GPO 간의 연결을 삭제하려면

  1. GPMC 콘솔 트리에서 연결을 해제할 GPO가 포함된 포리스트 및 도메인의 그룹 정책 개체를 확장합니다.

  2. 연결을 해제할 GPO를 클릭합니다.

  3. 세부 정보 창에서 범위 탭을 클릭합니다.

  4. 다음 메시지가 나타나면 확인을 클릭하여 메시지를 닫습니다. 새 GPO를 만들어 연결할 때 메시지가 다시 표시되지 않도록 지정할 수도 있습니다.

    "GPO(그룹 정책 개체)에 대한 링크를 선택했습니다. 링크 속성 변경 내용을 제외하고 여기서 변경하는 모든 내용은 GPO에 전체적으로 적용되며 이 GPO가 링크된 다른 모든 위치에 영향을 줍니다."

  5. 링크 섹션에서 삭제할 링크가 있는 Active Directory 개체를 마우스 오른쪽 단추로 클릭한 다음 연결 삭제를 클릭합니다.

note참고
GPO에 대한 링크를 삭제하는 것과 GPO를 삭제하는 것은 다릅니다. GPO에 대한 링크만 삭제할 경우 GPO는 계속 존재하므로 다른 도메인과 해당 GPO 간의 기존 링크도 그대로 유지됩니다. 그러나 GPO를 삭제하면 GPO와 해당 연결을 선택한 도메인에서 삭제할지 묻는 메시지가 나타납니다. GPO를 삭제해도 다른 도메인과 GPO 간의 연결은 삭제되지 않습니다. 이 도메인에서 GPO를 삭제하기 전에 다른 도메인에서 GPO 연결을 제거해야 합니다.

GPO에서 사용자 구성 또는 컴퓨터 구성 설정을 사용하지 않도록 설정

사용자 관련 정책 설정만 지정하는 GPO를 만들 경우 GPO에서 컴퓨터 구성 설정을 사용하지 않도록 설정할 수 있습니다. 그러면 GPO의 컴퓨터 구성 설정을 평가하여 정책 설정이 있는지 확인할 필요가 없으므로 컴퓨터 시작 시간이 조금 단축됩니다. 컴퓨터 관련 정책 설정만 구성하는 경우 GPO에서 사용자 구성 설정을 사용하지 않도록 설정합니다.

아래 절차에서 다루는 GPMC 항목을 확인하려면 그림 5를 검토하십시오.

3a7b8d0f-aa56-41e4-8294-7d48816627c0

GPO에서 사용자 구성 또는 컴퓨터 구성 설정을 사용하지 않도록 설정하려면

  1. GPMC 콘솔 트리에서 사용하지 않도록 설정할 정책 설정이 포함된 GPO가 있는 포리스트 및 도메인의 그룹 정책 개체를 확장합니다.

  2. 사용하지 않도록 설정할 정책 설정이 포함된 GPO를 마우스 오른쪽 단추로 클릭합니다.

  3. GPO 상태 목록에서 다음 중 하나를 선택합니다.

    • 모든 설정 사용 안 함

    • 컴퓨터 구성 설정 사용 안 함

    • 사용(기본값)

    • 사용자 구성 설정 사용 안 함

사이트에 연결된 GPO에 대한 특별 고려 사항

사이트에 연결된 GPO는 프록시 설정, 프린터 및 네트워크 관련 설정에 대한 정책을 설정하는 데 사용할 수 있습니다. 사이트 컨테이너에 연결된 GPO는 포리스트에서 컴퓨터가 속하는 도메인에 관계없이 해당 사이트의 모든 컴퓨터에 적용됩니다. 이 동작의 의미는 다음과 같습니다.

  • 컴퓨터가 WAN 링크를 통해 사이트 GPO에 액세스하지 않는지 확인합니다. 이는 중대한 성능 문제를 일으킵니다.

  • 기본적으로 사이트 GPO를 관리하려면 포리스트 루트 도메인에서 Domain Admins 그룹의 구성원이거나 Enterprise Admins 그룹의 구성원이어야 합니다.

  • 서로 다른 사이트에 있는 도메인 컨트롤러 간의 Active Directory 복제는 동일한 사이트에 있는 도메인 컨트롤러 간의 복제보다 적은 빈도로 예약된 기간 동안에만 수행됩니다. 사이트 간의 FRS 복제는 사이트 링크 복제 일정에 따라 결정되지 않으며 이는 사이트 내의 문제가 아닙니다.

    디렉터리 서비스 복제 일정 및 빈도는 사이트를 연결하는 사이트 링크의 속성입니다. 사이트 간 복제의 기본 빈도는 3시간입니다. 이 빈도를 변경하려면 다음 절차를 따르십시오.

    사이트 간 복제 빈도를 변경하려면

    1. Active Directory 사이트 및 서비스를 엽니다.

    2. 콘솔 트리에서 사이트, 사이트 간 전송, IP를 차례로 확장한 다음 사이트 간 복제를 구성할 사이트 링크가 포함된 사이트 간 전송 폴더를 클릭합니다.

    3. 세부 정보 창에서 사이트 간 복제 빈도를 구성할 사이트 링크를 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.

    4. 일반 탭의 복제 간격에서 복제 간격(분)을 입력하거나 선택합니다.

    5. 확인을 클릭합니다.

복제 빈도 또는 일정을 변경하면 그룹 정책에 큰 영향을 줄 수 있습니다. 예를 들어 복제 빈도를 3시간 이상으로 설정하고 GPO를 만들어 여러 사이트에 걸쳐 있는 도메인의 OU에 연결한다고 가정합니다. 해당 OU의 모든 사용자가 GPO를 검색하는 데 시간이 오래 걸릴 수 있습니다.

OU의 사용자가 대부분 원격 위치에 있고 해당 사이트에 도메인 컨트롤러가 있는 경우 해당 사이트의 도메인 컨트롤러에서 모든 그룹 정책 작업을 수행하여 사이트 간 복제 대기 시간 문제를 해결할 수 있습니다.

루프백 처리를 사용하여 사용자 정책 설정 구성

사용자 그룹 정책 루프백 처리 모드 정책 설정은 로그온한 사용자에 관계없이 컴퓨터 구성을 동일하게 유지하기 위한 고급 옵션입니다. 이 정책 설정은 교실, 공용 키오스크, 리셉션 영역 등과 같이 특수 용도의 컴퓨터로 자세히 관리되는 환경에 적합합니다. 예를 들어 터미널 서버와 같은 특정 서버에 대해 이 정책 설정을 사용하도록 지정할 수 있습니다. 루프백 처리 모드 정책 설정을 사용하도록 지정하면 컴퓨터를 기반으로 컴퓨터에 로그온하는 모든 사용자에 대해 동일한 사용자 정책 설정이 적용됩니다.

GPO를 사용자에게 적용하면 해당 사용자가 컴퓨터에 로그온할 때 일반적으로 동일한 사용자 정책 설정이 사용자에게 적용됩니다. GPO에서 루프백 처리 정책 설정을 사용하도록 지정하여 로그온하는 컴퓨터를 기반으로 사용자 정책 설정을 구성할 수 있습니다. 이러한 정책 설정은 로그온하는 사용자에 관계없이 적용됩니다. 루프백 처리 모드 정책 설정을 사용하도록 지정한 경우 GPO에서 컴퓨터 구성 설정과 사용자 구성 설정을 모두 사용하도록 지정해야 합니다.

GPMC를 사용하여 GPO를 편집하고 컴퓨터 구성\정책\관리 템플릿\시스템\그룹 정책에서 사용자 그룹 정책 루프백 처리 모드 정책 설정을 사용하도록 지정하여 루프백 정책 설정을 구성할 수 있습니다. 다음과 같은 두 가지 옵션을 사용할 수 있습니다.

  • 병합 모드: 이 모드에서는 로그온 프로세스 중에 사용자에 대한 GPO 목록이 수집됩니다. 그런 다음 컴퓨터에 대한 GPO 목록이 수집됩니다. 컴퓨터에 대한 GPO 목록이 사용자에 대한 GPO의 끝에 추가됩니다. 따라서 컴퓨터의 GPO가 사용자의 GPO에 우선합니다. 정책 설정이 충돌하면 사용자의 일반 정책 설정 대신 컴퓨터 GPO의 사용자 정책 설정이 적용됩니다.

  • 대체 모드: 이 모드에서는 사용자에 대한 GPO 목록이 수집되지 않습니다. 대신 컴퓨터 개체를 기반으로 하는 GPO 목록만 사용됩니다. 이 목록의 사용자 구성 설정이 사용자에게 적용됩니다.

그룹 정책 관리 위임

그룹 정책 디자인에 따라 특정 그룹 정책 관리 작업을 위임해야 할 수 있습니다. 그룹 정책의 관리 제어를 어느 정도까지 중앙에서 처리하거나 분산시킬지 결정하는 것은 조직의 요구 사항을 평가하는 데 있어 가장 중요한 요소 중 하나입니다. 중앙 집중화된 관리 모델을 사용하는 조직에서 IT 그룹은 회사 전체에 대해 서비스를 제공하고 결정을 내리고 표준을 설정합니다. 분산 관리 모델을 사용하는 조직에서는 비즈니스 단위별로 자체 IT 그룹을 관리합니다.

위임할 수 있는 그룹 정책 작업은 다음과 같습니다.

  • 개별 GPO 관리(예: GPO에 대한 편집 또는 읽기 권한 부여)

  • 사이트, 도메인 및 OU에서 다음 그룹 정책 작업 수행

    • 지정된 사이트, 도메인 또는 OU에 대한 그룹 정책 링크 관리

    • 컨테이너에 있는 개체에 대한 그룹 정책 모델링 분석 수행(사이트에는 해당되지 않음)

    • 컨테이너에 있는 개체에 대한 그룹 정책 결과 데이터 읽기(사이트에는 해당되지 않음)

  • GPO 만들기

  • WMI 필터 만들기

  • 개별 WMI 필터 관리 및 편집

조직의 관리 모델을 기반으로 사이트, 도메인 및 OU 수준에서 가장 잘 처리될 수 있는 구성 관리 측면을 결정해야 합니다. 또한 각 사이트, 도메인 및 OU 수준에서 사용 가능한 관리자 또는 관리 그룹 간의 책임을 세분화하는 방법을 결정해야 합니다.

사이트, 도메인 또는 OU 수준에서 권한을 위임할지 여부를 결정할 때 다음 사항을 고려합니다.

  • 사용 권한이 모든 하위 컨테이너에 상속되도록 설정되어 있는 경우 도메인 수준에서 위임한 권한은 도메인의 모든 개체에 영향을 줍니다.

  • OU 수준에서 위임한 권한은 해당 OU에만 영향을 주거나 해당 OU와 자식 OU에 영향을 줍니다.

  • 가능한 최고 OU 수준에서 제어를 할당하면 사용 권한을 보다 쉽고 효율적으로 관리할 수 있습니다.

  • 사이트 수준에서 위임한 권한은 여러 도메인에 적용될 수 있으므로, GPO가 위치한 도메인이 아닌 다른 도메인의 개체에도 영향을 줄 수 있습니다.

다음 섹션에서는 GPMC를 사용하여 위임 작업을 수행하는 방법에 대해 설명합니다.

개별 GPO의 관리 위임

GPMC를 사용하여 추가 사용자에게 GPO에 대한 사용 권한을 쉽게 부여할 수 있습니다. GPMC는 작업 수준에서 사용 권한을 관리합니다. GPO에 대해 읽기, 편집, 보안 편집/삭제/수정, 읽기(보안 필터링에서), 사용자 지정의 5가지 사용 권한 수준이 허용됩니다. 이러한 사용 권한 수준은 고정된 하위 수준 권한 집합에 해당합니다. 표 3에는 각 옵션에 해당하는 하위 수준의 권한이 정리되어 있습니다.

표 3 GPO 권한 옵션 및 하위 수준 권한

GPO 권한 옵션 하위 수준 권한

읽기

GPO에 대한 읽기 권한을 허용합니다.

읽기(보안 필터링에서)

이 설정은 직접 지정할 수 없으며 사용자에게 GPO에 대한 그룹 정책 읽기 및 적용 권한이 있는 경우에 나타납니다. 이러한 사용 권한은 GPO의 범위 탭에서 보안 필터링을 사용하여 설정합니다.

설정 편집

읽기, 쓰기, 자식 개체 만들기, 자식 개체 삭제를 허용합니다.

보안 설정 편집, 삭제, 수정

읽기, 쓰기, 자식 개체 만들기, 자식 개체 삭제, 삭제, 사용 권한 수정 및 소유자 수정을 허용합니다. GPO에 대한 모든 권한을 부여합니다. 단, 그룹 정책 적용 권한은 설정되지 않습니다.

사용자 지정

사용 권한 거부 등의 다른 권한 조합은 모두 사용자 지정 권한으로 표시됩니다. 추가를 클릭하여 사용자 지정 권한을 설정할 수 없습니다. 사용자 지정 권한을 설정하려면 고급을 클릭한 다음 권한을 직접 수정해야 합니다.

사용자나 그룹에 GPO에 대한 사용 권한을 부여하려면 다음 절차를 따르십시오.

사용자나 그룹에 GPO에 대한 사용 권한을 부여하려면

  1. GPMC 콘솔 트리에서 편집할 GPO가 있는 포리스트 및 도메인의 그룹 정책 개체를 확장합니다.

  2. 사용 권한을 부여할 GPO를 클릭합니다.

  3. 세부 정보 창에서 위임 탭을 클릭합니다.

  4. 추가를 클릭합니다.

  5. 사용자, 컴퓨터 또는 그룹 선택 대화 상자에서 사용 권한을 부여할 사용자나 그룹을 지정한 다음 확인을 클릭합니다.

  6. 그룹 또는 사용자 추가 대화 상자의 사용 권한에서 사용자나 그룹에 부여할 사용 권한 수준을 클릭한 다음 확인을 클릭합니다.

보안 필터링에 사용되는 그룹 정책 적용 권한은 위임 탭을 사용하여 설정할 수 없습니다. 그룹 정책 적용 권한은 GPO의 범위를 지정하는 데 사용되기 때문에 GPMC에서 GPO에 대한 범위 탭에서 관리됩니다. GPO에 대한 그룹 정책 적용 권한을 사용자나 그룹에 부여하려면 관련 GPO에 대한 범위 탭에서 추가를 클릭한 다음 사용자나 그룹을 지정합니다. 사용자 또는 그룹의 이름이 보안 필터링 목록에 나타납니다. 범위 탭에서 사용자에게 보안 필터링 권한을 부여하면 실제로는 그룹 정책 읽기 및 적용 권한을 모두 설정하는 것입니다.

표 4에는 GPO에 대한 기본 보안 권한 설정이 정리되어 있습니다.

표 4. GPO에 대한 기본 보안 권한

보안 그룹 사용 권한

Authenticated Users

읽기(보안 필터링에서)

ENTERPRISE DOMAIN CONTROLLERS

읽기

Domain Admins, Enterprise Admins, Creator Owner, SYSTEM

보안 설정 편집, 삭제, 수정

note참고
관리자는 Authenticated Users 그룹에도 속하기 때문에 그룹 정책 적용 ACE(액세스 제어 항목)가 기본적으로 허용으로 설정됩니다. 따라서 GPO가 연결되는 컨테이너에 관리자가 있는 경우 관리자에게도 정책 설정이 적용됩니다.

사이트, 도메인 및 OU에 대한 그룹 정책 작업 위임

Active Directory에서 컨테이너 단위로 다음 세 가지 그룹 정책 작업(사용 권한)을 위임할 수 있습니다.

  • Active Directory 컨테이너(사이트, 도메인 또는 OU)에 GPO 연결

  • 해당 컨테이너(도메인 및 OU)에 있는 개체에 대한 그룹 정책 모델링 분석 수행

  • 컨테이너(도메인 및 OU)에 있는 개체에 대한 그룹 정책 결과 데이터 읽기

관리 작업을 위임하려면 GPMC를 사용하여 적절한 Active Directory 컨테이너에 대한 작업에 해당하는 사용 권한을 부여해야 합니다.

기본적으로 Domain Admins 그룹의 구성원은 도메인 및 OU에 대한 GPO 연결 권한을 가지며, 포리스트 루트 도메인에 있는 Enterprise Admins 및 Domain Admins 그룹의 구성원은 사이트 링크를 관리할 수 있습니다. GPMC를 사용하여 추가 그룹 및 사용자에게 사용 권한을 위임할 수 있습니다.

기본적으로 그룹 정책 모델링에 대한 액세스와 그룹 정책 결과 데이터에 대한 원격 액세스는 Enterprise Admins 및 Domain Admins 그룹의 구성원으로 제한됩니다. GPMC에서 적절한 사용 권한을 설정하여 이 데이터에 대한 액세스를 하위 수준의 관리자에게 위임할 수 있습니다.

다음 절차에서는 Active Directory 컨테이너에서 적절한 사용 권한을 수정하여 그룹 정책 관리 작업을 위임하는 방법에 대해 설명합니다.

사이트, 도메인 또는 OU에 대한 그룹 정책 관리 작업을 위임하려면

  1. GPMC에서 그룹 정책 관리 작업을 위임할 사이트, 도메인 또는 OU의 이름을 클릭합니다.

  2. 사이트, 도메인 또는 OU에 대한 세부 정보 창에서 위임 탭을 클릭합니다.

  3. 사용 권한 목록에서 GPO 연결, 그룹 정책 모델링 분석 수행 또는 그룹 정책 결과 데이터 읽기 중 하나를 클릭합니다. 사이트에는 GPO 연결만 사용할 수 있습니다.

  4. 작업을 새 사용자나 그룹에 위임하려면 추가를 클릭한 다음 추가할 사용자 또는 그룹을 지정합니다.

  5. 기존 사용 권한에 대한 적용 대상 설정을 수정하려면 즉, 특정 사용자나 그룹에 부여된 권한이 적용되는 Active Directory 컨테이너를 변경하려면 그룹 및 사용자 목록에서 사용자 또는 그룹을 마우스 오른쪽 단추로 클릭한 다음 이 컨테이너만 또는 이 컨테이너 및 하위 컨테이너를 클릭합니다.

  6. 지정된 사용 권한이 부여된 그룹 또는 사용자 목록에서 기존 그룹이나 사용자를 제거하려면 그룹 및 사용자 목록에서 제거할 사용자나 그룹을 클릭한 다음 제거를 클릭합니다. 이 작업을 수행하려면 Domain Admins 그룹의 구성원이어야 합니다.

  7. 사용자 지정 권한을 추가 또는 제거하려면

    1. 보안 탭에서 고급을 클릭합니다.

    2. 그룹 또는 사용자 이름에서 사용 권한을 변경할 사용자나 그룹을 클릭합니다.

    3. 필요한 경우 사용 권한에서 사용 권한을 수정한 다음 확인을 클릭합니다.

GPO 만들기 위임

도메인에서 GPO 만들기 기능은 도메인 단위로 관리되는 사용 권한입니다. 기본적으로 Domain Admins, Enterprise Admins, Group Policy Creator Owners 및 SYSTEM 그룹의 구성원만 새 GPO를 만들 수 있습니다.

Domain Admins 그룹의 구성원은 그룹이나 사용자에게 GPO 만들기를 위임할 수 있습니다. 다음과 같은 두 가지 방법으로 그룹이나 사용자에게 이 사용 권한을 부여할 수 있습니다. 두 방법 모두 동일한 사용 권한을 부여합니다.

  • Group Policy Creator Owners 그룹에 그룹이나 사용자를 추가합니다. 이 방법은 GPMC보다 먼저 사용할 수 있는 유일한 방법입니다.

  • GPMC를 사용하여 그룹이나 사용자에게 GPO 만들기 권한을 명시적으로 부여합니다. 이렇게 하려면 GPMC 콘솔 트리에서 그룹 정책 개체를 클릭하고 위임 탭을 클릭한 다음 필요한 경우 사용 권한을 수정합니다.

관리자가 아닌 Group Policy Creator Owners 그룹의 구성원이 GPO를 만들 경우 해당 사용자는 GPO의 만든 소유자가 되며, GPO에 대한 사용 권한을 편집하고 수정할 수 있습니다. 그러나 roup Policy Creator Owners 그룹의 구성원은 특정 사이트, 도메인 또는 OU에서 해당 권한이 별도로 위임된 경우가 아니면 GPO를 컨테이너에 연결할 수 없습니다. Group Policy Creator Owners 그룹의 구성원은 관리자가 아닌 사용자에게 자신이 만드는 GPO에 대해서만 모든 권한을 부여합니다. Group Policy Creator Owner 구성원은 자신이 직접 만들지 않은 GPO에 대한 사용 권한을 갖지 않습니다.

note참고
관리자가 GPO를 만드는 경우 Domain Admins 그룹의 구성원이 GPO의 만든 소유자가 됩니다. 기본적으로 Domain Admins 그룹의 구성원은 도메인의 모든 GPO를 편집할 수 있습니다.

GPO 연결 권한은 GPO 만들기 권한 및 GPO 편집 권한과 별도로 위임됩니다. 따라서 GPO를 만들고 연결할 그룹에 두 권한을 모두 위임해야 합니다. 기본적으로 도메인 관리자가 아닌 사용자는 링크를 관리할 수 없으므로 GPMC를 사용하여 GPO를 만들고 연결할 수 없습니다. 그러나 메인 관리자가 아닌 사용자가 Group Policy Creator Owners 그룹의 구성원인 경우 연결 해제된 GPO를 만들 수 있습니다. 도메인 관리자가 아닌 사용자가 연결 해제된 GPO를 만든 후에는 도메인 관리자나 컨테이너에 GPO를 연결하는 권한이 위임된 다른 사용자가 GPO를 적절히 연결할 수 있습니다.

Group Policy Creator Owners 그룹은 도메인 글로벌 그룹이므로 도메인 외부의 구성원을 포함할 수 없습니다. 따라서 도메인 외부의 사용자에게 GPO를 만들 수 있는 권한을 위임하려면 GPMC를 대신 사용하여 해당 사용자에게 적절한 권한을 명시적으로 부여해야 합니다.

이렇게 하려면 도메인에서 새 도메인 로컬 그룹(예: "GPCO - External")을 만들고 도메인에서 이 그룹에 GPO 만들기 권한을 부여한 다음 외부 도메인의 도메인 글로벌 그룹을 해당 그룹에 추가합니다. 사용자 및 그룹이 도메인 내부에 있는 경우 Group Policy Creator Owners 그룹을 계속 사용하여 GPO 만들기 권한을 부여해야 합니다.

WMI 필터 만들기 위임

WMI 필터를 만들기 위한 다음 두 가지 수준의 사용 권한을 사용자나 그룹에 위임할 수 있습니다.

  • 만든 소유자: 사용자나 그룹이 도메인에서 새 WMI 필터를 만들 수 있도록 허용하지만 다른 사용자가 만든 WMI 필터를 관리하는 권한을 사용자나 그룹에 부여하지 않습니다.

  • 모든 권한: 사용자나 그룹이 WMI 필터를 만들 수 있도록 허용하고, 사용자에게 이 사용 권한이 부여된 후에 만든 새 필터를 포함하여 도메인에 있는 모든 WMI 필터에 대한 모든 권한을 부여합니다.

GPMC를 사용하여 이러한 사용 권한을 위임할 수 있습니다. GPMC 콘솔 트리에서 WMI 필터를 클릭합니다. 세부 정보 창에서 위임 탭을 클릭한 다음 필요에 따라 사용 권한을 위임합니다.

개별 WMI 필터 관리 권한 위임

개별 WMI 필터를 관리하기 위한 다음 두 가지 수준의 사용 권한을 사용자나 그룹에 위임할 수 있습니다.

  • 편집: 사용자나 그룹이 선택된 WMI 필터를 편집할 수 있도록 허용합니다.

  • 모든 권한: 사용자 또는 그룹이 선택된 WMI 필터에 대한 보안을 편집, 삭제 및 수정할 수 있도록 허용합니다.

GPMC를 사용하여 이러한 사용 권한을 위임할 수 있습니다. GPMC 콘솔 트리에서 사용 권한을 위임할 WMI 필터를 클릭합니다. 세부 정보 창에서 위임 탭을 클릭한 다음 필요에 따라 사용 권한을 위임합니다.

모든 사용자는 모든 WMI 필터에 대한 읽기 권한을 가집니다. GPMC를 사용하여 이 사용 권한을 제거할 수 없습니다. 읽기 권한을 제거하면 대상 컴퓨터에서 처리 중인 그룹 정책이 실패합니다.

그룹 정책 운영 절차 정의

나중에 그룹 정책을 쉽게 관리할 수 있도록 GPO 변경이 공인되고 통제된 방식으로 이루어지도록 보장하는 운영 절차를 개발해야 합니다. 특히 모든 새 GPO와 기존 GPO의 변경 내용이 프로덕션 환경에 배포되기 전에 적절하게 준비되었는지 확인합니다. 또한 GPO를 정기적으로 백업해야 합니다.

조직에 따라 여러 팀에서 그룹 정책을 나누어서 관리하는 경우도 있습니다. 예를 들어 소프트웨어 개발 팀에서는 일반적으로 사용자 구성\정책\소프트웨어 설정\소프트웨어 설치컴퓨터 구성\정책\소프트웨어 설정\소프트웨어 설치에서 정책 설정을 담당합니다. 스크립트 및 폴더 리디렉션과 같은 항목과 관련된 나머지 정책 설정은 이 팀과 관련이 없습니다.

복잡성을 줄이고 오류 발생 가능성을 최소화하려면 관리자 그룹별로 별도의 GPO를 만들어 보십시오. 또는 관리자의 액세스를 변경 권한이 부여된 그룹 정책 부분으로 제한할 수 있습니다. 제한된/허가된 스냅인\확장 스냅인 정책 설정을 사용하여 관리자가 액세스할 수 있는 스냅인을 제한할 수 있습니다. 이 정책 설정은 사용자 구성\정책\관리 템플릿\Windows 구성 요소\Microsoft 관리 콘솔에서 GPO를 편집하는 경우에만 사용할 수 있습니다. 제한된/허가된 스냅인\확장 스냅인 정책 설정은 GPMC와 함께 제공되는 편집기를 사용하여 액세스할 수 있는 UI와 관련이 있습니다. 일부 팀에서는 여러 유형의 확장 스냅인에 액세스해야 할 수 있습니다.

note참고
MMC 정책 설정은 MMC를 사용하여 액세스할 수 있는 UI에만 영향을 줍니다. 그룹 정책을 프로그램 방식으로 편집할 경우 GPO 설정을 편집할 수 있습니다.

그룹 정책 설정에 대한 자세한 내용을 보려면 GPO를 편집할 때 세부 정보 창에서 정책 설정을 두 번 클릭한 다음 정책 속성 대화 상자에서 설명 탭을 클릭합니다. 확장 보기를 사용하는 경우 언제든지 정책 설정을 클릭하여 이 정보를 확인할 수 있습니다. 기본적으로 이 보기는 사용됩니다.

그룹 정책 편집을 위한 도메인 컨트롤러 지정

각 도메인에서 GPMC는 해당 도메인의 모든 작업에 동일한 도메인 컨트롤러를 사용합니다. 여기에는 해당 도메인에 있는 GPO에 대한 모든 작업 외에도 OU, 보안 그룹 등 다른 모든 개체에 대한 작업이 포함됩니다.

GPMC는 사이트의 모든 작업에 대해서도 동일한 도메인 컨트롤러를 사용합니다. 이 도메인 컨트롤러는 지정된 사이트에 있는 GOP 링크에 대한 정보를 읽고 쓰는 데 사용되지만, GPO 자체에 대한 정보는 해당 GOP를 호스팅하는 도메인의 도메인 컨트롤러에서 가져옵니다.

기본적으로 콘솔에 새 도메인을 추가하는 경우 GPMC는 해당 도메인의 작업에 대한 PDC(주 도메인 컨트롤러) 에뮬레이터 작업 마스터 역할을 보유하는 도메인 컨트롤러를 사용합니다. 또한 GPMC는 기본적으로 사용자 도메인의 PDC 에뮬레이터를 사용하여 사이트를 관리합니다.

관리자는 복제 충돌 방지를 위해 도메인 컨트롤러 선택을 고려해야 합니다. Active Directory와 Sysvol 둘 다에 GPO 데이터가 있으며 해당 GPO 데이터를 도메인의 여러 도메인 컨트롤러로 복제하는 데 독립 복제 메커니즘이 사용되기 때문에 도메인 컨트롤러 선택은 특히 중요합니다. 두 관리자가 서로 다른 도메인 컨트롤러에서 동일한 GPO를 동시에 편집할 경우 복제 대기 시간에 따라 한 관리자가 변경한 내용을 다른 관리자가 덮어쓸 수 있습니다.

이 문제를 방지하기 위해 GPMC에서 기본적으로 각 도메인의 PDC 에뮬레이터를 사용합니다. 그러면 모든 관리자가 동일한 도메인 컨트롤러를 사용하게 되고 데이터 손실을 방지할 수 있습니다. 그러나 관리자가 GPO 편집을 위해 PDC를 사용하는 것이 바람직하지 않은 경우도 있습니다. 예를 들어 관리자가 원격 사이트에 있거나 GPO의 대상 사용자나 컴퓨터가 대부분 원격 사이트에 있는 경우 관리자는 원격 위치에 있는 도메인 컨트롤러를 대상으로 선택할 수 있습니다. 예를 들어 관리자는 한국에 있고 PDC 에뮬레이터는 뉴욕에 있는 경우 WAN 링크를 사용하여 뉴욕 PDC 에뮬레이터에 액세스하는 것이 불편할 수 있습니다.

Important중요
여러 관리자가 공통 GPO를 관리하는 경우 모든 관리자가 특정 GPO를 편집할 때 동일한 도메인 컨트롤러를 사용해야 FRS의 충돌을 방지할 수 있습니다.

지정된 도메인 또는 포리스트의 모든 사이트에 사용할 도메인 컨트롤러를 지정하려면 GPMC에서 도메인 컨트롤러 변경 명령을 사용합니다. 어느 경우든 다음 네 가지 옵션을 사용할 수 있습니다.

  • PDC 에뮬레이터에 대한 작업 마스터 토큰이 있는 도메인 컨트롤러(기본 옵션)

  • 사용 가능한 모든 도메인 컨트롤러

  • Windows Server 2003 이상을 실행하는 사용 가능한 모든 도메인 컨트롤러

  • 다음 도메인 컨트롤러(이 경우 도메인 컨트롤러를 선택해야 함)

선택한 옵션은 옵션을 변경할 때까지 저장된 콘솔을 열 때마다 사용됩니다.

이 기본 설정은 .msc 파일에 저장되고 해당 .msc 파일을 열 때 사용됩니다. 읽기 전용 작업을 수행하는 경우가 아니면 사용 가능한 모든 도메인 컨트롤러 옵션은 일반적으로 사용하지 않습니다.

그룹 정책 처리 및 느린 연결

연결 속도가 지정된 임계값 아래로 떨어지면 그룹 정책이 적용되지 않는 경우가 있습니다. 따라서 그룹 정책 솔루션에 따라 원격 액세스나 느린 연결을 통해 정책을 적용해야 하는 경우 느린 연결 검색에 대한 정책 설정을 고려해야 합니다.

느린 연결과 원격 액세스는 서로 관련이 있지만 그룹 정책 처리는 각각 다릅니다. 컴퓨터가 LAN에 연결되어 있다고 해서 반드시 연결이 빠르고, 원격 액세스 연결이라고 해서 연결이 느린 것은 아닙니다. 기본적으로 그룹 정책은 속도가 500Kbps보다 느린 연결을 느린 연결로 간주합니다. 그룹 정책을 사용하여 이 임계값을 변경할 수 있습니다. 다음 섹션에서는 그룹 정책 처리 단계와 Windows Server 2008의 그룹 정책에서 연결 속도를 측정하는 방법에 대해 설명합니다.

그룹 정책 처리 단계

그룹 정책은 세 단계로 처리됩니다. 처리 단계마다 처리 시나리오의 하위 집합이 있습니다. 그룹 정책을 처리할 때 그룹 정책 서비스가 각 단계를 전환하는 과정에서 각 시나리오를 반복합니다. 그룹 정책 처리 단계는 다음과 같습니다.

  • 사전 처리 단계: 그룹 정책 처리의 시작 단계이며 그룹 정책을 처리하는 데 필요한 정보를 수집합니다.

  • 처리 단계: 사전 처리 단계에서 수집한 정보를 사용하여 각 그룹 정책 확장을 순환하면서 사용자나 컴퓨터에 정책 설정을 적용합니다.

  • 사후 처리 단계: 정책 처리 인스턴스의 종료를 보고하고 해당 인스턴스가 성공적으로 끝났는지, 처리 시 경고가 발생했는지 또는 실패했는지를 기록합니다.

그룹 정책 서비스는 도메인 컨트롤러와의 통신을 통해 컴퓨터 및 사용자 관련 정보를 검색합니다. 또한 도메인 컨트롤러를 사용하여 컴퓨터 또는 사용자 범위 내에서 GPO를 검색합니다.

그룹 정책에서 연결 속도를 측정하는 방법

Windows Server 2008의 그룹 정책에서는 느린 연결 검색 프로세스가 향상되었습니다. Windows Server 2003의 그룹 정책에서 클라이언트는 ICMP(Internet Control Message Protocol)를 통해 도메인 컨트롤러를 검색하여 도메인 컨트롤러의 가용성 및 클라이언트와 도메인 컨트롤러 간의 연결 속도를 확인합니다. Windows Server 2008에서 그룹 정책 서비스는 NLA(Network Location Awareness) 서비스를 통해 클라이언트와 도메인 컨트롤러 간 현재 TCP 트래픽을 샘플링하여 연결 속도를 확인합니다. 이 샘플링은 사전 처리 단계에서 수행됩니다.

그룹 정책 서비스는 도메인 컨트롤러가 검색되면 도메인 컨트롤러를 호스팅하는 네트워크 인터페이스에서 TCP 대역폭 샘플링을 바로 시작하도록 NLA 서비스에 요청합니다. 그룹 정책 서비스에서는 도메인 컨트롤러와 통신하여 컴퓨터 또는 사용자 범위 내에서 현재 컴퓨터(구성원 또는 도메인 컨트롤러), 로그온한 사용자 및 GPO의 역할을 검색함으로써 사전 처리 단계를 계속합니다. 그런 다음 TCP 트래픽 샘플링을 중지하고 샘플링을 기반으로 컴퓨터와 도메인 컨트롤러 간의 예상 대역폭을 제공하도록 NLA 서비스에 요청합니다. 위에서 설명했듯이 그룹 정책은 기본적으로 NLA 서비스 샘플링 속도가 500Kbps보다 느릴 경우 느린 연결로 간주합니다.

다음 섹션의 설명에 따라 그룹 정책 적용을 위해 정책 설정을 사용하여 느린 연결을 정의할 수 있습니다.

느린 연결 검색에 대한 그룹 정책 설정 지정

느린 연결을 통해 처리되는 그룹 정책 확장을 부분적으로 제어할 수 있습니다. 기본적으로 느린 연결을 통해 처리할 경우 그룹 정책의 일부 구성 요소가 처리되지 않습니다. 표 5에는 느린 연결을 통해 그룹 정책을 처리하는 기본 설정이 정리되어 있습니다.

표 5. 느린 연결을 통해 그룹 정책을 처리하는 기본 설정

설정 기본값

보안

켜기(사용하지 않도록 설정할 수 없음)

IP 보안

켜기

EFS

켜기

소프트웨어 제한 정책

켜기

무선

켜기

관리 템플릿

켜기(사용하지 않도록 설정할 수 없음)

소프트웨어 설치

끄기

스크립트

끄기

폴더 리디렉션

끄기

QoS 패킷 스케줄러

켜기

디스크 할당량

끄기

Internet Explorer 영역 매핑

켜기

IE 유지 관리

켜기

그룹 정책 기본 설정

켜기

Windows 검색

켜기

배포된 프린터 연결

끄기

802.3 그룹 정책

켜기

Microsoft 오프라인 파일

켜기

그룹 정책 적용 및 업데이트를 위해 그룹 정책 설정을 사용하여 느린 연결을 정의할 수 있습니다. 기본값은 500Kbps보다 느린 속도를 느린 연결로 정의합니다.

컴퓨터에 대한 그룹 정책 느린 연결 검색 설정을 지정하려면 GPO를 편집할 때 컴퓨터 구성\정책\관리 템플릿\시스템\그룹 정책에 있는 그룹 정책 느린 연결 검색 정책 설정을 사용합니다. 연결 속도의 측정 단위는 Kbps입니다.

사용자에 대해 이 정책 설정을 구성하려면 사용자 구성\정책\관리 템플릿\시스템\그룹 정책그룹 정책 느린 연결 검색 정책 설정을 사용합니다.

사용자 프로필에 대한 사용자 프로필에 대해 느린 네트워크 연결 시간 초과 정책 설정은 컴퓨터 구성\정책\관리 템플릿\시스템\사용자 프로필 노드에 있습니다. 그룹 정책에서 이 정책 설정을 사용하여 사용자 프로필을 호스팅하는 파일 서버의 네트워크 성능을 확인할 수 있습니다. 사용자 프로필을 어디에나 저장할 수 있고 서버에서 IP를 지원하지 않을 수도 있기 때문에 이 단계는 필수적입니다. 이 정책 설정을 구성할 때 연결 속도를 Kbps와 밀리초 모두로 지정해야 합니다.

Important중요
 

저속 네트워크 연결 검색 안 함 정책 설정을 사용하도록 설정하면 사용자 프로필에 대해 저속 네트워크 연결 시간 초과 정책 설정은 무시됩니다.

캐시된 로밍 프로필 복사본 삭제 정책 설정을 사용하도록 설정하면 시스템에서 느린 연결을 검색할 때 로드할 로밍 프로필의 로컬 복사본이 없습니다.

느린 연결로 처리할 클라이언트 쪽 확장에 대한 컴퓨터 정책 설정

그룹 정책은 거의 완전히 보안, 관리 템플릿, 폴더 리디렉션 등과 같은 일련의 클라이언트 쪽 확장으로 구현됩니다. 각 클라이언트 쪽 확장에 대해 느린 연결 동작을 구성할 수 있는 컴퓨터 정책이 있습니다. 이러한 정책 설정을 사용하여 그룹 정책을 처리할 때 클라이언트 쪽 확장의 동작을 지정할 수 있습니다. 정책 설정별로 최대 세 개의 옵션이 있습니다. 저속 네트워크 연결에서 처리 허용 옵션은 느린 연결을 통한 정책 설정 처리를 제어합니다. 다른 두 옵션은 정책 설정을 백그라운드에서 처리하지 않도록 지정하거나, 정책 설정이 변경되지 않은 경우에도 정책 설정을 업데이트하고 다시 적용하도록 지정하는 데 사용할 수 있습니다. 클라이언트 쪽 확장과 관련한 정책에 대한 자세한 내용은 이 가이드의 느린 연결 검색에 대한 그룹 정책 설정 지정을 참조하십시오.

일부 확장은 대량의 데이터를 이동하므로 느린 연결을 통해 처리할 경우 성능에 영향을 줄 수 있습니다. 기본적으로 관리 템플릿과 보안 관련 정책 설정만 느린 연결을 통해 처리됩니다.

그룹 정책 처리 설정을 구성할 수 있는 정책 설정은 다음과 같습니다.

  • 소프트웨어 설치

  • IP 보안

  • EFS 복구

  • 디스크 할당량

  • Internet Explorer 유지 관리

  • 스크립트

  • 폴더 리디렉션

  • 레지스트리

  • 보안

  • 유선

  • 무선

  • 그룹 정책 기본 설정

이러한 정책 설정에 대한 구성 방법에 대해서는 이 가이드의 뒷부분에 나오는 그룹 정책을 사용하여 클라이언트 쪽 확장 제어를 참조하십시오.

그룹 정책 및 원격 액세스 연결

원격 액세스 연결을 통한 그룹 정책 처리는 느린 연결을 통한 처리와 다릅니다. 원격 액세스 연결 중에 그룹 정책이 다음과 같이 적용됩니다.

  • 사용자가 원격 연결을 통해 대상 컴퓨터에 로그온하기 전에 원격 연결 옵션을 클릭하여 선택한 경우 컴퓨터가 원격 액세스 서버가 속하거나 신뢰하는 도메인의 구성원이면 사용자 그룹 정책 설정과 컴퓨터 그룹 정책 설정이 모두 적용됩니다. 그러나 컴퓨터 정책은 대개 로그온 화면이 나타나기 전에 처리되기 때문에 컴퓨터 기반 소프트웨어 설치 정책 설정은 처리되지 않고 컴퓨터 기반 시작 스크립트가 실행되지 않지만 원격 연결의 경우에는 로그온 프로세스 중에 다른 작업하면서 새로 고침으로 컴퓨터 정책 적용이 완료됩니다.

  • 캐시된 자격 증명 처리가 완료되고 원격 액세스 연결이 설정되면 그룹 정책이 적용되지 않습니다. 단, 다른 작업하면서 새로 고치는 동안은 예외입니다.

컴퓨터 정책은 작업 그룹에 속하는 컴퓨터에는 적용되지 않기 때문에 작업 그룹의 구성원인 컴퓨터에는 그룹 정책이 적용되지 않습니다.

그룹 정책을 사용하여 클라이언트 쪽 확장 제어

대상 컴퓨터에서 그룹 정책 설정의 처리와 적용을 담당하는 클라이언트 쪽 확장(일반적으로 .dll 파일로 구현됨)은 여러 그룹 정책 구성 요소에 포함되어 있습니다.

각 클라이언트 쪽 확장에 대한 GPO 처리 순서는 처리 중에 그룹 정책 엔진을 통해 결정되는 GPO 목록에서 가져옵니다. 각 클라이언트 쪽 확장은 GPO의 결과 목록을 처리합니다.

컴퓨터 정책은 각 그룹 정책 클라이언트 쪽 확장의 동작을 제어하기 위해 존재합니다. 각 정책에는 최대 세 개의 옵션이 포함되어 있고 일부 정책에는 특정 구성 옵션이 포함되어 있습니다. 컴퓨터 구성\정책\관리 템플릿\시스템\그룹 정책 폴더를 열고 클라이언트 쪽 확장에 대한 정책을 두 번 클릭하여 GPO를 편집할 때 해당 확장에 대한 컴퓨터 정책을 구성할 수 있습니다.

설정할 수 있는 컴퓨터 정책 옵션은 다음과 같습니다.

  • 저속 네트워크 연결에서 처리 허용. 몇몇 확장은 대량의 데이터를 전송하므로 느린 연결을 통해 처리할 경우 성능이 저하될 수 있습니다. 기본적으로 관리 템플릿과 보안 정책 설정만 느린 연결을 통해 처리됩니다. 다른 클라이언트 쪽 확장도 느린 연결을 통해 처리하도록 이 정책을 설정할 수 있습니다. 느린 연결로 간주할 조건을 제어하려면 그룹 정책 느린 연결 검색 정책 설정을 사용합니다. 자세한 내용은 이 가이드의 느린 연결 검색에 대한 그룹 정책 설정 지정을 참조하십시오.

  • 정기적인 백그라운드 작업을 처리하는 동안 적용 안 함. 시작할 때와 이후 90분 간격으로 컴퓨터 정책을 적용합니다. 또한 사용자가 컴퓨터에 로그온할 때와 이후 약 90분 간격으로 백그라운드에서 사용자 정책을 적용합니다. 정기적인 백그라운드 작업을 처리하는 동안 적용 안 함 옵션을 사용하여 이 동작을 무시하고 그룹 정책이 백그라운드로 실행되지 않게 할 수 있습니다.

note참고
사용자가 응용 프로그램과 파일을 열어 둔 상태에서 그룹 정책을 백그라운드에서 처리할 경우 위험하므로, 소프트웨어 설치 및 폴더 리디렉션 확장에서는 시작할 때와 사용자가 네트워크에 로그온할 때에만 그룹 정책을 처리합니다.

  • 변경되지 않아도 그룹 정책 개체 처리. 서버의 GPO가 변경되지 않은 경우 가능한 로컬 변경 내용을 무시하려는 경우를 제외하고 일반적으로 GPO를 대상 컴퓨터에 계속해서 다시 적용할 필요가 없습니다. 로컬 관리자로 실행 중인 사용자가 그룹 정책 설정이 저장되는 레지스트리 부분을 수정할 수도 있기 때문에 필요한 경우 로그온 프로세스 중이나 정기적인 백그라운드 처리 중에 이러한 정책 설정을 다시 적용하여 컴퓨터를 원하는 상태로 되돌릴 수 있습니다.

예를 들어 그룹 정책에서 파일에 대한 특정 보안 옵션 집합을 정의한다고 가정합니다. 관리 자격 증명이 있는 사용자가 로그온하여 이러한 보안 옵션을 변경합니다. 정책을 다음에 새로 고칠 때 그룹 정책에 지정된 보안 옵션이 다시 적용되도록 변경되지 않아도 그룹 정책 개체 처리 옵션을 설정할 수 있습니다. 동일한 고려 사항이 응용 프로그램에도 적용됩니다. 이 옵션을 사용하도록 설정하면 그룹 정책에서 응용 프로그램을 설치하지만 사용자가 응용 프로그램을 제거하거나 아이콘을 삭제하는 경우 사용자가 컴퓨터에 다음에 로그온할 때 응용 프로그램이 다시 보급됩니다.

기본적으로 그룹 정책에서 제공하는 보안 정책 설정은 GPO가 변경되지 않더라도 16시간(960분) 간격으로 적용됩니다. 다음 하위 키의 MaxNoGPOListChangesInterval 레지스트리 항목을 사용하여 이 기본 기간을 변경할 수 있습니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon \GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}.

이 항목의 데이터 형식은 REG_DWORD이고 값은 시간(분)입니다.

Caution주의
레지스트리를 잘못 편집하면 시스템에 심각한 손상을 줄 수 있으므로 레지스트리를 변경하려면 먼저 컴퓨터에 있는 중요한 데이터를 백업해야 합니다.

그룹 정책 및 Sysvol

GPO의 정책 설정 정보는 도메인 컨트롤러의 Sysvol 폴더와 Active Directory에 저장됩니다. Active Directory 컨테이너는 그룹 정책 컨테이너라고도 하며 Sysvol 폴더에는 그룹 정책 템플릿이 있습니다. 그룹 정책 컨테이너에는 도메인, OU 및 사이트에 GPO를 배포하는 데 사용되는 속성이 포함되어 있습니다. 대부분의 그룹 정책 설정이 저장되는 그룹 정책 템플릿에 대한 경로도 여기에 포함되어 있습니다.

그룹 정책 템플릿에 저장되는 정보로는 보안 설정, 스크립트 파일, 응용 프로그램 배포 정보, 기본 설정, 관리 템플릿 기반 그룹 정책 설정 등이 있습니다. 관리 템플릿(.ADMX 파일)은 관리 템플릿 아래에 표시되는 항목에 대한 그룹 정책 설정 정보를 제공합니다. Windows Server 2008에 대한 그룹 정책의 경우 로컬로 또는 중앙에서 관리 템플릿을 Sysvol에 저장할 수 있습니다. 관리 템플릿을 중앙에서 저장하려면 먼저 해당 도메인 컨트롤러의 Sysvol 공유에 PolicyDefinitions 폴더를 만든 다음 도메인 전체에 적용할 관리 템플릿 파일을 이 폴더에 복사해야 합니다.

note
Sysvol의 업데이트 내용은 도메인에 있는 모든 도메인 컨트롤러에 복제되므로 이로 인해 도메인 컨트롤러의 네트워크 트래픽과 부하가 증가합니다. 따라서 도메인에서 이 작업의 영향을 최소화하려면 주요 업무 시간을 피하여 관리 템플릿을 Sysvol에 복사하도록 예약하는 것이 좋습니다.

Windows Server 2008 및 Windows Vista의 관리 템플릿 파일은 .ADMX(언어 중립) 파일과 .ADML(언어별) 파일로 나뉩니다. 이 두 파일 형식은 독점 표시 언어를 사용하는 이전 버전의 Windows에 사용된 .ADM 파일 형식을 대체합니다. .ADML 파일은 특정 언어 관련 폴더에 저장되는 XML 기반 ADM 언어 파일입니다. 예를 들어 한국어 .ADML 파일은 "ko-KR" 폴더에 저장됩니다. 기본적으로 로컬 컴퓨터의 %Systemroot%\PolicyDefinitions 폴더에는 컴퓨터에서 사용되는 모든 언어에 대한 .ADMX 파일과 .ADML 파일이 모두 저장됩니다.

Windows Server 2008용 관리 템플릿 파일을 다운로드하려면 Windows Server 2008용 관리 템플릿(ADMX)(http://go.microsoft.com/fwlink/?LinkId=116434)(페이지는 영문일 수 있음)을 참조하십시오.

ADMX 파일을 Sysvol 폴더에 저장할 경우의 이점

관리 템플릿 중앙 저장소를 만들어 사용할 경우 두 가지 주요 이점이 있습니다. 첫 번째 이점은 도메인 관리 템플릿에 대한 복제된 중앙 저장소 위치입니다. Windows Server 2008에 포함된 GPMC에서는 로컬 버전의 관리 템플릿에 대해 항상 관리 템플릿 중앙 저장소를 사용합니다. 따라서 전체 도메인에 대해 하나의 승인된 관리 템플릿 집합을 제공할 수 있습니다.

관리 템플릿을 Sysvol 폴더에 저장할 경우의 또 다른 이점은 다양한 언어로 제공되는 관리 템플릿입니다. 이는 여러 국가에 걸쳐 있거나 여러 언어를 사용하는 환경에서 특히 유용합니다. 예를 들어 관리 템플릿을 Sysvol 폴더에 저장하면 도메인의 한 관리자는 관리 템플릿 정책 설정을 영어로 보고, 같은 도메인의 다른 관리자는 동일한 정책 설정을 프랑스어로 볼 수 있습니다.

ADMX 파일을 관리하는 방법과 중앙 저장소를 만드는 방법에 대해서는 그룹 정책 ADMX 파일 단계별 가이드(http://go.microsoft.com/fwlink/?LinkId=75124)(페이지는 영문일 수 있음)를 참조하십시오.

ADMX 파일을 Sysvol 폴더에 저장할 경우의 단점

관리 템플릿 중앙 저장소를 만들어 사용하면 큰 이점이 있지만 약간의 단점도 있습니다. GPO를 편집, 모델링 또는 보고할 때 GPMC에서 전체 관리 템플릿 파일 집합을 읽습니다. 따라서 GPMC는 네트워크 전체에서 이러한 파일을 읽어야 합니다. 관리 템플릿 중앙 저장소를 만들 경우 GPMC를 항상 가장 가까운 도메인 컨트롤러에 연결해야 합니다.

note참고
중앙 저장소에서 발생하는 추가 네트워크 트래픽은 GPMC 사용자로 제한됩니다. 그룹 정책을 적용하고 처리하는 클라이언트는 관리 템플릿을 읽지 않습니다.

Sysvol 업데이트

Windows Vista 이전 버전의 Microsoft Windows용 그룹 정책에서는 로컬 컴퓨터에서 관리 템플릿 정책 설정을 수정하면 도메인 내의 도메인 컨트롤러에 있는 Sysvol 공유가 새 ADM 파일로 자동 업데이트됩니다. Windows Server 2008 및 Windows Vista용 그룹 정책에서는 로컬 컴퓨터에서 관리 템플릿 정책 설정을 수정하면 Sysvol이 새 ADMX 또는 ADML 파일로 자동 업데이트되지 않습니다. 네트워크 부하 및 디스크 저장소 요구 사항을 줄이고, 관리 템플릿 정책 설정을 여러 로캘로 편집할 때 ADMX 파일과 ADML 파일 간의 충돌을 방지하도록 이 동작이 변경되었습니다. 로컬 업데이트가 Sysvol에도 반영되게 하려면 업데이트된 ADMX 또는 ADML 파일을 로컬 컴퓨터의 PolicyDefinitions 폴더에서 해당 도메인 컨트롤러의 Sysvol\PolicyDefinitions 폴더로 직접 복사해야 합니다.

그룹 정책 새로 고침 간격 변경

정책 설정 컴퓨터에 대한 그룹 정책 새로 고침 간격, 도메인 컨트롤러에 대한 그룹 정책 새로 고침 간격, 사용자에 대한 그룹 정책 새로 고침 간격 중 하나를 사용하여 기본 새로 고침 정책 간격 설정을 변경할 수 있습니다. 이러한 정책 설정을 사용하여 0분에서 64,800분(45일) 사이의 업데이트 속도를 지정할 수 있습니다.

Important중요
새로 고침 간격을 0분으로 설정하면 컴퓨터에서 7초마다 그룹 정책을 업데이트합니다. 이러한 업데이트로 인해 사용자 작업이 방해를 받고 네트워크 트래픽이 증가하기 때문에 매우 짧은 업데이트 간격은 테스트 환경에서만 적절합니다.

컴퓨터를 사용 중일 때 그룹 정책이 업데이트되지 않도록 하려면 다른 작업하면서 그룹 정책을 새로 고칠 수 없음 정책 설정을 사용합니다. 이 정책 설정을 사용하면 현재 사용자가 시스템에서 로그오프한 이후에 그룹 정책 설정이 업데이트됩니다.

컴퓨터에 대한 그룹 정책 새로 고침 간격

이 정책 설정은 Windows에서 컴퓨터에 대한 그룹 정책을 백그라운드로 업데이트하는 빈도를 지정합니다. 컴퓨터 그룹 정책 설정에 대해서만 백그라운드 업데이트 속도를 지정합니다. Windows에서는 기본적으로 0–30분의 임의 오프셋을 사용하여 90분마다 컴퓨터 그룹 정책을 백그라운드로 업데이트합니다. 백그라운드 업데이트 외에도 컴퓨터 그룹 정책은 시스템이 시작될 때마다 업데이트됩니다. 이 정책 설정은 컴퓨터 구성\정책\관리 템플릿\시스템\그룹 정책에서 사용할 수 있습니다.

도메인 컨트롤러에 대한 그룹 정책 새로 고침 간격

이 정책 설정은 Windows에서 도메인 컨트롤러의 그룹 정책을 백그라운드로 업데이트하는 빈도를 지정합니다. 기본적으로 Windows에서는 도메인 컨트롤러의 그룹 정책을 5분마다 업데이트합니다. 이 정책 설정은 컴퓨터 구성\정책\관리 템플릿\시스템\그룹 정책에서 사용할 수 있습니다.

사용자에 대한 그룹 정책 새로 고침 간격

이 정책 설정은 Windows에서 사용자 그룹 정책 설정에 대해서만 그룹 정책을 백그라운드로 업데이트하는 빈도를 지정합니다. 백그라운드 업데이트 외에도 사용자 그룹 정책은 사용자가 로그온할 때마다 업데이트됩니다. 이 정책은 사용자 구성\정책\관리 템플릿\시스템\그룹 정책에서 사용할 수 있습니다.

다른 작업하면서 그룹 정책을 새로 고칠 수 없음

이 정책 설정은 컴퓨터를 사용 중일 때 Windows에서 그룹 정책 설정을 적용하지 못하도록 합니다. 정책 설정은 컴퓨터, 사용자 및 도메인 컨트롤러에 대한 그룹 정책에 적용됩니다. 이 정책 설정은 컴퓨터 구성\정책\관리 템플릿\시스템\그룹 정책 항목에서 사용할 수 있습니다.

명령줄 옵션을 실행하여 정책 새로 고침

지정된 컴퓨터에서 Gpupdate.exe 도구를 사용하여 해당 컴퓨터에 배포되는 정책 설정을 새로 고칠 수 있습니다. 표 6에는 Gpupdate.exe에 대한 매개 변수가 정리되어 있습니다. Gpupdate.exe 도구는 Windows Server 2008, Windows Vista, Windows Server 2003 및 Windows XP 환경에서 사용됩니다.

Gpudate.exe 도구에 사용되는 구문은 다음과 같습니다.

gpupdate [/target:{computer|user}] [/force] [/wait:value] [/logoff] [/boot] [/sync]

표 6 Gpudate.exe 매개 변수

매개 변수 설명

/target:{computer|user}

지정한 대상에 따라 Gpupdate.exe는 컴퓨터 정책 설정, 현재 사용자 정책 설정 또는 둘 다 처리합니다. 기본적으로 컴퓨터 정책 설정과 사용자 정책 설정이 모두 처리됩니다.

/force

모든 정책 설정을 다시 적용하고 처리 최적화를 무시합니다. 기본적으로 변경된 정책 설정만 적용됩니다.

/wait:value

정책 처리가 완료되기를 기다리는 시간(초)을 지정합니다. 기본값은 600초입니다. 값이 0이면 기다리지 않고 -1이면 무기한으로 기다립니다.

/logoff

정책 새로 고침이 완료된 후 로그오프합니다. 다른 작업하면서 새로 고침 주기에서 처리되지 않고 사용자가 로그온할 때 처리되는 그룹 정책 클라이언트 쪽 확장에 필요합니다(예: 사용자 소프트웨어 설치 및 폴더 리디렉션). 이 옵션은 사용자 로그오프를 필요로 하는 확장이 없는 경우에는 효과가 없습니다.

/boot

정책 새로 고침이 완료된 후 컴퓨터를 다시 시작합니다. 다른 작업하면서 새로 고침 주기에서 처리되지 않고 컴퓨터 시작 시 처리되는 그룹 정책 클라이언트 쪽 확장에 필요합니다(예: 컴퓨터 소프트웨어 설치). 이 옵션은 컴퓨터 다시 시작을 필요로 하는 확장이 없는 경우에는 효과가 없습니다.

/sync

다음 포그라운드 정책 적용을 강제로 동기화합니다. 컴퓨터를 시작할 때와 사용자가 로그온할 때 포그라운드 그룹 정책 처리가 수행됩니다. /target 매개 변수를 사용하여 사용자, 컴퓨터 또는 둘 다에 대한 포그라운드 정책 적용을 지정할 수 있습니다. 이 매개 변수와 /force 및 /wait 매개 변수를 지정할 경우 /force 및 /wait 매개 변수는 무시됩니다.

/?

명령 프롬프트에서 도움말을 표시합니다.

그룹 정책 모델링 및 그룹 정책 결과를 사용하여 그룹 정책 설정 평가

프로덕션 환경에서 그룹 정책을 배포하기 전에 개별적으로 또는 조합으로 구성한 정책 설정의 효과를 확인해야 합니다. 그룹 정책 배포를 평가하는 기본 메커니즘은 준비 환경을 만든 다음 테스트 계정을 사용하여 로그온하는 것입니다. 이 방법은 적용된 모든 GPO 설정의 영향과 상호 작용을 이해하는 데 가장 좋은 방법입니다. 그룹 정책 배포 준비는 관리되는 환경을 성공적으로 구축하는 데 매우 중요합니다. 자세한 내용은 이 가이드의 그룹 정책 배포 준비를 참조하십시오.

Active Directory 네트워크에 Windows Server 2008 도메인 컨트롤러가 하나 이상 있는 경우 GPMC에서 그룹 정책 모델링을 사용하여 대상 컴퓨터에 대한 GPO 배포를 시뮬레이트할 수 있습니다. 실제 GPO 적용을 보는 기본 도구로 GPMC에서 그룹 정책 결과를 사용합니다.

그룹 정책 모델링을 사용하여 정책 결과 집합 시뮬레이트

GPMC의 그룹 정책 모델링 마법사는 GPO의 시뮬레이션 효과를 측정합니다. 그룹 정책 모델링은 보안 그룹 구성원 자격, WMI 필터 평가, 사용자 또는 컴퓨터 개체를 다른 Active Directory 컨테이너로 이동 시 효과 등과 같은 요소를 시뮬레이트할 수도 있습니다. 시뮬레이션은 Windows Server 2008 또는 Windows Server 2003을 실행하는 도메인 컨트롤러에서 실행되는 서비스를 통해 수행됩니다. 이러한 계산된 정책 설정은 HTML로 보고되고 선택된 쿼리에 대한 세부 정보 창에 있는 설정 탭의 GPMC에 표시됩니다. 각 항목에서 정책 설정을 확장하거나 숨기려면 숨기기 또는 모두 표시를 클릭하여 정책 설정을 모두 보거나 일부만 볼 수 있습니다. 그룹 정책 모델링을 수행하려면 Windows Server 2008 또는 Windows Server 2003을 실행하는 도메인 컨트롤러가 하나 이상 있고, 쿼리를 실행할 개체를 포함하는 도메인 또는 OU에 대한 그룹 정책 모델링 분석 수행 권한이 있어야 합니다.

마법사를 실행하려면 GPMC 콘솔 트리에서 그룹 정책 모델링 또는 Active Directory 컨테이너를 마우스 오른쪽 단추로 클릭한 다음 그룹 정책 모델링 마법사를 클릭합니다. Active Directory 컨테이너에서 마법사를 실행하면 마법사가 사용자 및 컴퓨터에 대한 컨테이너 필드를 해당 컨테이너의 LDAP(Lightweight Directory Access Protocol) 고유 이름으로 채웁니다.

마법사를 완료하면 결과가 단일 GPO의 결과처럼 표시됩니다. 또한 결과는 쿼리로 저장되고 GPMC에 그룹 정책 모델링이라는 새 항목으로 표시됩니다. 최우선 GPO 제목 아래에 각 정책 설정을 담당하는 GPO도 표시됩니다. 또한 쿼리 항목을 마우스 오른쪽 단추로 클릭한 다음 고급 보기를 클릭하여 자세한 우선 순위 정보(예: 정책 설정을 지정하려고 시도했지만 성공하지 못한 GPO)를 볼 수 있습니다. 그러면 정책 결과 집합 스냅인이 열립니다. 정책 결과 집합에서 정책 설정에 대한 속성을 보면 각 정책 설정에 우선 순위 탭이 있습니다.

로컬 GPO 평가는 그룹 정책 모델링에 포함되지 않습니다. 따라서 시뮬레이션과 실제 결과가 다른 경우도 있습니다. 쿼리를 마우스 오른쪽 단추로 클릭한 다음 보고서 저장을 클릭하여 모델링 결과를 저장할 수 있습니다.

note참고
Windows Server 2008 및 Windows Vista에는 로컬 그룹 정책 개체 처리 안 함이라는 새 정책 설정이 있습니다. 이 설정을 사용하여 로컬 그룹 정책 처리를 사용하지 않도록 설정할 수 있습니다. 이 정책 설정은 컴퓨터 구성\정책\관리 템플릿\시스템\그룹 정책에 있습니다.

그룹 정책 결과를 사용하여 정책 결과 집합 확인

그룹 정책 결과 마법사를 통해 대상 컴퓨터에서 RSoP 데이터를 가져와서 사용자 또는 컴퓨터에 적용되는 그룹 정책 설정을 확인할 수 있습니다. 그룹 정책 모델링과 달리 그룹 정책 결과에는 대상 컴퓨터에 적용된 실제 그룹 정책 설정이 표시됩니다. 대상 컴퓨터에서 Windows XP Professional 이상을 실행해야 합니다.

정책 설정은 HTML로 보고되며 선택된 쿼리의 세부 정보 창의 요약설정 탭에 있는 GPMC 브라우저 창에 표시됩니다. 숨기기 또는 모두 표시를 클릭하여 각 항목 아래의 정책 설정을 확장하거나 숨겨서 정책 설정을 모두 보거나 일부만 볼 수 있습니다. 사용자 또는 컴퓨터에 대한 그룹 정책 결과 데이터에 원격으로 액세스하려면 사용자나 컴퓨터를 포함하는 도메인 또는 OU에 대한 그룹 정책 결과 데이터 원격 액세스 권한이 있거나, 해당 컴퓨터에서 로컬 Administrators 그룹의 구성원이고 대상 컴퓨터에 네트워크로 연결되어 있어야 합니다.

그룹 정책 결과 항목을 마우스 오른쪽 단추로 클릭한 다음 그룹 정책 결과 마법사를 클릭하여 마법사를 실행할 수 있습니다.

마법사를 완료하면 GPMC에서 마법사에 지정된 사용자 및 컴퓨터에 대한 RSoP 데이터를 보여 주는 보고서를 만듭니다. 설정 탭의 최우선 GPO 제목 아래에 각 정책 설정을 담당하는 GPO가 표시됩니다.

쿼리를 마우스 오른쪽 단추로 클릭한 다음 보고서 저장을 클릭하여 결과를 저장할 수 있습니다.

Gpresult.exe를 사용하여 정책 설정 평가

로컬 컴퓨터에서 Gpresult.exe를 실행하여 GPMC에서 그룹 정책 결과 마법사를 사용할 때와 동일한 데이터를 가져올 수 있습니다. 기본적으로 Gpresult.exe는 실행되는 컴퓨터에 적용되는 정책 설정을 반환합니다.

예를 들어 Server 2008 및 Windows Vista 서비스 팩 1의 Gpresult.exe에서는 다음 구문을 사용합니다.

gpresult [/s <컴퓨터> [/u <도메인>\<사용자> /p <암호>]] [/scope {user|computer}] [/user <대상 사용자 이름>] [/r | /v | /z] [/x | /h <파일 이름> [/f]]

표 7에는 Gpresult.exe의 매개 변수가 정리되어 있습니다.

표 7 Gpresult.exe 매개 변수

매개 변수 설명

/s <컴퓨터>

원격 컴퓨터의 이름이나 IP 주소를 지정합니다. 백슬래시를 사용하지 마십시오. 기본값은 로컬 컴퓨터입니다.

/u <도메인>\<사용자>

<사용자> 또는 <도메인\사용자>에 지정된 사용자의 계정 권한을 사용하여 명령을 실행합니다. 기본값은 명령을 실행하는 컴퓨터에 현재 로그온한 사용자의 권한을 사용하는 것입니다.

/p <암호>

/u 매개 변수에 지정된 사용자 계정의 암호를 지정합니다.

/scope {user | computer}

사용자 또는 컴퓨터 결과를 표시합니다. 유효한 /scope 매개 변수 값은 user 또는 computer입니다. /scope 매개 변수를 생략하고 Gpresult를 실행하면 사용자 정책 설정과 컴퓨터 정책 설정이 모두 표시됩니다.

/user <대상 사용자 이름>

RSoP 데이터를 표시할 사용자의 이름을 지정합니다.

/r

RSoP 요약 데이터를 표시합니다.

/v

출력에 자세한 정책 정보를 표시하도록 지정합니다.

/z

출력에 그룹 정책에 대한 모든 사용 가능한 정보를 표시하도록 지정합니다. 이 매개 변수는 /v 매개 변수보다 많은 정보를 생성하기 때문에 이 매개 변수를 사용할 때 출력을 텍스트 파일로 리디렉션하십시오(예: gpresult /z >policy.txt).

/x <파일 이름>

<파일 이름> 매개 변수에 지정된 파일 이름을 사용하여 해당 위치에 XML 형식의 보고서를 저장합니다(

Windows Server 2008 및 Windows Vista SP1에 해당).

/h <파일 이름>

<파일 이름> 매개 변수에 지정된 파일 이름을 사용하여 해당 위치에 HTML 형식의 보고서를 저장합니다(

Windows Server 2008 및 Windows Vista SP1에 해당).

/f

Gpresult를 강제로 실행하여 /x 또는 /h 매개 변수에 지정된 파일 이름을 덮어씁니다.

/?

명령 프롬프트에서 도움말을 표시합니다.

컴퓨터에서 Gpresult.exe를 실행하려면

  1. 관리자 권한 명령 프롬프트를 엽니다. 관리자 권한 명령 프롬프트를 열려면 시작을 클릭하고 명령 프롬프트를 마우스 오른쪽 단추로 클릭한 다음 관리자 권한으로 실행을 클릭합니다.

  2. 명령 프롬프트에서 gpresult /h gpresult.html /f를 입력합니다.

  3. 명령 프롬프트에서 Start gpresult.html을 입력하여 파일을 봅니다.

GPO 백업, 복원, 마이그레이션 및 복사

GPMC는 GPO 백업, 복원, 마이그레이션 및 복사 메커니즘을 제공합니다. 이러한 기능은 오류나 재해가 발생한 경우 그룹 정책 배포를 유지 관리하는 데 매우 중요합니다. 이러한 기능을 사용하면 손실되거나 손상된 GPO를 수동으로 다시 만든 다음 계획, 테스트 및 배포 단계를 반복할 필요가 없습니다. 지속적인 그룹 정책 작업 계획에는 모든 GPO의 정기적인 백업이 포함됩니다. 모든 그룹 정책 관리자에게 GPMC를 사용하여 GPO를 복원하는 방법을 알려줍니다.

GPMC를 사용하여 동일한 도메인과 도메인 전체에서 GPO를 복사하거나 가져올 수도 있습니다. 예를 들어 GPMC를 사용하여 기존 도메인에서 새로 배포된 도메인으로 기존 GPO를 마이그레이션할 수 있습니다. 한 GPO에서 다른 GPO로 GPO를 복사하거나 정책 설정을 가져올 수 있습니다. 이렇게 하면 기존 GPO의 내용을 다시 사용할 수 있으므로 시간을 절약하고 문제를 줄일 수 있습니다. 환경 간에 적절한 트러스트 관계를 구성한 경우 GPO를 복사하여 준비 단계에서 생산 단계로 직접 이동할 수 있습니다. GPO 가져오기를 사용하면 정책 설정을 백업 GPO에서 기존 GPO로 전송할 수 있으므로 원본 도메인과 대상 도메인 간에 트러스트 관계가 없는 경우에 특히 유용합니다. 기존 GPO를 다시 사용하려면 복사를 사용하여 GPO를 프로덕션 환경에서 다른 프로덕션 환경으로 편리하게 이동할 수 있습니다.

GPMC를 사용하여 GPO 작업

GPO 백업을 만들려면 최소한 GPO에 대한 읽기 권한과 백업이 저장되는 폴더에 대한 쓰기 권한이 있어야 합니다. 아래 절차에서 다루는 항목을 확인하려면 그림 6을 참조하십시오.

d70b2aa1-5fd2-410f-afaa-670c89b85c24

GPMC를 사용하여 GPO 백업 수행 및 보기

백업 작업에서는 프로덕션 GPO를 파일 시스템에 백업합니다. 쓰기 권한이 있는 아무 폴더나 백업 위치로 사용할 수 있습니다. GPO를 백업한 후 GPMC UI를 사용하거나 프로그램 방식으로 스크립트를 사용하여 GPMC를 통해 백업 폴더의 내용을 표시하고 조작해야 합니다. 파일 시스템을 통해 보관된 GPO와 직접 상호 작용할 수 없습니다. GPO가 백업된 후에는 GPMC의 가져오기 및 복원 작업을 사용하여 보관된 GPO를 처리합니다.

note참고
GPMC는 각 백업 인스턴스를 고유하게 식별하고 작업할 보관된 GPO의 인스턴스를 선택할 수 있는 메커니즘을 제공하기 때문에 동일한 GPO의 여러 인스턴스를 동일한 위치에 백업할 수 있습니다. 예를 들어 GPMC를 통해 백업 폴더의 내용을 볼 때 최신 백업만 표시하도록 선택할 수 있습니다. 이 기능은 GPO를 변경한 후에 백업을 만들고 나중에 해당 GPO의 이전 백업을 복원해야 하는 경우에 유용합니다.

도메인의 모든 GPO를 백업하려면

  1. GPMC 콘솔 트리에서 백업할 GPO가 포함된 포리스트나 도메인을 확장합니다.

  2. 그룹 정책 개체를 마우스 오른쪽 단추로 클릭한 다음 모두 백업을 클릭합니다.

  3. 그룹 정책 개체 백업 대화 상자에 GPO 백업을 저장할 위치의 경로를 입력합니다. 또는 찾아보기를 클릭하여 GPO 백업을 저장할 폴더를 찾은 다음 확인을 클릭할 수 있습니다.

  4. 백업할 GPO에 대한 설명을 입력한 다음 백업을 클릭합니다.

  5. 백업 작업이 완료되면 요약에 성공적으로 백업된 GPO 수와 백업되지 않은 GPO가 나열됩니다.

  6. 확인을 클릭합니다.

특정 GPO를 백업하려면

  1. GPMC 콘솔 트리에서 백업할 GPO가 포함된 포리스트나 도메인의 그룹 정책 개체를 확장합니다.

  2. 백업할 GPO를 마우스 오른쪽 단추로 클릭한 다음 백업을 클릭합니다.

  3. 그룹 정책 개체 백업 대화 상자에 GPO 백업을 저장할 위치의 경로를 입력합니다. 또는 찾아보기를 클릭하여 GPO 백업을 저장할 폴더를 찾은 다음 확인을 클릭할 수 있습니다.

  4. 백업할 GPO에 대한 설명을 입력한 다음 백업을 클릭합니다.

  5. 백업 작업이 완료되면 요약에 백업이 성공했는지 여부가 표시됩니다.

  6. 확인을 클릭합니다.

GPO 백업 목록을 보려면

  1. GPMC 콘솔 트리에서 백업할 GPO가 포함된 포리스트나 도메인을 확장합니다.

  2. 그룹 정책 개체를 마우스 오른쪽 단추로 클릭한 다음 백업 관리를 클릭합니다.

  3. 백업 관리 대화 상자에 보려는 GPO 백업을 저장한 위치의 경로를 입력합니다. 또는 찾아보기를 클릭하여 GPO 백업이 포함된 폴더를 찾은 다음 확인을 클릭할 수 있습니다.

  4. 최신 버전의 GPO만 백업된 GPO 목록에 표시하도록 지정하려면 각 GPO의 최신 버전만 표시 확인란을 선택합니다. 닫기를 클릭합니다.

Important중요
권한 있는 관리자만 GPO를 저장한 폴더에 액세스할 수 있도록 하여 백업된 GPO를 보안해야 합니다. GPO가 백업되는 파일 시스템에 대한 보안 권한을 사용하십시오.

GPMC를 사용하여 GPO 복원

GPO를 복원할 수도 있습니다. 이 작업에서는 백업된 GPO를 백업이 수행된 도메인에 복원합니다. 백업을 사용하여 GPO의 원래 도메인이 아닌 다른 도메인에 GPO를 복원할 수 없습니다.

기존 GPO의 이전 버전을 복원하려면

  1. GPMC 콘솔 트리에서 복원할 GPO가 포함된 포리스트나 도메인의 그룹 정책 개체를 확장합니다.

  2. 이전 버전으로 복원할 GPO를 마우스 오른쪽 단추로 클릭한 다음 백업에서 복원을 클릭합니다.

  3. 그룹 정책 개체 복원 마법사가 열리면 마법사의 지침을 따른 다음 마침을 클릭합니다.

  4. 복원 작업이 완료되면 요약에 복원이 성공했는지 여부가 표시됩니다. 확인을 클릭합니다.

삭제된 GPO를 복원하려면

  1. GPMC 콘솔 트리에서 복원할 GPO가 포함된 포리스트 또는 도메인을 확장합니다.

  2. 그룹 정책 개체를 마우스 오른쪽 단추로 클릭한 다음 백업 관리를 클릭합니다.

  3. 백업 관리 대화 상자에서 찾아보기를 클릭한 다음 백업된 GPO가 포함된 파일을 찾습니다.

  4. 백업된 GPO 목록에서 복원할 GPO를 클릭한 다음 복원을 클릭합니다.

  5. 복원 작업을 확인하라는 메시지가 나타나면 확인을 클릭합니다.

  6. 복원 작업이 완료되면 요약에 복원이 성공했는지 여부가 표시됩니다. 확인을 클릭합니다. 닫기를 클릭합니다.

WMI 필터 데이터, IPsec 정책 설정 및 OU 링크 백업 및 복원

WMI 필터 및 IPsec 정책에 대한 링크가 GPO에 저장되고 GPO의 일부로 백업됩니다. 원본 개체가 Active Directory에 있는 경우 GPO를 복원할 때 이러한 링크가 유지됩니다. 그러나 OU에 대한 링크는 백업 데이터의 일부가 아니므로 복원 작업 중에 복원되지 않습니다.

WMI 필터 데이터 및 IPsec 정책 설정과 같이 GPO 외부에 저장되는 정책 설정은 이러한 과정에서 백업되거나 복원되지 않습니다. 적은 수의 WMI 필터를 백업하고 복원하려면 GPMC의 WMI 필터 항목을 클릭하거나 이 항목 아래에서 특정 WMI 필터를 클릭한 다음 필요에 따라 가져오기 또는 내보내기 명령을 사용합니다. WMI 필터를 가져오거나 내보내는 방법에 대해서는 GPMC 도움말에서 "WMI 필터 가져오기" 및 "WMI 필터 내보내기"를 참조하십시오. 이러한 명령을 사용하여 WMI 필터를 한 번에 하나씩만 가져오거나 내보낼 수 있기 때문에 적은 수의 WMI 필터를 백업하거나 복원해야 하는 경우에만 이 방법을 사용하는 것이 좋습니다.

많은 수의 WMI 필터를 백업하고 복원하려면 사용자 지정 검사 - WMI 필터 가져오기 및 내보내기(http://go.microsoft.com/fwlink/?linkid=109519)(페이지는 영문일 수 있음)에서 설명하는 Ldifde 명령줄 도구를 사용할 수 있습니다.

note참고
Ldifde는 Windows Server 2008에 기본 제공되는 명령줄 도구이며, AD DS 또는 AD LDS(Active Directory Lightweight Directory Services) 서버 역할을 설치한 경우에 사용할 수 있습니다. Ldifde를 사용하려면 관리자 권한 명령 프롬프트에서 Ldifde 명령을 실행해야 합니다. 자세한 내용은 Ldifde(http://go.microsoft.com/fwlink/?LinkId=110104)(페이지는 영문일 수 있음)를 참조하십시오.

IPsec 정책을 GPO에 할당하면 GPO 속성 ipsecOwnersReference 안에 있는 IPsec 정책에 대한 포인터가 기록됩니다. GPO 자체에는 IPsec 정책에 대한 LDAP 고유 이름 참조만 포함되어 있습니다. 그룹 정책은 컴퓨터의 IPsec 서비스에 정책 할당을 제공하는 데만 사용됩니다. 컴퓨터의 IPsec 서비스는 Active Directory에서 IPsec 정책을 검색하고 정책의 현재 캐시를 로컬로 유지 관리하면서 IPsec 정책에 지정된 폴링 간격에 따라 최신 상태로 유지합니다.

IPsec 정책 설정을 백업하고 복원하려면 IP 보안 정책 관리 스냅인에서 정책 내보내기정책 가져오기 명령을 사용해야 합니다. 정책 내보내기 명령을 사용하여 모든 로컬 IPsec 정책을 내보낸 다음 .ipsec 확장명의 파일로 저장할 수 있습니다.

GPMC를 사용하여 GPO 복사 및 GPO 설정 가져오기

GPMC를 사용하여 동일한 도메인 내와 도메인 전체에서 GPO를 복사하고 그룹 정책 설정을 다른 GPO로 가져올 수 있습니다. 이러한 작업은 프로덕션 환경에 배포하기 전에 준비 과정에서 수행합니다. 또한 GPO를 다른 프로덕션 환경으로 마이그레이션하는 데 유용합니다.

GPO를 구성하는 정책 설정 모음은 논리적으로 단일 엔터티이지만, 단일 GPO의 데이터가 여러 위치에 다양한 형식으로 저장됩니다. 일부 데이터는 Active Directory에 포함되고 다른 데이터는 도메인 컨트롤러의 Sysvol 폴더에 저장됩니다. 즉, 폴더를 다른 컴퓨터로 복사하여 간단히 GPO를 복사할 수 없습니다. 그러나 GPMC에서는 이 작업을 안전하고 비교적 간단하게 수행할 수 있는 기능을 기본적으로 지원합니다.

복사 작업에서는 기존의 현재 GPO를 원하는 대상 도메인에 복사합니다. 이 과정에서 항상 새 GPO가 만들어집니다. 새 GPO를 만들 권한이 있는 신뢰할 수 있는 도메인을 대상 도메인으로 사용할 수 있습니다. GPMC에서 원하는 포리스트와 도메인을 추가하고 GPMC를 사용하여 원하는 GPO를 복사한 후 다른 도메인에 붙여 넣거나 끌어 놓습니다. GPO를 복사하려면 대상 도메인에서 GPO를 만드는 권한이 있어야 합니다.

GPO를 복사할 때 GPO의 정책 설정과 함께 DACL(Discretionary Access Control List)도 복사할 수 있습니다. 그러면 복사 작업 중에 만들어지는 새 GPO가 원본 GPO와 동일한 보안 필터링 및 위임 옵션을 갖게 됩니다.

GPO를 가져와서 백업된 GPO에서 기존 GPO로 정책 설정을 전송할 수 있습니다. GPO를 가져오면 GPO 설정만 전송되고 대상 GPO의 기존 보안 필터링 또는 링크는 수정되지 않습니다. 사용자가 프로덕션 GPO가 아니라 백업된 GPO에만 액세스해야 하기 때문에 GPO 가져오기는 신뢰할 수 없는 환경에서 GPO를 마이그레이션하는 데 유용합니다. 가져오기 작업은 정책 설정만 수정하기 때문에 대상 GPO에 대한 편집 권한만 있으면 작업을 수행할 수 있습니다.

GPO에 보안 주체 또는 UNC 경로가 포함되어 있고 이러한 항목을 대상 도메인에 복사할 때 업데이트해야 하는 경우, GPO를 복사하거나 가져올 때 마이그레이션 테이블을 지정할 수 있습니다. MTE(마이그레이션 테이블 편집기)를 사용하여 마이그레이션 테이블을 만들고 편집합니다. 마이그레이션 테이블에 대한 자세한 내용은 마이그레이션 테이블 사용 섹션을 참조하십시오.

GPO를 복사하려면

  1. GPMC 콘솔 트리에서 복사할 GPO가 포함된 포리스트와 도메인의 그룹 정책 개체를 확장합니다.

  2. 복사할 GPO를 마우스 오른쪽 단추로 클릭하고 복사를 클릭합니다.

  3. 다음 중 하나를 수행합니다.

    • GPO 복사본을 원본 GPO와 동일한 도메인에 배치하려면 그룹 정책 개체를 마우스 오른쪽 단추로 클릭하고 붙여넣기를 클릭합니다.

    • GPO 복사본을 동일한 포리스트나 다른 포리스트의 다른 도메인에 배치하려면 대상 도메인을 확장하고 그룹 정책 개체를 마우스 오른쪽 단추로 클릭한 다음 붙여넣기를 클릭합니다.

    • 도메인 내에서 복사할 경우 새 GPO에 대한 기본 권한 사용이나 기존 권한 유지를 클릭한 다음 확인을 클릭합니다.

  4. GPO를 다른 도메인에 복사하거나 다른 도메인에서 복사하는 경우 표시되는 마법사의 지침을 따른 다음 마침을 클릭합니다.

백업된 GPO에서 다른 GPO로 정책 설정을 가져오려면

  1. GPMC 콘솔 트리에서 정책 설정을 가져올 GPO가 들어 있는 포리스트와 도메인의 그룹 정책 개체를 확장합니다.

  2. 정책 설정을 가져올 GPO를 마우스 오른쪽 단추로 클릭한 다음 설정 가져오기를 클릭합니다.

  3. 설정 가져오기 마법사가 열리면 마법사의 지침을 따른 다음 마침을 클릭합니다.

  4. 가져오기 작업이 완료되면 요약에 가져오기가 성공했는지 여부가 표시됩니다. 확인을 클릭합니다.

마이그레이션 테이블 사용

GPO의 일부 데이터는 특정 도메인 관련 데이터이므로 다른 도메인에 직접 복사할 경우 유효하지 않을 수 있기 때문에 GPMC에서 마이그레이션 테이블을 제공합니다. 마이그레이션 테이블은 원본 값과 대상 값 사이의 매핑을 지정하는 간단한 테이블입니다. 그림 7에서는 GPMC의 MTE에 있는 마이그레이션 테이블을 보여 줍니다.

1fb8e2c2-970c-4686-9a0a-1d853732dd9c

마이그레이션 테이블은 복사 또는 가져오기 작업 중에 GPO의 참조를 대상 도메인에서 작동할 새 참조로 변환합니다. 가져오기 또는 복사 작업 중에 마이그레이션 테이블을 사용하여 보안 주체와 UNC 경로를 새 값으로 업데이트할 수 있습니다. 마이그레이션 테이블은 파일 이름 확장명 .migtable로 저장되며 실제로는 XML 파일입니다. GPMC에서 마이그레이션 테이블 조작을 위한 MTE를 제공하므로 XML에 대해 알지 못해도 마이그레이션 테이블을 만들거나 편집할 수 있습니다.

마이그레이션 테이블은 하나 이상의 매핑 항목으로 구성됩니다. 각 매핑 항목은 원본 유형, 원본 참조 및 대상 참조로 구성됩니다. 가져오기 또는 복사 작업을 수행할 때 마이그레이션 테이블을 지정하면 정책 설정을 대상 GPO에 쓸 때 원본 항목에 대한 각 참조가 대상 항목으로 대체됩니다. 마이그레이션 테이블을 사용하기 전에 마이그레이션 테이블에 지정된 대상 참조가 이미 있는지 확인하십시오.

보안 주체를 포함할 수 있으며 마이그레이션 테이블을 사용하여 수정할 수 있는 항목은 다음과 같습니다.

  • 다음 유형의 보안 정책 설정:

    • 사용자 권한 할당

    • 제한된 그룹

    • 시스템 서비스

    • 파일 시스템

    • 레지스트리

  • 고급 폴더 리디렉션 정책 설정

  • GPO DACL(복사 작업 중에 보존되는 경우)

  • 소프트웨어 설치 개체의 DACL(GPO DACL 복사 옵션을 지정하는 경우에만 보존됨)

UNC 경로를 포함할 수 있는 항목은 다음과 같습니다. GPO를 마이그레이션할 도메인에서 원래 도메인의 서버에 액세스할 수 없기 때문에 가져오기 또는 복사 작업 과정에서 이러한 항목을 새 값으로 업데이트해야 할 수 있습니다.

  • 폴더 리디렉션 그룹 정책 설정

  • 소프트웨어 설치 그룹 정책 설정

  • 원본 GPO 외부에 저장되는 로그온 스크립트와 시작 스크립트 등의 스크립트에 대한 참조. 스크립트가 원본 GPO 내에 저장되는 경우가 아니면 GPO 복사 또는 가져오기 작업 과정에서 스크립트 자체는 복사되지 않습니다.

마이그레이션 테이블을 사용하는 방법에 대해서는 이 가이드의 그룹 정책 배포 준비를 참조하십시오.

그룹 정책 유지 관리

배포 후에 그룹 정책에 대한 경험이 늘고 조직과 조직의 요구 사항이 변경됨에 따라 그룹 정책 구현을 정기적으로 유지 관리하고 수정해야 할 수 있습니다. GPO로 정책 설정 가져오기 작업과 GPO 만들기, 연결, 편집, 백업 및 복원 작업에 대한 제어 절차를 설정하면 잘못 계획된 그룹 정책 배포로 인해 지원 센터로 걸려오는 고객 지원 전화를 최소화할 수 있습니다. 또한 GPO 문제를 보다 간단히 해결하고 네트워크의 컴퓨터에 대한 총 소유 비용을 줄일 수 있습니다.

GPO 제어 메커니즘을 설정하여 다음과 같은 GPO를 만들 수 있습니다.

  • 회사 표준을 준수하는 GPO

  • 정책 설정이 다른 사용자가 설정한 정책 설정과 충돌하지 않는지 확인하는 GPO

GPO 문제 해결을 지원하려면 GPMC 그룹 정책 결과 마법사를 사용하여 가능한 그룹 정책 배포 오류를 식별할 수 있습니다. 이 도구에 대한 자세한 내용은 이 가이드의 그룹 정책 모델링 및 그룹 정책 결과를 사용하여 그룹 정책 설정 평가를 참조하십시오. 또한 새 그룹 정책 설정을 프로덕션 환경에 배포하기 전에 GPMC 그룹 정책 모델링 마법사를 사용하여 새 그룹 정책 설정의 결과를 평가할 수 있습니다.

무선 네트워킹과 같은 새 기술 솔루션을 배포할 때마다 그룹 정책 구성에 다시 액세스하여 새 기술과의 호환성을 확인해야 합니다. 그룹 정책은 다양한 기술을 관리할 수 있도록 무선 네트워크(IEEE 802.11) 정책(컴퓨터 구성\정책\Windows 설정\보안 설정), 터미널 서비스(컴퓨터 구성\정책\관리 템플릿\Windows 구성 요소사용자 구성\정책\관리 템플릿\Windows 구성 요소) 및 기타 다양한 기술에 대한 정책 설정을 제공합니다.

그룹 정책 설정을 수정하면 심각한 결과가 발생할 수 있습니다. 그룹 정책 유지 관리를 수행할 때 제안된 변경 내용을 신중하게 테스트하고 준비 환경에 주는 영향을 평가한 후에 배포해야 합니다.

도메인 이름 변경 시 그룹 정책과 관련하여 고려할 사항

도메인 이름은 그룹 정책 구현이 제대로 작동하는 데 중요한 부분입니다. Windows Server 2008 제품군에서는 Windows Server 2008에 포함되어 있는 도메인 이름 바꾸기 도구(Rendom.exe 및 GPfixup.exe)를 사용하여 도메인의 이름을 바꿀 수 있습니다. 도메인 이름 바꾸기 도구를 사용하면 Active Directory 포리스트에서 하나 이상의 도메인 및 응용 프로그램 디렉터리 파티션의 이름을 안전하고 편리하게 바꿀 수 있습니다.

Important중요
도메인 이름 바꾸기가 완료된 후 GPMC를 사용하여 모든 GPO를 백업해야 합니다. 도메인 이름을 바꾼 후에는 그전에 만든 백업을 복원할 수 없습니다.

하나 이상의 도메인 이름 바꾸기는 도메인 이름 바꾸기 절차의 철저한 계획과 이해가 필요한 복잡한 프로세스입니다. 또한 영향을 받는 GPO를 수정하여 해당 GPO가 올바르게 작동하도록 해야 합니다. GPO를 수정하려면 Windows Server 2008에 포함된 Gpfixup.exe 도구를 사용합니다. Gpfixup.exe는 이름이 바뀐 각 도메인에서 GPO 및 GPO 참조를 복구합니다. 도메인 이름 바꾸기 작업 후에 GPO 및 그룹 정책 링크를 복구하여 해당 GPO 및 링크에 포함된 이전 도메인 이름을 업데이트해야 합니다.

Important중요
도메인 이름 바꾸기 프로세스에 대한 자세한 내용은 Windows Server 2008 TechCenter(http://go.microsoft.com/fwlink/?LinkId=100876)를 참조하십시오.

스크립트를 사용하여 그룹 정책 관리

GPMC 인터페이스를 사용하는 예제 스크립트를 다운로드하고, GPMC에서 지원되는 많은 작업을 스크립팅할 수 있습니다. GPMC 예제 스크립트는 특정 관리 문제를 해결하는 데 사용될 수 있는 스크립팅 도구 키트의 기반이 됩니다. 예를 들어 쿼리를 실행하여 도메인에서 중복된 이름의 모든 GPO를 찾을 수 있습니다. 또는 도메인에서 해당 정책 설정을 사용할 수 없거나 부분적으로 사용할 수 없는 모든 GPO 목록을 생성할 수 있습니다. 또한 스크립트는 GPMC를 사용하여 수행할 수 있는 많은 관리 작업에 대한 개요를 제공하는 주요 스크립팅 개체 및 방법을 보여 줍니다. 이러한 스크립트에 대한 자세한 내용은 그룹 정책 콘솔 스크립팅 예제(http://go.microsoft.com/fwlink/?LinkId=109520)(페이지는 영문일 수 있음)를 참조하십시오.

기본적으로 다운로드한 GPMC 예제 스크립트는 Program Files\Microsoft Group Policy\GPMC Sample Scripts 폴더에 설치됩니다. 예제 스크립트는 명령 창에 출력을 에코하며 Cscript.exe를 사용하여 실행해야 합니다. Cscript.exe가 기본 스크립팅 호스트가 아닌 경우 명령줄에서 Cscript.exe를 명시적으로 지정해야 합니다. 예를 들어 d: \Program Files\Microsoft Group Policy\GPMC Sample Scripts>cscript ListAllGPOs.wsf를 입력합니다. Cscript.exe를 기본 스크립팅 호스트로 지정하려면 명령줄에 cscript //h:cscript를 입력합니다.

많은 예제 스크립트에서 Lib_CommonGPMCFunctions.js 파일에 포함된 일반 도우미 함수의 라이브러리를 사용합니다. 이러한 스크립트를 다른 위치에 복사할 경우 스크립트 예제가 작동하도록 해당 위치에 이 라이브러리 파일도 함께 복사해야 합니다.

그룹 정책 배포 준비

Windows Server 2008 그룹 정책은 구성 변경 내용을 조직 전체에 배포하는 강력한 기능을 제공합니다. 조직 내의 다른 변경 내용과 마찬가지로 그룹 정책을 배포하고 지속적으로 업데이트하려면 신중한 계획과 테스트를 통해 항상 사용 가능하고 안전한 인프라를 만들어야 합니다. GPMC에 포함된 기능을 사용하여 그룹 정책 배포 중에 예측 가능성과 일관성을 보장하는 테스트/준비/프로덕션 배포 프로세스를 만들 수 있습니다.

그룹 정책 준비 개요

그룹 정책은 조직 전체에서 Windows Server 2008, Windows Vista, Windows Server 2003 및 Windows XP 운영 체제를 구성하는 강력한 도구입니다. 수백 또는 수천 대의 컴퓨터 구성에 영향을 주는 이 기능에는 GPO의 변경 내용이 의도된 대상 즉, 사용자와 컴퓨터에 대한 예상된 결과를 이끌어내도록 하는 적절한 변경 관리 방안이 필요합니다.

많은 조직에서 프로덕션 환경에 대한 새로운 구성이나 배포를 개발 및 테스트 환경에서 엄격하게 테스트한 후 배포하도록 하는 변경 관리 프로세스를 가지고 있습니다.

많은 변경 관리 프로세스에서 조직은 테스트 환경과 준비 환경을 구별합니다. 테스트 환경은 변경 내용을 테스트하는 데 사용되고, 준비 환경은 프로덕션 환경과 비슷한 초기 환경이며 변경 내용을 프로덕션 환경에 배포하기 전의 종점입니다. 이 섹션에서 용어 테스트준비는 물리적 환경으로 구별 없이 혼용됩니다. 그러나 변경 관리 프로세스에 필요한 경우 이 섹션에서 설명하는 기술을 사용하여 별도의 테스트 및 준비 환경을 만들 수 있습니다.

그룹 정책은 레지스트리 설정부터 컴퓨터에 배포된 소프트웨어에 대한 보안 설정까지 모든 항목에 영향을 줄 수 있기 때문에 그룹 정책 변경 내용을 성공적으로 배포하는 데는 효과적인 변경 관리 프로세스가 항상 중요합니다. 그룹 정책에 포함되는 많은 구성 설정 이외에도 GPO를 여러 범위에 연결하고 해당 효과를 사용자, 컴퓨터 또는 보안 그룹으로 필터링할 수 있습니다. Windows 기반 인프라가 견고하고 안정적으로 작동하도록 테스트 환경에서 GPO를 준비한 다음 프로덕션 환경에 배포하기 전에 다양한 효과를 테스트해야 합니다. Active Directory 기반 인프라에서 그룹 정책을 성공적으로 배포하려면 준비 환경을 만들어야 합니다. 준비 환경을 만들기 위해 선택할 수 있는 다양한 옵션이 있습니다. 이러한 옵션은 GPMC 내의 기능으로 사용합니다.

GPMC 콘솔 기반 기능을 스크립트와 결합하여 프로덕션 환경과 유사한 준비 환경을 만들 수 있습니다. 그런 다음 준비 환경을 사용하여 새 GPO나 변경된 GPO를 테스트할 수 있습니다. 이러한 GPO의 유효성을 검사한 후 GPMC를 사용하여 해당 GPO를 프로덕션 도메인으로 마이그레이션할 수 있습니다.

그룹 정책 준비 단계

그룹 정책 준비 프로세스는 프로덕션 환경과 유사한 준비 환경을 만들고 준비 환경에서 새 그룹 정책 설정을 테스트한 다음 프로덕션 환경에서 해당 정책 설정을 배포하는 과정으로 이루어집니다. 사용되는 배포 방법은 준비 환경의 구성에 따라 다릅니다.

우선 그룹 정책에 대한 준비 환경 조합은 단순히 프로덕션 환경과 비슷한 인프라를 만드는 데 사용할 수 있는 하드웨어를 식별한 다음 적절한 논리 구조를 설정하는 것입니다. 그러면 GPMC의 도구를 사용하여 프로덕션 그룹 정책 설정을 준비 환경으로 가져올 수 있습니다. 환경을 만든 후 변경 내용을 구현하고 해당 변경 내용이 프로덕션 사용자 및 컴퓨터와 비슷한 테스트 사용자 및 컴퓨터에 주는 영향을 측정하여 그룹 정책을 테스트합니다. 변경 내용의 유효성을 검사한 다음 GPMC의 도구를 다시 사용하여 변경된 그룹 정책 설정이나 새 그룹 정책 설정을 프로덕션 환경으로 마이그레이션할 수 있습니다.

지속적으로 그룹 정책을 유지 관리하고 변경 내용을 평가해야 합니다. 따라서 준비 환경을 프로덕션 환경과 동기화된 상태로 유지해야 합니다. 예제 스크립트, 백업, 복사 및 가져오기 기능과 같은 GPMC 도구를 사용하여 지속적으로 준비 환경을 유지 관리할 수 있습니다.

note참고
Windows Server 2008 Hypervisor 기반 가상화를 사용하여 다양한 그룹 정책 시나리오를 만들어 테스트할 수 있습니다. 가상 컴퓨터를 사용하여 실제 서버 및 클라이언트 작업과 거의 비슷하며 안전한 자체 포함 환경을 만들 수 있습니다. Windows Server 2008 가상화에 대한 자세한 내용은 가상화 및 통합(http://go.microsoft.com/fwlink/?LinkId=109521)(페이지는 영문일 수 있음)을 참조하십시오.

GPMC 배포 준비 및 유지 관리 기능

GPMC에는 그룹 정책 준비와 유지 관리를 위한 다양한 기능이 포함되어 있습니다.

  • 그룹 정책 배포 계획을 위한 그룹 정책 모델링 마법사

  • GPO 상호 작용 보기 및 문제 해결을 위한 그룹 정책 결과 마법사

  • 단일 MMC(Microsoft Management Console) 인터페이스(GPMC)를 사용하여 조직 전체의 그룹 정책을 관리하는 기능. 관리 작업으로는 GPO 가져오기 및 내보내기, 복사 및 백업, 복원 등이 있습니다.

그룹 정책 준비를 위한 가장 중요한 GPMC 기능은 백업, 가져오기, 복사 및 마이그레이션 테이블입니다. 이러한 기능을 사용하여 GPO를 준비하고 포리스트와 도메인 간에 마이그레이션할 수 있습니다.

백업 및 가져오기

GPMC를 사용하여 하나 이상의 GPO를 백업할 수 있습니다. 그런 다음 복원 작업을 통해 이러한 백업을 사용하여 개별 GPO를 이전 상태로 복원하거나, 정책 설정을 기존 GPO로 가져와서 이전 정책 설정을 덮어쓸 수 있습니다. 복원 작업은 GPO를 백업한 도메인으로 복원하는 데만 사용됩니다.

반대로 가져오기 작업은 동일한 도메인, 다른 도메인 또는 신뢰할 수 없는 다른 포리스트(예: 프로덕션 포리스트로부터 격리된 테스트 포리스트)의 GPO에서 백업이 만들어진 경우에 사용됩니다. 복원 기능과 가져오기 기능 모두 이전에 백업된 GPO에 적용되지만 복원은 추가 기능을 제공합니다. 백업, 가져오기 및 복사 작업을 사용하여 GPO를 준비하고 프로덕션 환경으로 마이그레이션합니다.

그림 8에서는 가져오기 작업을 보여 줍니다. 이 경우 테스트 포리스트의 GPO X에는 로컬로 로그온 사용자 권한이 할당된 보안 주체가 많이 포함되어 있습니다. 이 GPO를 백업한 다음 프로덕션 포리스트로 가져옵니다. 가져오기 작업 중에 원래 보안 주체가 프로덕션 도메인에 있는 새 보안 주체에 매핑됩니다.

3232f3ca-42bf-4dfb-8fee-b2f4de7ed53e

복사

GPMC의 복사 기능을 사용하여 GPO를 마우스 오른쪽 단추로 클릭하고 도메인에서 복사한 후 다른 도메인에 붙여 넣을 수 있습니다. 복사 작업에서 GPO를 새 도메인으로 복사하면 새 GPO가 만들어집니다. 이는 기존 GPO를 지운 다음 덮어쓰는 가져오기 작업과 다릅니다. 그러나 원본 GPO의 정책 설정만 새 GPO에 복사됩니다. 원본 GPO의 SOM(관리의 범위) 링크, ACL 및 WMI 필터 링크는 새 GPO에 복사되지 않습니다. 복사 작업을 수행하려면 대상 도메인을 원본 도메인에서 신뢰할 수 있어야 합니다. 복사 작업을 수행하려면 다음과 같은 권한이 있는 위임된 사용자이거나 로컬 Administrators 그룹의 구성원이어야 합니다.

  • 원본 GPO 및 원본 도메인에 대한 읽기 권한

  • 대상 도메인(새 GPO를 복사할 도메인)에서 GPO를 만들 수 있는 권한

가져오기 작업과 복사 작업 모두에서 GPMC를 사용하여 참조 간의 보안 주체 및 UNC를 원본 및 대상 GPO의 해당 개체에 매핑할 수 있습니다.

그림 9에서는 복사 작업을 보여 줍니다. 이 경우 GPO는 B 도메인에서 C 도메인로 마이그레이션되고 연관된 여러 보안 주체가 C 도메인의 새 주체에 매핑됩니다.

6ec4947c-8963-4733-a35b-95b941edf305

마이그레이션 테이블

GPO에 보안 주체 및 UNC 경로에 대한 참조가 정책 설정의 일부로 포함될 수 있습니다. 예를 들어 보안 정책 설정을 사용하여 특정 Windows 서비스를 시작하고 중지할 수 있는 사용자이나 그룹을 제어할 수 있습니다. 그림 10에서는 메신저 서비스에 적용될 수 있는 보안 설정을 보여 줍니다. 이 경우 마이그레이션 테이블을 사용하여 이러한 보안 설정을 준비 환경의 보안 주체에서 프로덕션 환경의 보안 주체로 매핑할 수 있습니다.

28811d69-b5a2-490a-a2cd-3ee25bce2929

또한 GPO에는 GPO를 처리하는 컴퓨터, 사용자 또는 그룹과 GPO를 작성, 수정 및 편집할 수 있는 사용자를 제어하는 데 사용되는 DACL을 포함하는 보안 설명자가 있습니다. GPO를 다른 도메인으로 배포할 때 GPO의 DACL에 포함된 보안 주체도 고려할 수 있습니다.

마이그레이션 테이블은 소프트웨어 설치, 폴더 리디렉션 또는 스크립트 정책에 있을 수 있는 UNC 경로 매핑도 지원합니다. 테스트 환경과 프로덕션 환경의 이러한 경로 차이를 해결하려면 그룹 정책 설정을 마이그레이션할 때 마이그레이션 테이블을 사용하여 서버 이름과 공유 이름을 대체할 수 있습니다.

다른 도메인 또는 포리스트에서 만든 GPO를 프로덕션 환경으로 마이그레이션할 경우 프로덕션 도메인에 있는 참조를 반영하도록 연관된 보안 주체 참조를 수정해야 합니다. GPMC는 보안 주체 및 UNC 경로에 대한 매핑 파일을 만드는 데 사용할 수 있는 MTE를 제공합니다. MTE는 .migtable 확장명의 XML 형식 파일을 만듭니다. 이 파일은 GPO 마이그레이션에 대한 원본 및 대상 보안 주체나 UNC 경로를 지정합니다. MTE에 대한 자세한 내용은 이 가이드의 뒷부분에 나오는 마이그레이션 테이블 만들기를 참조하십시오.

준비 환경 만들기

그룹 정책 준비 및 배포의 첫 번째 단계는 준비 환경 만들기입니다. 이 단계에서는 프로덕션 환경의 인프라를 미러링하여 프로덕션 사용자 및 컴퓨터에 영향을 주지 않고 변경되거나 새로운 그룹 정책 설정을 테스트할 수 있는 테스트 인프라를 만듭니다.

이때 준비 환경의 배치와 프로덕션 환경과의 트러스트 관계를 결정해야 합니다. 다음을 만들 수 있습니다.

  • 프로덕션 포리스트 내의 준비 도메인

  • 프로덕션 포리스트와 트러스트 관계가 없는 준비 포리스트

  • 프로덕션 포리스트와 트러스트 관계가 있는 준비 포리스트

표 8과 같이 옵션마다 장단점이 있습니다.

표 8 준비 방법 선택

방법 장점 단점

프로덕션 포리스트 내의 준비 도메인

  • GPMC 복사 작업을 사용하여 준비 환경과 프로덕션 환경 간에 GPO를 이동할 수 있습니다.

  • DNS, DHCP 등의 기존 프로덕션 인프라 서비스를 활용할 수 있습니다.

  • 지원 인프라가 필요한 완전히 격리된 환경보다 적은 수의 하드웨어로 구현할 수 있습니다.

  • 모든 정책 설정과 서비스가 동일한 포리스트 내에 있기 때문에 프로덕션 환경과 쉽게 동기화할 수 있습니다.

  • 프로덕션 포리스트 내의 도메인 간에 마이그레이션할 경우 마이그레이션 테이블을 보다 적게 사용할 수 있습니다. 예를 들어 도메인에 관계없이 일부 보안 주체를 다시 사용할 수 있습니다.

  • 테스트의 영향을 받지 않도록 프로덕션 환경으로부터 완전히 격리되지 않을 수 있습니다. 예를 들어 사이트가 포리스트 내의 여러 도메인에 걸쳐 있는 경우 사이트에 연결된 GPO를 쉽게 테스트할 수 없습니다. 도메인에 관계없이 보안 주체를 다시 사용할 수 있습니다.

  • 테스트를 위해 환경 변경이 필요한 경우 제한적일 수 있습니다.

프로덕션 포리스트와 트러스트 관계가 없는 준비 포리스트

  • 프로덕션 환경으로부터 완전히 격리되며 프로덕션 컴퓨터 및 사용자에게 영향을 주는 테스트 GPO로부터 최대한 보호합니다.

  • 준비 환경과 프로덕션 환경 간의 보안 겹침이 없습니다. 준비 포리스트와 프로덕션 포리스트의 관리자에게 두 포리스트 모두에 대한 액세스 권한이 필요하지 않습니다.

  • 유연성을 제공합니다. 관리자가 프로덕션 환경에 영향을 주지 않고 정책 설정 및 구성을 마음대로 조작할 수 있습니다.

  • 프로덕션 환경과 동기화된 상태로 유지하기 어렵습니다.

  • 트러스트 관계가 없는 포리스트 간의 데이터 및 정책 설정 이동은 더 어렵습니다.

  • 보안 주체 또는 UNC 경로가 포함된 GPO를 준비에서 프로덕션으로 이동하려면 마이그레이션 테이블이 필요합니다.

  • GPMC 복사 작업을 사용하여 GPO를 마이그레이션할 수 없으며, GPMC 가져오기 작업을 사용해야 합니다.

프로덕션 포리스트와 트러스트 관계가 있는 준비 포리스트

  • GPMC 복사 작업을 사용하여 준비 환경과 프로덕션 환경 간에 GPO를 이동할 수 있습니다.

  • 프로덕션 환경으로부터 어느 정도 격리됩니다.

  • 유연성을 제공합니다. 관리자가 프로덕션 환경에 영향을 주지 않고 정책 설정 및 구성을 마음대로 조작할 수 있습니다.

  • 현재 트러스트 관계를 통해 모든 경로를 사용할 수 있기 때문에 UNC 경로를 매핑하는 데 마이그레이션 테이블이 필요하지 않을 수 있습니다.

  • 프로덕션 환경과 동기화된 상태로 유지하기 어렵습니다.

  • 준비 환경과 프로덕션 환경 사이에 트러스트 관계가 있으면 한 환경의 사용자가 다른 환경의 리소스에 액세스할 수 있습니다.

  • 보안 주체가 포함된 GPO를 준비 환경에서 프로덕션 환경으로 이동하려면 마이그레이션 테이블이 필요합니다.

준비 방법을 선택하려면 표 8에 설명된 장단점을 고려하십시오. 준비 방법 선택 후 준비 환경에 대한 하드웨어 요구 사항을 결정할 수 있습니다.

하드웨어 요구 사항

선택한 준비 방법에 관계없이 일부 추가 하드웨어를 준비 환경 구성에만 사용해야 합니다. 필요한 하드웨어 양은 수행해야 하는 테스트 종류와 그룹 정책 테스트 요구 사항에 따라 다릅니다. 예를 들어 일부 그룹 정책 설정은 느린 연결을 통해 적용되지 않기 때문에 느린 네트워크 연결을 사용하는 컴퓨터가 포함된 프로덕션 환경은 Windows에서 그룹 정책이 적용되는 방법에 영향을 줄 수 있습니다. 그룹 정책 변경 내용이 프로덕션 환경에 어떻게 영향을 주는지 정확하게 파악하려면 테스트 환경에 이러한 상황을 반영해야 합니다. GPMC는 느린 연결을 통한 그룹 정책 처리의 영향을 모델링하는 기능을 제공하여 이 상황에 도움이 될 수 있습니다. 그러나 충분한 시스템과 네트워크 하드웨어를 준비 환경에만 사용하지 않을 경우 프로덕션 환경을 완벽하게 미러링할 수 없습니다. 그룹 정책에 변경된 GPO나 새 GPO를 적용할 때 프로덕션 환경의 컴퓨터 및 사용자에게 발생하는 동작과 성능을 반영하는 테스트 및 준비 환경을 만드는 것이 목표입니다.

준비 환경 준비

준비 방법을 선택하고 하드웨어를 설정한 후 준비 서버에 Windows Server 2008 및 Active Directory를 설치하여 프로덕션 환경과 준비 환경의 동기화를 준비합니다. 대부분의 경우 준비 환경의 컴퓨터에서 프로덕션 환경의 컴퓨터와 동일한 운영 체제, 서비스 팩 및 핫픽스가 실행되도록 해야 합니다. 그렇게 해야 일관된 테스트 결과를 얻을 수 있습니다. 또한 DNS, DFS(분산 파일 시스템), 관련 서비스 등과 같은 지원 인프라도 프로덕션 환경과 동일하게 구성되어야 합니다. DNS는 GPO를 적절하게 처리하는 데 특히 중요합니다. 프로덕션 포리스트에 준비 도메인 또는 OU 구조를 배치하는 준비 방법을 사용할 경우 이름 서비스에 대해 기존 프로덕션 DNS 인프라를 사용할 수 있습니다.

Important중요
Windows Server 2008 GPMC를 사용하여 Windows Server 2008, Windows Server 2003 및 Windows 2000 도메인에서 GPO를 관리할 수 있습니다.

준비를 위해 별도의 포리스트를 만들 경우 이름 서비스 통합 문제를 해결해야 합니다. 만든 트러스트 유형에 따라 DNS나 WINS(Windows Internet Name Service)가 이름 서비스에 포함될 수 있습니다. 준비 환경에 대한 별도의 DNS 인프라를 만들어야 할 수 있습니다. 특히, 보안 Active Directory 통합 영역은 외부 포리스트에서 동적 클라이언트 등록을 지원할 수 없기 때문에 프로덕션 포리스트에서 보안 Active Directory 통합 DNS를 사용하는 경우에는 별도의 DNS 인프라를 만들어야 합니다. 준비 포리스트와 프로덕션 포리스트 간에 트러스트 관계를 만들려면 각 포리스트의 이름 서비스 인프라가 서로에 대해 알고 있어야 합니다. 그룹 정책을 배포하는 데 필요한 기본 요소를 사용하여 준비 환경을 완전히 구성한 후 다음 단계에서는 준비 환경과 프로덕션 환경을 동기화합니다.

준비 환경과 프로덕션 환경의 동기화

프로덕션 환경을 반영하는 기본 준비 인프라를 만든 후 두 환경 간에 모든 보안 및 GPO 설정이 동일한지 확인해야 합니다. OU, 사용자, 컴퓨터 및 그룹이 프로덕션 환경에 있을 때 보안 그룹 필터링 효과와 GPO 링크를 테스트할 수 있어야 하므로 두 환경 모두에서 OU, 사용자, 컴퓨터 및 그룹이 충분히 표현되어야 동기화가 가능합니다.

테스트 환경의 목표는 프로덕션 환경을 최대한 가깝게 미러링하는 것입니다. 두 GPMC 예제 스크립트(CreateXMLFromEnvironment.wsf 및 CreateEnvironmentFromXML.wsf)를 다운로드하여 실행하면 초기 동기화 작업은 물론 테스트 환경을 프로덕션 환경과 동기화된 상태로 지속적으로 유지하는 데 도움이 됩니다. 위에서 설명한 대로 GPMC 예제 스크립트는 기본적으로 Program Files\Microsoft Group Policy\GPMC Sample Scripts 폴더에 설치됩니다.

CreateXMLFromEnvironment.wsf 스크립트는 프로덕션 도메인에 대해 실행되고, 모든 정책 관련 정보를 XML 파일 형식으로 저장하며, 프로덕션 도메인에 있는 GPO의 백업을 만듭니다. 이 스크립트는 전체 포리스트가 아니라 한 번에 하나의 도메인에 대해서만 실행됩니다. CreateEnvironmentFromXML.wsf 스크립트는 XML 파일 형식과 CreateXMLFromEnvironment.wsf에서 만든 백업 GPO를 사용하여 준비 도메인의 프로덕션 도메인에서 GPO와 기타 개체를 다시 만듭니다. 표 9에는 CreateXMLFromEnvironment.wsf에서 캡처하는 개체 및 정책 설정과 스크립트를 실행할 때 명령줄 옵션을 사용하여 캡처할 수 있는 추가 개체가 정리되어 있습니다.

표 9 CreateXMLFromEnvironment.wsf에서 캡처된 개체

개체 유형 스크립트로 캡처 여부 추가 명령줄 옵션

도메인 또는 OU에 대한 모든 GPO 및 GPO 설정

GPO 설정을 캡처하려면 /TemplatePath 옵션으로 템플릿 경로를 제공하여 백업된 GPO를 저장할 파일 시스템 위치를 지정해야 합니다. 템플릿 경로를 지정하지 않으면 GPO가 백업되지 않습니다.

/ExcludePermissions 옵션을 사용하여 GPO에 대한 사용 권한을 제외할 수 있습니다.

조직 구성 단위

OU에 대한 DN 스타일 경로와 함께 /StartingOU 옵션을 사용하여 OU 트리의 일부만 캡처할 수 있습니다.

GPO 링크 및 링크 속성(예: 사용 안 함, 상속 차단)

예(사이트 개체의 링크가 캡처되지 않는 경우 제외)

없음

정책 관련 사용 권한

/ExcludePermissions 옵션을 사용하여 사용 권한을 제외할 수 있습니다.

WMI 필터

없음

사용자

옵션

/IncludeUsers 옵션을 사용하는 경우가 아니면 사용자 계정은 캡처되지 않습니다.

보안 그룹

기본적으로 OU에 정의된 보안 그룹만 스크립트로 캡처됩니다. /IncludeAllGroups 옵션을 사용하여 사용자 컨테이너와 도메인 루트에 있는 모든 그룹을 포함하도록 확장할 수 있습니다.

컴퓨터

아니요

없음

사이트

아니요

없음

CreateXMLFromEnvironment.wsf 스크립트를 사용할 때 고려해야 할 몇 가지 사항이 있습니다. 첫째, /IncludeUsers 옵션을 사용하여 사용자 개체를 캡처할 경우 해당 개체를 준비 도메인에서 다시 만들 경우 캡처된 각 사용자에 대한 암호를 제공해야 합니다. 이 작업은 결과 XML 파일을 수동으로 편집한 다음 각 사용자에 대한 암호를 추가하여 수행할 수 있습니다.

또는 XML 파일에 암호가 지정되지 않은 사용자가 있는 경우 CreateEnvironmentfromXML.wsf 스크립트는 암호를 제공하라는 메시지를 표시합니다. XML 파일에 지정된 암호가 없는 모든 사용자는 이 암호를 사용하여 만들어집니다. 또한 이 스크립트는 컴퓨터를 캡처하지 않습니다. 이는 Active Directory의 컴퓨터 개체가 실제 하드웨어 리소스와 일치하고 프로덕션 환경과 준비 환경에서 다를 수 있기 때문입니다. 마지막으로 이 스크립트는 사이트 및 사이트의 GPO 링크를 캡처하지 않습니다. 사이트는 여러 도메인에 걸쳐 있고 Active Directory 복제에 영향을 줄 수 있기 때문에 준비 환경에서 이러한 개체와 해당 GPO 링크를 수동으로 다시 만드는 것이 좋습니다.

예: 프로덕션 환경에서 XML 형식 파일 만들기

프로덕션 도메인의 이름이 Contoso.com이라고 가정합니다. 그룹 정책 설정과 관련 정보를 내보내서 GPO 테스트를 위한 새 준비 도메인을 만들려고 합니다. 이 예에서는 전체 도메인에서 GPO를 캡처하고 사용자 계정과 그룹을 포함한다고 가정합니다. 필요한 정보를 내보내려면 다음 작업을 완료하십시오.

프로덕션 환경에서 XML 파일을 만들려면

  1. 프로덕션 환경에서 필요한 데이터를 추출할 권한이 있어야 합니다. GPO, OU, 사용자, 그룹 및 해당 구성원 자격을 포함하여 캡처하려는 모든 개체에 대한 읽기 권한이 있어야 합니다.

  2. 스크립트로 수집한 정보를 설명하는 XML 형식 파일을 저장할 폴더를 만듭니다.

  3. 스크립트로 추출한 GPO 백업을 저장할 폴더를 만듭니다.

  4. 설치 폴더에서 CreateXMLFromEnvironment.wsf 스크립트를 실행합니다. cscript.exe가 기본 WSH(Windows Script Host) 엔진이 아닌 경우 스크립트 이름 앞에 cscript 명령을 추가해야 합니다. 이 예에서는 명령줄에서 다음을 입력합니다.

    Cscript "%programfiles%\Microsoft Group Policy\GPMC Sample Scripts\CreateXmlFromEnvironment.wsf".\production.xml /Domain:contoso.com /DC:contoso-dc1 /TemplatePath:.\GPObackups /IncludeUsers
    

이 명령은 스크립트가 실행되는 폴더에 XML 형식 파일 Production.xml을 만듭니다. 백업된 GPO가 현재 폴더 GPObackups의 하위 폴더에 만들어집니다. production.xml 및 GPObackups 경로 앞에 백슬래시(\)를 입력하면 스크립트에서 상대 경로를 사용하고, 스크립트가 실행되는 현재 디렉터리에 XML 파일과 백업 GPO 폴더를 만듭니다. 상대 경로를 사용하면 XML 및 백업을 복원 가능한 다른 위치에 보다 쉽게 복사할 수 있습니다.

이 스크립트는 도메인 수준(Contoso.com)에서 캡처를 시작합니다. OU 수준에서 스크립트를 실행할 수도 있습니다. 이 경우 /Domain 옵션과 함께 /StartingOU 옵션을 사용합니다. /Domain 옵션을 제외하면 현재 도메인으로 간주됩니다. /DC 옵션은 스크립트에 도메인 컨트롤러 contoso-dc1을 사용하도록 지시하고, /TemplatePath 옵션은 캡처되는 모든 GPO의 백업을 GPOBackups 폴더에 저장하도록 지정합니다. 마지막으로 /IncludeUsers 옵션은 사용자 계정도 스크립트로 캡처되는지 확인합니다.

Caution주의
CreateXMLFromEnvironment.wsf 스크립트로 생성된 XML 형식 파일을 텍스트 편집기나 XML 편집기에서 열어서 편집할 수 있습니다. 그러나 XML 형식 파일은 특정 구문을 준수해야 합니다. 해당 구문을 변경하면 CreateEnvironmentFromXML.wsf 스크립트의 입력 파일 읽기 기능에 영향을 줄 수 있습니다.

CreateXMLFromEnvironment.wsf 스크립트를 실행하여 프로덕션 환경을 캡처한 후 CreateXMLFromEnvironment.wsf의 .XML 형식 파일 출력을 입력으로 사용하여 CreateEnvironmentFromXML.wsf 스크립트를 실행해야 합니다. 준비 도메인에서 CreateEnvironmentFromXML.wsf 스크립트를 실행해야 합니다. 또는 준비 도메인과의 트러스트 관계를 이미 구성한 경우 준비 도메인에 없는 컴퓨터에서 이 스크립트를 실행할 수 있습니다.

준비 도메인으로 프로덕션 GPO 가져오기

CreateEnvironmentFromXML.wsf 스크립트는 준비 환경에서 GPO 만들기를 한정하는 데 사용할 수 있는 다양한 옵션을 제공합니다. 가장 간단한 옵션으로는 프로덕션 도메인에서 만든 XML 형식 파일을 스크립트에 제공하고 스크립트 작업을 준비 도메인의 도메인 컨트롤러에 선택적으로 전달하는 옵션이 있습니다. 이 스크립트는 프로덕션 도메인에서 캡처된 데이터에 해당하는 GPO 및 관련 개체를 준비 도메인에서 만듭니다. 또한 이 프로세스를 수정해야 하는 경우에 사용할 수 있는 다양한 명령줄 옵션을 제공합니다.

  • 실행 취소. 이 옵션은 준비 환경에서 XML 형식 파일에 지정된 GPO, GPO 권한, OU, WMI 필터, 사용자 및 그룹 등과 같은 모든 개체를 제거합니다. 이 옵션은 준비 도메인에 대해 변경한 내용을 취소해야 하는 경우에 유용합니다.

  • ExcludePolicy 설정. 이 옵션은 정책 설정을 사용하지 않고 대상 도메인에서 GPO를 만듭니다. GPO에서 정책 설정을 가져오지 않고 캡처된 OU, 사용자 및 사용자 그룹을 만들려면 이 옵션을 사용합니다.

  • ExcludePermissions. 이 옵션을 설정하면 스크립트에서 XML 형식 파일에 포함된 그룹 정책 관련 권한을 무시합니다. 대신 준비 환경에서 새 GPO 및 기타 개체를 만들 때 기본 사용 권한을 사용합니다.

  • MigrationTable. 이 옵션은 MTE로 프로덕션 환경 GPO 설정의 보안 주체 및 UNC 경로를 준비 환경의 적절한 보안 주체 및 UNC 경로에 매핑하도록 지정하여 만드는 .migtable 파일을 지정할 수 있습니다.

  • ImportDefaultGPOs. 이 옵션은 GPO에 대한 정책 설정이 XML 파일에 지정되어 있는 경우 정책 설정을 기본 도메인 정책과 기본 도메인 컨트롤러 정책으로 가져옵니다. 이 옵션을 지정하지 않으면 해당 GPO가 수정되지 않습니다.

  • CreateUsersEnabled. 이 옵션은 사용자 계정을 사용 가능하도록 만듭니다.

  • PasswordForUsers. 이 옵션을 사용하면 XML 파일에 지정된 암호가 없는 사용자에 대해 사용할 암호를 지정할 수 있습니다. XML 파일에 지정된 암호가 없는 모든 사용자에 대해 동일한 암호가 사용됩니다.

  • Q. 명령줄에서 필요한 매개 변수를 모두 지정한 경우 이 옵션은 스크립트를 자동 모드로 실행합니다. 이 옵션을 지정하지 않으면 준비 환경을 만들 때만 이 스크립트를 사용해야 한다는 경고 메시지가 나타나고 필요한 경우 XML 파일에 정의된 암호가 없는 사용자에 대한 암호를 제공하라는 메시지가 나타납니다.

예: XML 형식 파일로 준비 도메인 채우기

준비 환경이 domain test.contoso.com이고 이 도메인이 이 장의 앞부분에서 캡처된 프로덕션 도메인과 동일한 포리스트에 있다고 가정합니다. 준비 도메인이 프로덕션 도메인과 동일한 포리스트에 없는 경우에도 준비 도메인을 채우는 단계는 동일하지만 마이그레이션 테이블을 사용하여 보안 주체를 다르게 매핑해야 할 수 있습니다.

XML 파일로 준비 환경을 채우려면

  1. 준비 도메인에서 적절한 사용 권한을 사용하여 CreateEnvironmentFromXML.wsf 스크립트를 실행 중인지 확인합니다. Domain Admins 그룹의 구성원이거나 도메인에서 그와 동등한 수준의 액세스 권한을 가진 사용자로 스크립트를 실행해야 합니다.

  2. CreateXMLFromEnvironment.wsf를 실행하여 프로덕션 도메인에서 만든 XML 형식 파일 및 백업 GPO에 대한 액세스 권한이 있는지 확인합니다.

    CreateEnvironmentFromXML.wsf를 실행하는 경우 명령줄 옵션에서 XML 형식 파일만 참조하고 백업 GPO의 위치는 참조하지 않습니다. 이 파일에는 백업 GPO 파일에 대한 경로가 포함되어 있습니다. 따라서 XML 파일을 CreateEnvironmentFromXML.wsf로 지정하면 스크립트에서는 CreateXMLFromEnvironment.wsf 스크립트를 실행할 때 지정한 폴더에 있는 백업 GPO 파일을 사용합니다. 예: 프로덕션 환경에서 XML 형식 파일 만들기에 표시된 대로 명령을 사용하여 CreateXMLFromEnvironment.wsf를 실행한 경우 XML 파일에는 백업이 현재 폴더의 하위 폴더에 있는 것으로 표시됩니다. CreateXMLFromEnvironment.wsf를 실행할 때 상대 경로를 사용하지 않은 경우 다음과 같은 세 가지 방법으로 CreateEnvironmentFromXML.wsf에서 필요한 파일을 찾을 수 있는지 확인할 수 있습니다.

    • 지정된 폴더 구조를 만들어진 위치에서 CreateEnvironmentFromXML.wsf를 실행한 로컬 컴퓨터의 동일한 경로로 복사합니다.

    • XML 형식 파일을 처음 만들 때 로컬 드라이브가 아니라 네트워크 공유를 지정합니다. 공유는 CreateEnvironmentFromXML.wsf를 실행하는 위치에서도 액세스할 수 있어야 합니다.

    • XML 형식 파일을 편집하여 백업 GPO 파일에 대한 다른 위치를 가리키도록 경로 항목을 변경합니다.

  3. GPMC 설치 폴더의 Scripts 폴더에서 CreateEnvironmentFromXML.wsf를 실행합니다. cscript.exe가 기본 WSH 엔진이 아닌 경우 스크립트 이름 앞에 cscript 명령을 추가해야 합니다. 이 예에서는 명령줄에서 다음을 입력합니다.

    Cscript CreateEnvironmentFromXml.wsf /xml:c:\staging\production.xml /Domain:test.contoso.com /DC:test-dc1
    

이 스크립트는 준비 환경 만들기용이라는 경고를 생성한 다음 사용자 개체에 대한 암호를 입력하라는 메시지를 표시합니다. 이 스크립트를 실행할 때 /Q 옵션을 사용하고 PasswordForUsers 옵션을 사용하여 암호를 제공하면 이러한 메시지가 표시되지 않습니다. 계속하도록 선택하면 스크립트에서 XML 파일 및 GPO의 처리 상태를 제공합니다. 그러면 Active Directory 사용자 및 컴퓨터와 GPMC를 통해 사용자, 그룹 및 GPO가 성공적으로 만들어졌는지 확인하여 모든 단계가 올바르게 수행되었는지 확인할 수 있습니다.

준비 환경과 프로덕션 환경의 동기화 유지 관리

CreateXMLFromEnvironment.wsf 및 CreateEnvironmentFromXML.wsf 스크립트를 사용하여 프로덕션 환경에서 초기 준비 환경을 만듭니다. 새 GPO와 변경된 GPO 테스트 등의 그룹 정책을 유지 관리하려면 지속적인 노력이 필요합니다. 준비 환경을 프로덕션 환경과 동기화된 상태로 계속 유지하기 위해 어떻게 하고 있습니까? 이 두 스크립트는 GPO 채우기에 대해 전부 아니면 전무(all-or-nothing) 방법을 제공합니다. 즉, 특정적이지 않아 특정 GPO만 캡처하고 가져올 수 없습니다.

GPMC의 백업 및 가져오기 기능을 사용하여 프로덕션 환경과 준비 환경 간에 특정 GPO를 선택적으로 동기화할 수 있습니다. 백업 기능을 사용하여 프로덕션 GPO의 정책 설정 및 보안을 백업합니다. 그런 다음 준비 도메인의 기존 GPO를 통해 백업을 가져와서 프로덕션 GPO와 동기화할 수 있습니다. GPO를 백업하고 가져오는 방법에 대해서는 배포 예를 참조하십시오.

준비 환경에서 그룹 정책 테스트

준비 환경을 만들고 그룹 정책을 프로덕션 환경과 동기화한 후 계획된 그룹 정책의 변경 내용 테스트를 시작할 수 있습니다. 그룹 정책을 테스트하려면 GPMC와 함께 제공된 그룹 정책 결과 도구와 그룹 정책 모델링 도구를 조합하여 사용하고, 테스트 환경에서 실제 사용자 계정 및 컴퓨터를 사용하여 실제 GPO를 처리하는 것이 가장 좋습니다.

그룹 정책 결과 기능은 컴퓨터와 사용자에게 새 GPO 설정을 적용하고 예상한 모든 정책 설정이 실제로 적용되는지 확인해야 하는 경우에 유용합니다. 그룹 정책 모델링을 사용하여 Active Directory 네임스페이스에서 사용자 또는 컴퓨터의 위치를 변경하거나 사용자 또는 컴퓨터의 그룹 구성원 자격을 변경할 때의 효과를 확인하고 느린 연결 또는 루프백 정책의 효과를 관찰할 수 있습니다. 그룹 정책 모델링 기능을 사용하면 실제로 변경하지 않고 변경 효과를 테스트할 수 있습니다. 그룹 정책 결과 기능은 실제로 무슨 일이 일어났는지를 보여 줍니다. 그룹 정책 결과는 대상 컴퓨터에서 실행되므로 해당 컴퓨터에 대한 액세스 권한이 있어야 합니다. 그룹 정책 모델링은 도메인 컨트롤러에서 실행되므로 모델링 프로세스를 실행할 수 있는 도메인 컨트롤러가 있어야 합니다. 그룹 정책 모델링을 사용하여 Windows Server 2008, Windows Vista, Windows Server 2003 및 Windows XP Professional을 실행 중인 컴퓨터에서 정책 설정을 모델링할 수 있습니다. 그룹 정책 모델링은 정책 처리를 시뮬레이트하고 그룹 정책 결과는 실제로 처리된 정책의 효과를 보여 줍니다.

테스트 사용자로 로그온하여 테스트

가장 좋은 그룹 정책 테스트 방법은 준비 도메인 GPO를 실제로 변경하고 테스트 사용자 계정으로 워크스테이션에 로그온한 후 변경 효과를 관찰하여 결과를 테스트하는 것입니다. 이 경우 변경 내용이 사용자에게 주는 영향을 관찰할 수 있습니다.

그룹 정책 결과를 사용하여 테스트

GPMC가 테스트 컴퓨터에 설치되어 있는 경우 GPMC의 그룹 정책 결과 마법사를 사용하여 사용자와 컴퓨터에 적용되는 GPO에 대한 세부 보고서를 작성할 수 있습니다. 그렇지 않으면 명령줄 버전의 그룹 정책 결과를 사용하여 사용자나 컴퓨터에 적용된 GPO에 대한 보고서를 작성할 수 있습니다. 그런 다음 테스트 GPO를 필요에 따라 적절히 변경할 수 있습니다. 지정된 사용자와 컴퓨터에 대해 모든 그룹 정책을 처리한 후 그룹 정책 결과를 사용하여 적용된 정책 설정을 확인합니다. 결과는 그룹 정책을 처리한 Windows Server 2008, Windows Vista, Windows Server 2003 또는 Windows XP 컴퓨터에서 RSoP를 쿼리하여 수집됩니다. 따라서 마법사는 예상 정책 설정이 아니라 실제로 적용된 정책 설정을 반환합니다. 이는 Gpresult.exe/h 매개 변수와 함께 사용할 때 생성되는 출력과 동일합니다.

그룹 정책 결과 마법사에 대한 자세한 내용은 이 가이드의 그룹 정책 모델링 및 그룹 정책 결과를 사용하여 그룹 정책 설정 평가를 참조하십시오.

그룹 정책 모델링을 사용하여 테스트

그룹 정책을 테스트하는 두 번째 방법은 GPMC의 그룹 정책 모델링 마법사를 사용하여 환경을 실제로 변경하지 않고 환경 변경을 모델링하는 것입니다. 그룹 정책 모델링을 사용하면 프로덕션 출시 전에 사용자 및 컴퓨터 개체에 대한 가상 테스트를 수행하여 다른 OU로 사용자 또는 컴퓨터 개체 이동, 보안 그룹 구성원 자격 변경, 유효 WMI 필터 변경 등의 변경 작업 시 그룹 정책 설정이 어떻게 적용되는지를 확인할 수 있습니다. 그러나 그룹 정책 모델링을 사용하여 얻는 결과는 실제 정책 설정이 아니라 시뮬레이트된 정책 설정입니다. 따라서 사용자의 요구 사항을 충족하는 시나리오를 모델링한 후 항상 그룹 정책 결과 마법사를 사용하여 예상한 정책 설정을 확인하는 것이 좋습니다.

그룹 정책 모델링을 사용하여 GPO의 정책 설정에 대한 제안된 변경을 지정할 수 없으므로 준비 GPO에 대해 제안된 변경을 수행한 다음 지정된 OU, 사용자 또는 컴퓨터에 대해 그룹 정책 모델링 마법사를 실행하여 정책 결과 집합을 결정해야 합니다.

컴퓨터에서 느린 네트워크 연결로 정책을 처리하는 경우에도 그룹 정책 모델링을 통해 그룹 정책 동작을 모델링하여 처리되는 그룹 정책 확장을 결정할 수 있습니다. 컴퓨터가 느린 네트워크 연결을 통해 도메인 컨트롤러에 연결되어 있는 경우 소프트웨어 설치 및 폴더 리디렉션과 같은 그룹 정책 확장은 처리되지 않습니다.

그룹 정책 모델링을 사용하면 느린 연결 속도를 시뮬레이트하여 모델링 중인 사용자 및 컴퓨터에 효과적인 정책 설정을 결정할 수 있습니다. 또한 그룹 정책 모델링은 그룹 정책 루프백 처리의 효과 테스트를 지원합니다. 루프백 처리를 사용하도록 설정하면 로그온한 사용자에 관계없이 동일한 정책 설정이 컴퓨터에 적용됩니다. 루프백 처리는 기본적으로 모델링되지 않으므로 그룹 정책 모델링 마법사에서 루프백 처리를 모델링하도록 지정해야 합니다.

그룹 정책 모델링 마법사를 사용할 때 느린 연결 검사, 루프백 처리 또는 둘 다 지정할 수 있습니다. 루프백 처리에 대해 사용자별 정책을 대체할지 아니면 병합할지를 선택할 수 있습니다. 대체 모드에서는 사용자의 모든 일반 정책 설정을 컴퓨터 개체(루프백 정책 설정)에 적용되는 GPO의 사용자 구성에 정의된 정책 설정으로 대체합니다. 병합 모드에서는 사용자의 일반 정책 설정과 루프백 정책 설정을 병합합니다. 사용자의 일반 정책 설정에 있는 정책 항목이 루프백 정책 설정과 충돌하는 경우 루프백 설정이 적용됩니다.

note참고
그룹 정책 모델링 프로세스는 도메인 컨트롤러에서 실행됩니다. 반대로 Gpresults 또는 그룹 정책 결과 마법사는 그룹 정책을 처리하는 Windows Server 2008, Windows Vista, Windows Server 2003 또는 Windows XP 컴퓨터에서 실행됩니다. 그룹 정책 결과에서는 RSoP WMI 공급자를 사용하여 그룹 정책 처리에 대한 정보를 생성합니다. 그룹 정책 모델링에서는 Windows Server 2008 또는 Windows Server 2003 도메인 컨트롤러의 Resultant Set of Policy Provider 서비스를 사용하여 분석을 수행합니다.

그룹 정책 모델링 마법사에 대한 자세한 내용은 이 가이드의 그룹 정책 모델링 및 그룹 정책 결과를 사용하여 그룹 정책 설정 평가를 참조하십시오.

프로덕션에 배포 준비

준비 환경에서 그룹 정책 변경 테스트를 마쳤으면 새 GPO나 변경된 GPO를 프로덕션 환경에 배포할 준비가 된 것입니다. 그러나 배포 전에 마이그레이션 과정에서 GPO에 포함된 보안 주체 또는 UNC 경로를 다른 값에 매핑해야 하는지 여부를 평가해야 합니다.

마이그레이션 매핑 요구 사항 결정

준비 환경은 프로덕션 환경의 테스트 도메인이거나, 별도의 신뢰할 수 있는 테스트 포리스트이거나, 별도의 신뢰할 수 없는 테스트 포리스트일 수 있습니다. 각각의 경우에 프로덕션 환경에서 새 GPO나 변경된 GPO를 배포할 때 마이그레이션 테이블을 만들어 사용해야 할 수 있습니다. 마이그레이션 테이블은 다음과 같은 다양한 유형의 매핑 요구 사항을 충족합니다.

  • GPO를 프로덕션 환경에 마이그레이션할 때 하나 이상의 GPO에서 각 ACE를 서로 다른 보안 주체에 매핑해야 합니다. GPO의 ACE는 해당 GPO를 처리하는 사용자, 컴퓨터 및 컴퓨터 그룹과 정책 설정 보기 및 편집 또는 GPO 삭제를 수행할 수 있는 사용자 또는 사용자 그룹에 대해 설명합니다.

  • 하나 이상의 GPO에 정의된 보안 또는 폴더 리디렉션 정책 설정 내에서 보안 주체를 매핑해야 합니다. 특히, 사용자 권한 할당, 제한된 그룹, 파일 시스템, 레지스트리, 시스템 서비스 등과 같은 정책을 사용하여 이러한 리소스를 구성하거나 액세스할 수 있는 특정 사용자 또는 그룹을 지정할 수 있습니다. 해당 사용자 또는 그룹에 대한 SID(보안 식별자)는 GPO에 저장되며 GPO를 마이그레이션할 때 프로덕션 도메인 사용자 또는 그룹을 반영하도록 수정되어야 합니다.

  • UNC 경로를 참조하는 소프트웨어 설치, 폴더 리디렉션 또는 스크립트 정책 설정을 정의한 경우 UNC 경로를 매핑해야 합니다. 예를 들어 원격 서버의 외부 경로(예: Netlogon 공유)에 저장된 스크립트를 참조하는 GPO가 있을 수 있습니다. GPO를 마이그레이션할 때 이 경로를 다른 경로에 매핑해야 할 수 있습니다. UNC 경로는 일반적으로 지정된 환경과 관련이 있으며, GPO를 프로덕션 환경에 마이그레이션할 때 변경되어야 할 수 있습니다.

위의 세 가지 조건 중 하나라도 해당되면 마이그레이션할 때 테스트 GPO의 값을 프로덕션 도메인의 올바른 값에 매핑하는 데 사용할 수 있는 마이그레이션 테이블을 만들어야 합니다.

마이그레이션 테이블 만들기

GPMC에 포함된 MTE를 사용하여 마이그레이션 테이블을 만들고 편집합니다. 다음과 같은 두 가지 방법으로 이 테이블에 액세스할 수 있습니다.

  • GPMC 복사 또는 가져오기 작업 중에 MTE를 시작하고 마이그레이션 테이블을 만들거나 편집할 수 있습니다. 이 경우 MTE는 별도의 창에서 시작됩니다. 이 창에서 새 마이그레이션 테이블을 만들거나 기존 마이그레이션 테이블을 편집할 수 있습니다.

  • GPO를 프로덕션 환경으로 마이그레이션하기 전에 가져오기 또는 복사 작업과 별도로 MTE를 독립 실행 모드로 시작하고 마이그레이션 테이블을 만들거나 편집할 수 있습니다.

이 섹션의 뒷부분에 나오는 예제 스크립트를 사용하여 마이그레이션 테이블을 만들 수도 있습니다.

마이그레이션 테이블을 미리 만들 경우의 한 가지 이점은 배포를 시작하기 전에 마이그레이션 설정이 원하는 대로 정확히 정의되었는지 확인할 수 있다는 것입니다. 따라서 프로덕션에서 테스트 GPO를 이동하려면 먼저 마이그레이션해야 할 GPO에 대한 마이그레이션 테이블을 하나 이상 만들어야 합니다. 여러 GPO에 단일 마이그레이션 테이블을 사용할 수 있습니다. 준비 도메인에서 프로덕션 도메인으로의 지정된 마이그레이션에 대해 가능한 모든 보안 주체 및 UNC 경로 조합을 포괄하는 단일 마이그레이션 테이블을 사용할 수 있습니다. 이 경우 준비 도메인에서 프로덕션 도메인으로 배포되는 모든 GPO에 동일한 마이그레이션 테이블을 간단히 적용할 수 있으며 일치하는 이러한 주체와 경로가 올바르게 매핑됩니다.

독립 실행형 MTE 사용

MTE를 독립 실행형 모드로 시작하려면 GPMC 설치 폴더에서 Mtedit.exe를 실행합니다. MTE는 빈 마이그레이션 테이블로 시작됩니다. 테이블의 눈금에 항목을 입력하여 수동으로 채우거나 자동 채우기 방법 중 하나를 사용하여 테이블을 자동으로 채울 수 있습니다.

마이그레이션 테이블 자동 채우기

마이그레이션 테이블을 만들기 시작하는 가장 쉬운 방법은 MTE의 도구 메뉴에서 액세스하는 자동 채우기 기능 중 하나를 사용하는 것입니다. 백업 GPO와 활성 GPO로 마이그레이션 테이블을 자동으로 채울 수 있습니다. 마이그레이션 테이블을 자동으로 채우려면 다음 절차를 사용합니다.

마이그레이션 테이블을 자동으로 채우려면

  1. 활성 GPO 또는 백업 GPO로 테이블을 자동으로 채우도록 선택합니다. 준비 환경의 GPO를 프로덕션 환경으로 마이그레이션하려면 준비 환경의 활성 GPO에 대해 GPO에서 채우기를 사용하여 마이그레이션 테이블을 시작할 수 있습니다. 백업 GPO로 테이블 자동 채우기 프로세스는 백업 GPO에 대한 경로를 제공해야 한다는 점만 제외하고 동일합니다. 이 경우 백업된 GPO가 여러 개 있는 경우 선택할 수 있는 목록이 표시됩니다. 단일 마이그레이션 테이블을 자동으로 채울 때 여러 GPO나 백업 GPO를 선택할 수 있습니다. 따라서 도메인의 모든 GPO에 단일 마이그레이션 테이블을 사용할 수 있습니다.

  2. GPO의 DACL에서 보안 주체를 포함할지 여부를 선택합니다. 마이그레이션 테이블을 자동으로 채울 경우 GPO의 DACL에 있는 보안 주체를 포함하는 옵션을 선택할 수 있습니다. 이 옵션을 선택하면 GPO의 DACL에 있는 보안 주체가 GPO 설정에서 참조되는 보안 주체로 테이블에 포함됩니다. 중복되는 원본 보안 주체는 마이그레이션 테이블에서 반복되지 않습니다. 표 10의 설명과 같이 MTE는 매핑 가능한 다양한 개체 유형을 지원합니다.

    표 10 마이그레이션 테이블에서 지원되는 개체 유형

    개체 유형 매핑하는 데 사용됨

    사용자

    개별 사용자 계정

    도메인 글로벌 그룹

    도메인 글로벌 그룹

    도메인 로컬 그룹

    도메인 로컬 그룹

    유니버설 그룹

    유니버설 그룹

    컴퓨터

    컴퓨터 이름. 예를 들어 GPO에 대한 읽기 및 그룹 정책 적용 권한이
    개별 컴퓨터에 주어질 수 있습니다.

    UNC 경로

    소프트웨어 설치 정책에 사용되는 UNC 경로

    자유 텍스트 또는 SID

    결정되지 않은 보안 주체. 예를 들어 SID가 아니라 이름으로 GPO의 보안 주체를 참조할 수 있습니다("DomainX\Administrators" 대신 "administrators"로 입력). 보안 주체를 확인하여 유형을 결정할 수는 없습니다.

    이 유형의 매핑은 제한된 그룹 보안 정책을 설정하고, 활성 도메인에 대한 이름을 확인하는 대신 그룹의 이름을 입력하는 경우에 발생할 수 있습니다.
    이 경우 그룹 이름은 GPO에 해당 SID가 아니라 지정된 이름으로 저장됩니다. MTE는 이러한 보안 주체를 자유 텍스트 또는 SID로 간주합니다.

    MTE에 원시 SID를 입력할 수도
    있습니다. 이 경우 개체 유형은 MET에서 알 수 없기 때문에 자유 텍스트 또는 SID로 지정해야 합니다.

  3. 각 보안 주체와 UNC 경로에 대해 대상 이름을 수정합니다. 마이그레이션 테이블을 채운 후 각 레코드에 대한 대상 이름 필드를 수정할 수 있습니다. 기본 대상 이름 값은 원본과 동일입니다. 즉, 대상 GPO에 원본과 동일한 보안 주체나 UNC 경로가 사용됩니다. 이 경우 값이 그대로 복사되고 매핑에 변경 내용이 적용되지 않습니다. 일반적으로 GPO를 테스트 환경에서 프로덕션 환경으로 마이그레이션할 때 하나 이상의 원본에 대해 이 필드를 변경해야 합니다. 대상 필드를 변경하려면 항목을 입력하거나 필드를 마우스 오른쪽 단추로 클릭한 다음 적절한 메뉴 항목을 클릭할 수 있습니다.

  4. 찾아보기대상 설정의 두 메뉴 항목을 사용할 수 있습니다. 찾아보기를 사용하여 신뢰할 수 있는 도메인에서 보안 주체를 선택할 수 있습니다. 대상 설정을 선택할 경우 다음 세 옵션 중 하나를 선택할 수 있습니다.

    • 대상 없음. 대상 없음을 지정하면 마이그레이션할 때 보안 주체가 대상 GPO에 포함되지 않습니다. UNC 경로 항목에는 이 옵션을 사용할 수 없습니다.

    • 상대적 이름별 매핑. 상대적 이름별 매핑을 지정하면 보안 주체 이름이 대상 도메인에 이미 있는 것으로 간주되고 해당 대상 이름이 매핑에 사용됩니다. 예를 들어 test.contoso.com 도메인에 대한 원본 이름이 Domain Admins이고 GPO를 contoso.com 도메인으로 마이그레이션하는 경우 Domain Admins@test.contoso.com 이름이 Domain Admins@contoso.com에 매핑됩니다. 가져오기 또는 복사 작업이 성공하려면 그룹이 대상 도메인에 이미 있어야 합니다. UNC 경로 항목에는 이 옵션을 사용할 수 없습니다.

    • 원본과 동일. 원본과 동일을 지정하면 원본 GPO와 대상 GPO에 동일한 보안 주체가 사용됩니다. 이때 보안 항목은 반드시 그대로 유지됩니다. 이 옵션은 프로덕션 도메인과 동일한 포리스트의 테스트 도메인에서 마이그레이션하는 경우나 프로덕션 포리스트를 신뢰할 수 있는 다른 포리스트의 테스트 도메인에서 마이그레이션하는 경우에만 유용합니다. 원본 이름을 성공적으로 매핑하려면 프로덕션 포리스트의 컴퓨터 및 사용자가 원본 이름을 확인할 수 있어야 합니다.

    대상 이름에 사용할 수 있는 옵션에 대한 몇 가지 제한 사항이 있습니다. UNC 경로는 원본과 동일 옵션만 지원하며, 다른 UNC 경로를 수동으로 입력할 수 있습니다. 자유 텍스트 또는 SID로 지정되는 보안 주체는 상대적 이름별 매핑을 지원하지 않습니다.

    또한 여러 그룹 유형을 서로 매핑하면 경고 메시지가 나타납니다. 예를 들어 도메인 글로벌 그룹인 원본 주체가 있는 경우 도메인 로컬 그룹을 대상으로 선택하면 대상 이름이 원본과 다른 유형이라는 경고 메시지가 나타납니다. 그런 다음 파일의 유효성을 검사하려고 하면 유효성 검사 프로세스가 실패합니다. 그러나 이 경우에도 마이그레이션 테이블을 사용하여 마이그레이션을 수행할 수 있습니다. 마이그레이션 테이블은 Administrators 그룹과 같은 기본 제공 보안 그룹으로의 매핑을 지원하지 않습니다.

    MTE에서 행을 삭제하려면 원하는 행을 선택하여 마우스 오른쪽 단추로 클릭한 다음 삭제를 클릭합니다.

  5. 마이그레이션 테이블의 유효성을 검사합니다. 마이그레이션 테이블을 저장하기 전에 파일의 유효성을 검사하는 것이 좋습니다. 그렇게 하려면 도구 메뉴에서 유효성 검사를 클릭합니다. 유효성 검사 프로세스에서는 결과 파일의 XML 형식이 유효하고 마이그레이션의 관점에서 대상 이름이 올바른지 확인합니다. 예를 들어 대상에 대한 UNC 경로를 입력했지만 해당 경로가 존재하지 않을 경우 유효성 검사 프로세스에서 경고를 반환합니다. 특히 유효성 검사 프로세스에서는 다음을 수행합니다.

    • 대상 보안 주체 및 UNC 경로의 존재를 확인합니다.

    • UNC 경로의 원본 항목에 지원되지 않는 대상(상대적 이름별 매핑 또는 대상 없음)이 없는지 확인합니다.

    • 테이블에 있는 각 대상 항목의 유형이 Active Directory의 유형과 일치하는지 확인합니다.

    특히 데이터를 수동으로 입력하는 경우에는 유효성 검사 프로세스를 수행하여 항목 오류로 인해 마이그레이션이 실패하지 않는지 확인해야 합니다. 파일을 편집하는 사용자가 파일에 지정된 보안 주체나 UNC 경로를 확인할 수 없기 때문에 매핑 파일의 유효성 검사가 실패하는 경우도 있습니다. 이 경우에도 마이그레이션을 수행하는 사용자가 보안 주체와 UNC 이름을 확인할 수 있으면 파일은 마이그레이션 중에 예상한 대로 작동합니다. 유효성 검사 메시지에는 테이블에 구문 오류가 있는지 여부와 검사기에서 보안 주체 이름이나 UNC 경로를 확인할 수 없는지 여부가 표시됩니다. 이름 확인에 실패할 경우 실제 마이그레이션 중에 원본 리소스와 대상 리소스에 모두 액세스할 수 있는지 확인합니다.

  6. 테이블 편집을 마친 후 파일저장을 차례로 클릭하여 결과 .migtable 파일을 저장합니다.

수동으로 마이그레이션 테이블 항목 입력

자동 채우기 기능을 사용하지 않도록 선택하거나 데이터를 수동으로 입력해야 하는 경우 대상 테이블이 유효하도록 적절한 형식을 따라야 합니다. 표 11에는 마이그레이션 테이블에서 지원되는 각 개체 유형에 적절한 양식이 정리되어 있습니다. 이러한 형식은 원본 필드와 대상 필드에 모두 필요합니다.

표 11 마이그레이션 개체에 필요한 형식

개체 유형 필요한 형식

사용자

a. UPN - 사용자@UPN 접미사

b. SAM - NetBIOS 도메인 이름\사용자

c. DNS - DNS 도메인 이름\사용자

예: MonicaB@contoso.com, contoso\MonicaB 또는 contoso.com\MonicaB

도메인 글로벌 그룹

a. UPN - 그룹@UPN 접미사

b. SAM - NetBIOS 도메인 이름\그룹

c. DNS - DNS 도메인 이름\그룹

예: DomainAdmins@contoso.com, contoso\DomainAdmins 또는 Contoso.com\DomainAdmins

도메인 로컬 그룹

a. UPN - 그룹@UPN 접미사

b. SAM - NetBIOS 도메인 이름\그룹

c. DNS - DNS 도메인 이름\그룹

예: Administrators@contoso.com, contoso\Administrators 또는 Contoso.com\Administrators

유니버설 그룹

a. UPN - 그룹@UPN 접미사

b. SAM - NetBIOS 도메인 이름\그룹

c. DNS - DNS 도메인 이름\그룹

예: EnterpriseAdmins@contoso.com, contoso\EnterpriseAdmins 또는 contoso.com\EnterpriseAdmins

컴퓨터

a. UPN - 컴퓨터 이름$@UPN 접미사

b. SAM - NetBIOS 도메인 이름\컴퓨터 이름$

c. DNS - DNS 도메인 이름\컴퓨터 이름$

예: server1$@contoso.com, contoso\server1$ 또는 contoso.com\server1$. 여기서 $는 컴퓨터의 숨겨진 컴퓨터 계정을 나타냅니다.

UNC 경로

\\서버 이름\공유 이름\. 예: \\server1\packages

자유 텍스트 또는 SID

문자열 또는 SID의 문자열 표현을 입력합니다.(예: "MonicaB" 또는 "S-1-5-21-1473733259-1489586486-3363071491-1005"). SID를 대상 필드에 지정할 수 없습니다.

스크립트를 사용하여 마이그레이션 테이블 만들기

마이그레이션 테이블 만들기 프로세스를 자동화해야 하는 경우 GPMC 예제 스크립트 CreateMigrationTable.wsf를 사용할 수 있습니다. MTE 대신 이 스크립트를 사용하여 초기 마이그레이션 테이블을 생성한 다음 MTE를 사용하여 테이블을 수정할 수도 있습니다.

CreateMigrationTable.wsf 스크립트는 현재 GPO 또는 백업 GPO 위치를 사용하여 마이그레이션 테이블 자동 채우기를 지원합니다. 또한 도메인의 모든 GPO에서 스크립트를 읽을 수도 있습니다. 이 경우 준비 도메인의 GPO에 있는 모든 가능한 보안 주체가 마이그레이션 테이블에 삽입되고 준비 도메인에서 프로덕션 도메인으로의 모든 GPO 마이그레이션에 이 단일 마이그레이션 테이블을 사용할 수 있습니다.

보안 주체를 제외할 수 있는 옵션을 제공하는 MTE와 달리 스크립트에는 GPO에 있는 DACL의 일부인 보안 주체가 항상 포함됩니다. 스크립트에서 대상 이름을 기본값인 원본과 동일 대신 상대적 이름별 매핑으로 설정할 수도 있습니다. 상대적 이름 지정을 구현하려면 /MapByName 옵션을 사용합니다.

다음 명령은 스크립트를 사용하는 방법을 보여 줍니다. 이 명령에서 Finance OU Desktop Policy GPO는 준비 도메인 staging.contoso.com에 있습니다. 이 명령은 현재 GPO에서 마이그레이션 테이블 FinanceStaging.migtable을 자동으로 채웁니다.

Cscript.exe CreateMigrationTable.wsf c:\migtables\FinanceStaging.migtable /GPO: "Finance OU Desktop Policy" /domain:staging.contoso.com

활성 복사본 대신 이 GPO의 백업으로 마이그레이션 테이블을 만들려면 명령 구문에 /BackupLocation 옵션을 추가한 다음 GPO의 백업 복사본이 있는 폴더 경로를 제공하면 됩니다. /BackupLocation 옵션을 사용할 때 해당 폴더 경로에 백업 GPO가 여러 개 있는 경우 사용 가능한 백업 GPO를 모두 사용하여 마이그레이션 테이블을 채웁니다.

배포를 위한 최종 준비

프로덕션 배포 전의 최종 단계로 준비 GPO를 백업해야 합니다. 백업은 GPO 가져오기를 사용하여 준비에서 프로덕션으로 마이그레이션을 수행하는 경우에 필요합니다. 준비 환경이 프로덕션 도메인과 다른 포리스트에 존재하여 프로덕션 도메인에서 신뢰할 수 없는 경우나 프로덕션 환경에 이미 있는 기존 GPO를 업데이트해야 하는 경우에 이 방법을 사용해야 합니다. GPMC를 사용하여 하나 이상의 GPO를 백업하거나 예제 스크립트 BackupGPO.wsf를 사용하여 준비 도메인의 단일 GPO나 모든 GPO를 백업할 수 있습니다. GPMC를 사용하여 GPO를 백업하려면 GPMC 콘솔 트리에서 백업할 GPO를 마우스 오른쪽 단추로 클릭한 다음 백업을 클릭합니다.

BackupGPO.wsf를 사용하여 GPO를 백업하려면 Program Files\Microsoft Group Policy\GPMC Sample Scripts 폴더에서 스크립트를 실행합니다. 다음 명령줄 구문은 도메인 staging.contoso.com의 GPO Finance OU Workstation Security Policyc:\gpobacks 폴더에 백업합니다.

Cscript.exe backupgpo.wsf "Finance OU Workstation Security Policy" c:\gpobacks /comment:"Backup prior to prod" /domain:staging.contoso.com

위의 구문에는 백업의 용도를 나타내는 설명이 포함되어 있습니다.

프로덕션 환경에 준비된 GPO 배포

준비 환경을 구축하고, 프로덕션 환경과 동기화하고, 새 GPO와 변경된 GPO를 테스트하고, 마이그레이션 테이블을 만든 후 실제 프로덕션 배포를 수행할 수 있습니다.

배포 예방 조치

사용자에게 중단 없는 서비스를 제공하려면 준비된 GPO를 프로덕션 환경으로 마이그레이션할 때 다양한 예방 조치를 지켜야 합니다. 일반적으로 새 GPO 마이그레이션은 프로덕션 사용자 또는 컴퓨터에 부정적인 영향을 주지 않는 빠른 프로세스이지만 영향을 받을 가능성이 있는 사용자 수가 최소화될 때까지는 이러한 변경을 방지해야 합니다. 일반적으로 사용자가 네트워크에서 활동하고 있지 않는 시간, 즉 업무가 바쁘지 않은 시간에 마이그레이션을 수행할 수 있습니다.

GPO를 업데이트할 경우 GPMC에서 특정 도메인에 대해 대상으로 지정한 도메인 컨트롤러가 가장 먼저 업데이트됩니다. GPMC를 사용하여 마이그레이션을 수행할 경우 콘솔 트리에서 도메인 항목을 클릭하여 관리 중에 각 도메인에 대해 사용 중인 도메인 컨트롤러를 확인할 수 있습니다. 도메인 컨트롤러를 변경하려면 GPMC 콘솔 트리에서 도메인 이름을 마우스 오른쪽 단추로 클릭하고 도메인 컨트롤러 변경을 클릭한 다음 새 도메인 컨트롤러를 지정한 후 변경 내용을 마이그레이션합니다.

GPO 복제

GPO 변경 내용은 Active Directory 및 Sysvol 복제 토폴로지에 따라 전파되므로, 전 세계 Active Directory 배포의 모든 위치에 복제하려면 시간이 오래 걸릴 수 있습니다. GPO는 두 부분 즉, Active Directory의 일부로 저장되고 복제되는 부분과 Sysvol의 일부로 저장되고 복제되는 부분으로 구성됩니다. 이러한 부분은 네트워크를 통해 복제해야 하는 두 개의 개별 개체이기 때문에 새 GPO를 적용하기 전에 둘 다 동기화되어야 합니다.

GPMC를 사용하여 지정된 도메인 컨트롤러에 대한 복제 상태를 볼 수 있습니다. GPMC 콘솔 트리에서 적용할 GPO가 들어 있는 포리스트 또는 도메인의 그룹 정책 개체를 확장하고 확인할 GPO를 클릭한 다음 세부 정보 창에서 자세히 탭을 클릭합니다. 해당 도메인 컨트롤러에서 GPO가 동기화된 경우 사용자 및 컴퓨터 구성의 Active Directory 및 Sysvol 버전 번호가 동일합니다. 그러나 사용자 버전 번호가 컴퓨터 버전 번호와 일치할 필요는 없습니다.

배포 수행을 위한 요구 사항

준비된 GPO를 프로덕션 환경으로 마이그레이션하기 위한 준비 과정에서 유의할 주요 요구 사항은 대상 GPO에 대한 충분한 사용 권한이 있는지 여부입니다. 일반적으로 원본 도메인에 대한 읽기 권한만 있으면 배포를 완료할 수 있습니다. 준비 환경의 구성에 따라 마이그레이션 전에 특정 단계를 수행해야 할 수 있습니다. 복사 작업을 수행할 경우 대상 도메인에 새 GPO를 만들 권한이 있어야 합니다. 백업 GPO를 가져오려면 백업 파일의 위치에 관계없이 백업 파일을 읽을 수 있고 가져오기 작업의 대상 도메인에서 기존 GPO를 수정할 권한이 있어야 합니다. 마지막으로 마이그레이션 테이블을 필요로 하는 각 GPO에 대해 만든 마이그레이션 테이블이 마이그레이션을 수행할 때 액세스 가능한 위치에 저장되는지 확인해야 합니다. 다음 검사 목록에는 마이그레이션을 실행하기 전에 확인할 항목이 요약되어 있습니다.

  • 복사 작업 시: 원본 도메인에서 대상 도메인을 신뢰할 수 있고 대상 도메인에 대한 GPO 만들기 권한이 있는지 확인합니다. GPMC를 사용하여 도메인에 대한 GPO 만들기 권한을 확인할 수 있습니다. GPMC 콘솔 트리에서 대상 도메인의 그룹 정책 개체를 확장한 다음 위임 탭을 클릭하여 도메인에서 새 GPO를 만들 수 있는 사용자 또는 그룹을 확인합니다.

  • 가져오기 작업 시: 백업 GPO 파일에 대한 액세스 권한이 있고 대상 GPO에 대한 GPO 설정 편집 권한이 있는지 확인합니다.

  • 마이그레이션 테이블(.migtable)을 사용하는 경우: GPMC에서 파일에 액세스할 수 있는지 확인합니다.

배포 예

아래의 두 예에서는 준비 환경에서 프로덕션 환경으로 GPO 배포를 보여 줍니다. 첫 번째 예에서는 준비 도메인이 프로덕션 도메인과 동일한 포리스트에 있습니다. 두 번째 예에서는 준비 도메인이 프로덕션 도메인에서 신뢰할 수 없는 개별 포리스트에 있습니다. 프로덕션 도메인에서 신뢰할 수 있는 개별 준비 포리스트를 사용하는 경우의 단계는 준비 도메인이 프로덕션 포리스트에 있는 첫 번째 예와 동일합니다.

단일 포리스트 또는 신뢰할 수 있는 준비 포리스트에서 준비 도메인을 프로덕션 도메인으로 배포

준비 도메인이 프로덕션 포리스트에 있거나 프로덕션 도메인에서 신뢰할 수 있는 개별 준비 포리스트가 있는 경우 새 GPO인지 아니면 변경된 GPO인지에 따라 배포 방법이 달라집니다. GPO가 새 GPO이고 프로덕션 도메인에 없는 경우 복사 방법을 사용하여 새 GPO를 배포합니다. 기존 GPO에 업데이트를 배포할 경우 가져오기 방법을 사용하여 프로덕션 GPO의 설정을 백업 준비 GPO의 설정으로 업데이트해야 합니다.

이 예에서는 GPMC를 사용하여 새 GPO 영업 OU 워크스테이션 보안 정책을 준비 도메인에서 프로덕션 도메인으로 배포합니다. 그림 11에서는 준비 및 프로덕션 도메인 구성과 해당 마이그레이션 테이블을 보여 줍니다.

1b96d2a0-3a40-43f2-a46a-5da3c361412a

배포를 시작하기 전에 GPMC에서 원본 도메인과 대상 도메인을 모두 로드합니다. 별도의 신뢰할 수 있는 포리스트에서 복사할 경우 GPMC에서 두 포리스트를 모두 엽니다.

복사 방법을 사용하여 새 GPO를 배포하려면

  1. GPMC 콘솔 트리에서 준비 도메인의 그룹 정책 개체를 확장합니다.

  2. 복사할 GPO를 마우스 오른쪽 단추로 클릭한 다음 복사를 클릭합니다.

  3. GPMC 콘솔 트리에서 프로덕션 도메인의 그룹 정책 개체를 마우스 오른쪽 단추로 클릭한 다음 붙여넣기를 클릭합니다. 복사 마법사가 열립니다.

  4. 복사 마법사의 시작 페이지에서 다음을 클릭합니다.

  5. 원래 GPO의 권한 유지 또는 마이그레이션을 선택하고 다음을 클릭합니다.

    이 옵션을 선택하면 마이그레이션 테이블을 사용하여 준비 GPO의 DACL을 해당 프로덕션 GPO로 매핑할 수 있습니다. 첫 번째 옵션 새 GPO에 대한 기본 권한 사용을 선택한 경우 이 GPO는 프로덕션 도메인의 모든 새 GPO에 적용되는 기본 사용 권한을 받습니다.

  6. 마법사에서 원본 GPO를 검색하여 보안 주체 또는 UNC 경로 매핑 요구 사항을 확인한 후 다음을 클릭합니다.

  7. 참조 마이그레이션 페이지에서 이 마이그레이션 테이블을 사용하여 새 GPO의 새 값에 매핑을 선택합니다.

    이 옵션을 선택한 경우 배포 과정에서 사용할 마이그레이션 테이블을 선택할 수 있습니다. 새 GPO를 준비 환경에서 프로덕션 환경으로 마이그레이션하는 중이므로 이 옵션을 선택해야 합니다. 대체 옵션인 원본과 동일하게 복사는 새 GPO의 모든 보안 주체와 UNC 경로를 원본 그대로 유지합니다.

  8. 동일한 페이지에서 원본 GPO에 있는 보안 주체나 UNC 경로가 마이그레이션 테이블에 없는 경우 전체 마이그레이션이 실패하도록 하려면 마이그레이션 테이블을 독점적으로 사용을 선택합니다.

    이 옵션을 선택하면 마법사에서 사용자가 지정하는 마이그레이션 테이블을 사용하여 모든 보안 주체와 UNC 경로를 매핑하려고 합니다. 따라서 마이그레이션 테이블의 모든 보안 주체와 UNC 경로를 고려했는지 확인하는 데 유용합니다.

  9. 다음을 클릭합니다.

  10. 마법사의 완료 페이지에서 올바른 마이그레이션 옵션을 지정했는지 확인한 다음 마침을 클릭합니다.

    마침을 클릭하면 준비 GPO 마이그레이션이 시작됩니다. 새 GPO가 프로덕션 도메인에 만들어지지만 아직은 컨테이너 개체에 연결되지 않습니다.

  11. 마법사에서 복사 작업을 완료한 후 복사된 GPO를 연결할 Active Directory 사이트, 도메인 또는 OU를 마우스 오른쪽 단추로 클릭한 다음 기존 GPO 연결을 선택합니다.

  12. GPO 선택 대화 상자에서 방금 복사한 GPO를 선택합니다.

새 GPO를 연결하고 복제가 완료되면 GPO가 프로덕션 도메인에서 활성화됩니다.

스크립트를 사용하여 복사 배포 수행

CopyGPO.wsf 스크립트를 사용하여 복사 배포를 수행할 수도 있습니다. 이 스크립트는 단일 명령으로 GPO를 준비 도메인에서 프로덕션 도메인으로 복사합니다. 위의 절차에서 설명한 것과 동일한 복사 작업을 수행하려면 다음 명령을 사용합니다.

Cscript CopyGPO.wsf "Sales OU Workstation Security Policy" "Sales OU Workstation Security Policy" /SourceDomain:staging.contoso.com /TargetDomain:contoso.com /SourceDC:staging-dc1 /TargetDC:prod-DC1 /migrationtable:c:\migtables\SalestoProd.migtable /CopyACL

이 명령의 처음 두 인수는 원본 GPO와 대상 GPO 모두에 동일한 이름을 지정합니다. 다음 4개의 인수는 원본 및 대상 도메인 이름과 각 도메인의 도메인 컨트롤러를 지정합니다. /migrationtable 인수는 사용할 마이그레이션 테이블을 지정하고, /CopyACL 인수는 원본 GPO의 DACL을 보존하고 지정된 마이그레이션 테이블을 사용하여 원본 DACL을 해당 프로덕션 도메인의 DACL에 매핑하는 데 사용됩니다.

신뢰할 수 없는 준비 포리스트에서 프로덕션 도메인으로 배포

프로덕션 포리스트에서 신뢰할 수 없는 준비 포리스트에서 GPO를 배포할 경우 배포에 대해 가져오기 작업만 선택할 수 있습니다. 준비 도메인과 프로덕션 도메인 간에 트러스트 관계가 있는 경우에도 가져오기를 사용하여 프로덕션 도메인의 기존 GPO에 업데이트를 배포할 수 있습니다.

가져오기 작업 필수 구성 요소

이 예에서 배포를 수행하기 전에 다음을 수행해야 합니다.

  • GPMC를 사용하여 새 GPO를 배포할 경우 프로덕션 도메인에서 가져오기 작업의 대상 역할을 할 수 있는 빈 GPO를 새로 만들어야 합니다. GPMC 가져오기 작업은 정책 설정을 백업 GPO에서 기본 대상 GPO로 가져와서 수행됩니다. 그러나 ImportGPO.wsf 스크립트를 사용하여 가져오기 프로세스 중에 새 GPO를 자동으로 만들 수도 있습니다.

  • 가져오기를 시작하기 전에 프로덕션 도메인에 배포할 준비 도메인의 GPO를 백업합니다. 가져오기 작업에서 활성 GPO 대신 백업 GPO를 사용하기 때문에 이 작업을 수행해야 합니다.

  • 스크립트 대신 GPMC를 사용하여 가져오기를 수행하는 경우 가져오기를 완료하기 전에 현재 프로덕션 GPO를 백업할 수 있습니다. 배포 과정에서 문제가 발생하는 경우에 대비하여 새 버전을 배포하기 전에 기존 프로덕션 GPO를 항상 백업해야 합니다. 이 경우 GPMC에서 복원 작업을 수행하여 GPO의 이전 버전을 복원할 수 있습니다.

이러한 작업을 수행한 후 다음 절차에 따라 가져오기 작업을 사용하여 새 GPO를 프로덕션 환경에 배포합니다.

가져오기 작업을 사용하여 새 GPO를 프로덕션 도메인에 배포하려면

  1. GPMC 콘솔 트리에서 프로덕션 도메인의 그룹 정책 개체를 확장합니다.

  2. 업데이트할 GPO를 마우스 오른쪽 단추로 클릭한 다음 설정 가져오기를 클릭합니다. 설정 가져오기 마법사가 열립니다.

  3. 시작 페이지에서 다음을 클릭합니다.

  4. GPO 백업 페이지에서 백업을 클릭하여 가져오기를 수행하기 전에 기존 프로덕션 GPO를 백업합니다.

  5. 그룹 정책 개체 백업 대화 상자에서 GPO 백업을 저장할 위치를 지정하고 백업에 대한 설명을 입력한 다음 백업을 클릭합니다.

  6. GPO 백업이 완료되면 백업이 성공했다는 메시지가 나타납니다. 확인을 클릭합니다.

  7. GPO 백업 페이지에서 다음을 클릭합니다.

  8. 백업 위치 페이지에서 가져올 준비 GPO의 백업이 들어 있는 폴더를 지정합니다.

    준비 GPO를 백업한 폴더에 대한 액세스 권한이 있어야 합니다. 준비 포리스트의 서버에서 백업을 완료한 경우 준비 포리스트의 자격 증명을 사용하여 가져오기 작업을 수행할 컴퓨터에서 해당 폴더로 드라이브를 매핑해야 할 수 있습니다.

  9. 다음을 클릭합니다.

  10. 원본 GPO 페이지에서 가져올 준비 GPO를 클릭하고 다음을 클릭합니다.

  11. 백업 검사 페이지에서 마법사가 백업의 정책 설정을 검사하여 전송해야 할 보안 주체 또는 UNC 경로에 대한 참조를 결정한 다음 검사 결과를 표시합니다.

  12. 다음을 클릭합니다.

  13. 참조 마이그레이션 페이지에서 이 마이그레이션 테이블을 사용하여 새 GPO의 새 값에 매핑을 선택한 다음 이 마이그레이션을 위해 만든 마이그레이션 테이블의 경로를 지정합니다.

    이 옵션을 선택한 경우 배포 과정에서 사용할 마이그레이션 테이블을 선택할 수 있습니다. 프로덕션 도메인과의 트러스트 관계가 없는 준비 도메인에서 GPO를 배포하는 중이므로 마이그레이션 테이블을 사용하여 보안 주체 및 UNC 경로 정보를 마이그레이션해야 합니다. 그렇지 않으면 신뢰할 수 없는 포리스트에서 참조되는 보안 주체 및 UNC 경로를 프로덕션 도메인에서 확인할 수 없습니다.

  14. 동일한 페이지에서 원본 GPO에 있는 보안 주체나 UNC 경로가 마이그레이션 테이블에 없는 경우 전체 마이그레이션이 실패하도록 하려면 마이그레이션 테이블을 독점적으로 사용을 선택합니다.

    백업된 버전에 있는 모든 보안 주체가 마이그레이션 테이블에 있는 경우에만 이 옵션을 사용하여 GPO를 가져옵니다.

  15. 다음을 클릭합니다.

  16. 마법사의 완료 페이지에서 올바른 마이그레이션 옵션을 지정했는지 확인한 다음 마침을 클릭합니다. 마침을 클릭하면 준비 GPO 마이그레이션이 시작됩니다. 마법사에서 가져오기 작업을 완료하면 가져오기가 성공했다는 메시지가 나타납니다.

  17. 확인을 클릭합니다.

이 가져오기를 수행하려고 새 프로덕션 GPO를 만든 경우 새 GPO를 적절한 컨테이너 개체에 연결해야 합니다. GPO를 적절한 컨테이너 개체에 연결하려면 GPMC 콘솔 트리의 프로덕션 도메인에서 가져온 GPO를 연결할 Active Directory 사이트, 도메인 또는 OU를 마우스 오른쪽 단추로 클릭하고 기존 GPO 연결을 클릭한 다음 연결할 GPO를 지정하고 확인을 클릭합니다. 새 GPO를 연결하고 복제가 완료되면 GPO가 프로덕션 도메인에서 활성화됩니다.

스크립트를 사용하여 가져오기 배포 수행

ImportGPO.wsf 스크립트를 사용하여 가져오기 배포를 수행할 수도 있습니다. 이 스크립트를 사용하면 백업 GPO를 프로덕션 도메인으로 가져올 수 있습니다. 또한 대상 GPO가 없는 경우 스크립트를 사용하여 프로세스 중에 가져오기를 받을 새 GPO를 만들 수 있습니다. 위의 절차에서 설명한 것과 동일한 가져오기 작업을 수행하려면 다음 명령을 입력합니다.

Cscript ImportGPO.wsf c:\gpobacks "Sales OU Workstation Security Policy" "Sales OU Workstation Security Policy" /CreateIfNeeded /MigrationTable:c:\migtables\salesprod.migtable /Domain:contoso.com

이 명령의 첫 번째 인수는 백업 GPO 파일의 위치를 지정합니다. 두 번째 인수는 가져올 백업된 GPO의 이름을 지정합니다. 백업을 고유하게 식별하기 위해 백업 유틸리티에서 생성되는 128비트 GUID 값인 백업 ID를 대신 제공할 수도 있습니다. 세 번째 인수는 가져올 대상 GPO의 이름을 지정합니다. /CreateIfNeeded 인수는 대상 GPO가 없는 경우 가져오기를 수행하기 전에 대상 GPO를 만들도록 지정합니다. /MigrationTable 인수는 마이그레이션 테이블 파일의 경로와 이름을 지정합니다. /Domain 인수는 대상 도메인의 DNS 이름을 제공합니다.

롤백

준비 환경에서 프로덕션 환경으로 GPO를 배포한 후 GPO에 문제가 있는 경우 가장 좋은 배포 롤백 방법은 원본 GPO를 복원하기 위해 만든 백업 GPO를 사용하는 것입니다. RestoreGPO.wsf 스크립트를 사용하여 복원 프로세스를 수행할 수도 있습니다. 배포 과정에서 RestoreGPO.wsf를 사용하여 모든 변경 내용을 자동으로 롤백하는 데 사용할 수 있는 스크립트 집합을 만드는 것이 좋습니다. 롤백을 수행해야 하는 경우 최소의 사용자 작업으로 스크립트를 준비하여 사용할 수 있습니다.

그룹 정책에 대한 추가 리소스

  • TechCenter의 그룹 정책 관리(http://go.microsoft.com/fwlink/?LinkId=109523)

  • Windows Server 2008 도움말 및 지원 센터의 "그룹 정책" (http://go.microsoft.com/fwlink/?LinkId=109524)(페이지는 영문일 수 있음)

  • GPMC를 사용하여 그룹 정책을 배포하는 방법에 대한 GPMC의 도움말

  • GPMC에서 편집 시 기본 확장 보기의 특정 그룹 정책 설정에 대한 도움말. 해당 정책 설정에 대한 자세한 정보를 보려면 그룹 정책 설정을 선택하십시오.

  • Dcgpofix.exe, Gpupdate.exe, Gpresult.exe 등과 같은 명령줄 도구에 대한 자세한 내용이 정리되어 있는 Windows Server 2008 명령 참조 A-Z 목록(http://go.microsoft.com/fwlink/?LinkId=109525)(페이지는 영문일 수 있음)

이 정보가 도움이 되었습니까?
(1500자 남음)
의견을 주셔서 감사합니다.

커뮤니티 추가 항목

추가
표시:
© 2014 Microsoft