내보내기(0) 인쇄
모두 확장
확장 최소화

RSoP(정책 결과 집합)

적용 대상: Windows Server 2003 with SP1

정책 결과 집합은 어떤 기능을 수행합니까?

그룹 정책 RSoP(정책 결과 집합)는 사용자 또는 컴퓨터에 적용할 그룹 정책 설정을 보고합니다. GPMC(그룹 정책 관리 콘솔)의 그룹 정책 결과는 대상 컴퓨터에 RSoP 데이터를 요청하고 HTML 형식의 보고서로 이를 표시합니다. 그룹 정책 모델링은 동일한 유형의 정보를 요청하지만 컴퓨터 및 사용자의 결합에 대해 RSoP를 시뮬레이트하는 서비스에서 가져온 데이터가 보고됩니다. 이 시뮬레이션은 Windows Server 2003을 실행하는 도메인 컨트롤러에서 수행되며 프레젠테이션을 위해 GPMC를 실행하는 컴퓨터로 반환됩니다. 그룹 정책 결과가 일반적으로 더 선호되는 방법이지만 RSoP MMC(Microsoft Management Console)는 이러한 정보를 또 다른 방식으로 표시합니다.

이 기능의 적용 대상은 누구입니까?

Active Directory 도메인 환경의 그룹 정책 관리자입니다. 또한 그룹 정책 응용 프로그램을 계획하고 유효성을 확인해야 하는 IT 전문가도 RSoP의 적용 대상입니다.

기존 기능 중 Windows Server 2003 서비스 팩 1에서 변경된 기능은 무엇입니까?

Windows 방화벽을 사용 가능하게 설정하여 RSoP 사용

자세한 설명

Windows XP 서비스 팩 2(SP2)에서는 Windows 방화벽이 기본적으로 사용됩니다. 컴퓨터에서 시작된 요청에 대한 응답과는 반대로 열리지 않은 포트에 대해 들어오는 요청은 Windows 방화벽에 의해 차단됩니다. Windows Server 2003 서비스 팩 1(SP1)에서는 Windows 방화벽이 기본으로 사용되지 않습니다.

Windows 방화벽 사용을 선택한 경우 네트워크를 통해 RSoP를 사용할 경우 미치는 영향을 인식해야 합니다.

Windows 방화벽에 대한 자세한 내용은 이 문서에서 “Windows 방화벽”을 참조하십시오.

이 변경 사항이 중요한 이유는 무엇입니까?

Windows 방화벽 같은 방화벽을 설정하면 많은 네트워크 기반 공격으로부터 효과적으로 보호해 줍니다. 예를 들어 Windows 방화벽을 사용할 수 있게 설정한 경우에는 사용자 컴퓨터에 최신 패치를 설치했는지 여부에 관계없이 최신 MSBlaster 공격의 영향력이 현저히 줄어듭니다.

작동 방식의 차이는 무엇입니까?

Windows Server 2003 SP1에서는 RSoP와 관련하여 두 가지 중요한 사항이 변경되었습니다.

  • 컴퓨터에 Windows 방화벽을 설치하면 대상 컴퓨터에서 RSoP 데이터에 원격으로 액세스할 수 없게 됩니다.

  • Windows 방화벽을 사용하도록 설정하면 그룹 정책 결과 또는 그룹 정책 모델링을 사용하여 RSoP 데이터를 검색하기 위해 GPMC를 실행할 때 이 데이터를 검색할 수 없습니다.

이러한 문제를 해결하는 방법은 무엇입니까?

다음 표에는 Windows 방화벽이 설정된 Windows XP SP2 또는 Windows Server 2003 SP1을 실행할 때 원격 RSoP 작업을 완벽하게 지원하는 데 필요한 변경 사항이 요약되어 있습니다. 자세한 내용은 아래 섹션을 참조하십시오.

 

작업 대상 컴퓨터 관리 컴퓨터

그룹 정책 결과 생성

Windows 방화벽: 원격 관리 예외 허용 그룹 정책 설정을 사용합니다.

이 그룹 정책 설정은 Computer Configuration \Administrative Templates\Network \Network Connections\Windows Firewall\[Domain | Standard] Profile\에 있습니다.

GPMC SP1

필요한 작업 없음

RSoP 스냅인

Windows 방화벽 설정: 프로그램 예외 정의. WMI 메시지가 전송될 수 있도록 Unsecapp.exe에 대한 전체 경로와 함께 프로그램 예외 목록을 구성합니다. 기본 설치의 경우 Unsecapp.exe는 C:\Windows\System32\Wbem 폴더에 있습니다.

Windows 방화벽: 포트 예외 정의 정책을 설정하여 포트 135를 엽니다.

그룹 정책 결과에 대한 액세스 권한 위임

Windows 방화벽: 원격 관리 예외 허용 그룹 정책 설정을 사용합니다.

다음 DCOM 보안 설정을 구성합니다.

DCOM: 컴퓨터 액세스 제한...

DCOM: 컴퓨터 시작 제한...

이러한 정책 설정은 Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options에 있습니다.

필요한 변경 사항 없음

로컬 그룹 정책 개체 원격 편집

Windows 방화벽: 파일 및 프린터 공유 관리 예외 허용 정책 설정을 사용합니다.

이 정책 설정은 Computer Configuration \Administrative Templates\Network \Network Connections\Windows Firewall\[Domain | Standard] Profile\에 있습니다.

필요한 변경 사항 없음

GPMC SP1으로 원격 RSoP 관리

GPMC의 초기 릴리스에서 그룹 정책 결과 또는 모델링 요청 결과를 기다릴 때 사용한 콜백 메커니즘입니다. 관리 컴퓨터에 이러한 응답이 "수신"되어야 합니다. Windows 방화벽이 설정된 경우 Windows는 이러한 응답을 차단합니다. 해당 포트를 열어 이러한 문제를 처리할 수 있지만 업데이트된 GPMC(그룹 정책 관리 콘솔) 서비스 팩 1을 사용하면 콜백 메커니즘을 사용할 수 없습니다. GPMC Windows Server 2003 서비스 팩 1을 사용하면 관리 컴퓨터에서 포트를 열지 않아도 그룹 정책 결과 및 모델링이 계속 작동하기 때문에 GPMC Windows Server 2003 서비스 팩 1을 설치하는 것이 좋습니다. GPMC Windows Server 2003 서비스 팩 1을 설치하려면 Microsoft 다운로드 센터(http://go.microsoft.com/fwlink/?LinkId=23529)에서 "Group Policy Management Console with Service Pack 1"을 참조하십시오.

RSoP를 원격으로 관리하려면 대상 컴퓨터에서 Windows 방화벽: 원격 관리 예외 허용 그룹 정책 설정을 사용해야 합니다.

RSoP MMC 스냅인으로 원격 RSoP 관리

RSoP MMC 스냅인을 사용하여 RSoP를 원격으로 관리하려면 들어오는 RSoP 요청을 서비스할 수 있도록 대상 컴퓨터가 해당 네트워크 포트에서 이 요청을 수신해야 합니다. 그룹 정책을 통해 다음 정책 설정을 사용하여 이를 관리할 수 있습니다.

  • Windows 방화벽: 프로그램 예외 정의 그룹 정책 설정을 사용하여 Unsecapp.exe를 허용해야 합니다. Unsecapp.exe에 대한 전체 경로를 입력해야 합니다.

  • Windows 방화벽: 포트 예외 정의 그룹 정책 설정을 사용하고 포트 135를 엽니다. 표시를 클릭하고 135:TCP:*:Enabled:135를 입력합니다.

Caution주의
Windows 방화벽: 포트 예외 정의 그룹 정책 설정을 사용하면 이 포트에 원하지 않는 데이터가 들어올 수도 있습니다. 사용자 환경에서 이 그룹 정책 설정을 사용하기 전에 먼저 정책 설정을 철저히 검토하는 것이 좋습니다.

관리 컴퓨터에 Windows 방화벽: 원격 관리 예외 허용 그룹 정책 설정이 사용된 경우 이 정책 설정을 반드시 사용할 필요는 없습니다.

그룹 정책 결과에 대한 액세스 권한 위임

기본적으로 그룹 정책 결과 및 RSoP 스냅인은 맨 처음 요청한 사람이 대상 컴퓨터의 로컬 관리자인 경우에 원격으로만 사용할 수 있습니다. Windows Server 2003부터는 대상 컴퓨터의 관리자가 아닌 사용자에게도 이러한 권한을 위임할 수 있는 위임 모델을 사용할 수 있습니다. 이러한 상황은 지원 부서 직원이 대상 컴퓨터에 대한 관리자 권한 없이 컴퓨터에 액세스해야 하는 경우에 일반적입니다.

Windows XP 서비스 팩 2와 Windows Server 2003 서비스 팩 1에서는 RSoP의 기반이 되는 DCOM 인증을 사용하는 보안 모델이 강화되었습니다. RSoP 위임이 제대로 구성된 경우라 하더라도 이러한 기능 강화를 통해 관리자가 아닌 로컬 구성원이 대상 컴퓨터에서 RSoP 정보를 검색하는 것을 막을 수 있습니다. Windows XP 대신 Windows Server 2003을 실행하는 도메인 컨트롤러에 대해 시뮬레이트된 RSoP 데이터가 요청되기 때문에 이러한 문제가 그룹 정책 모델링에는 영향을 주지 않습니다.

그룹 정책을 통해 DCOM 인증과 관련된 사용자 및 그룹 목록을 관리할 수 있습니다. 위임된 RSoP를 계속 사용하려면 이 권한이 부여되는 사용자는 DCOM 인증 모델을 통해 액세스할 수 있어야 합니다. Windows Server 2003 서비스 팩 1 DCOM의 보안 변경 사항에 대한 자세한 내용은 이 문서 앞부분의 "DCOM 보안 강화"를 참조하십시오.

다음 절차를 사용하여 그룹 정책 결과에 대한 액세스 권한을 위임합니다.

그룹 정책 결과에 대한 액세스 권한을 위임하려면

  1. 대상 컴퓨터에서 Windows 방화벽: 원격 관리 예외 허용 그룹 정책 설정을 사용해야 합니다.

  2. 대상 컴퓨터에서 다음 DCOM 보안 정책 설정을 설정합니다. DCOM 보안 정책 설정은 Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options에 있습니다.

    DCOM: SDDL(Security Descriptor Definition Language)의 컴퓨터 액세스 제한 구문

    DCOM: SDDL(Security Descriptor Definition Language)의 컴퓨터 실행 제한 구문

  3. 그룹 정책 개체를 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.

  4. 보안 편집을 클릭합니다. 액세스 권한이 열립니다.

  5. 추가를 클릭하면 사용자, 컴퓨터 또는 그룹 선택이 열립니다.

  6. 원하는 위임 대상을 입력합니다.

로컬 그룹 정책 개체 원격 편집

Windows 방화벽이 설정된 대상 컴퓨터에서 로컬 그룹 정책 개체를 원격으로 편집하려면 Windows 방화벽: 파일 및 프린터 공유 관리 허용 정책 설정을 사용해야 합니다.

정책 설정은 Computer Configuration\Administrative Templates\Network\Network Connections\Windows Firewall\[Domain|Standard] Profile\에 있습니다.

이 정보가 도움이 되었습니까?
(1500자 남음)
의견을 주셔서 감사합니다.

커뮤니티 추가 항목

추가
Microsoft는 MSDN 웹 사이트에 대한 귀하의 의견을 이해하기 위해 온라인 설문 조사를 진행하고 있습니다. 참여하도록 선택하시면 MSDN 웹 사이트에서 나가실 때 온라인 설문 조사가 표시됩니다.

참여하시겠습니까?
표시:
© 2014 Microsoft