• 아티클

Windows Vista

Windows Vista의 보다 강력해진 그룹 정책

Jeremy Moskowitz

 

한 눈에 보기:

  • 그룹 정책 인프라
  • 향상된 네트워크 인식 기능
  • 새로운 그룹 정책 기능

Windows Vista에서는 그룹 정책 인프라가 크게 업데이트되었습니다. 하지만 그룹 정책 기능과 관련된 변경 사항은 주로 내부적인 것이기 때문에 Windows Vista를 배포하는 조직의 관리자 대부분은 그룹 정책을 사용하는 방법에 있어서는 큰 차이를

느끼지 못할 것입니다. 그러나 Windows Vista™의 그룹 정책이 이전 버전의 그룹 정책에 비해 훨씬 강력해졌다는 것만은 확실하게 알 수 있을 것입니다.

Windows Vista 이전 버전에서는 그룹 정책이 winlogon이라는 프로세스의 일부로 처리되었습니다. winlogon은 다양한 그룹 정책 작업뿐 아니라 사용자의 데스크톱 로그온을 포함하여 수많은 기능을 담당했습니다. 이제 그룹 정책은 고유한 Windows® 서비스입니다. 더 나아가 그룹 정책은 이전보다 훨씬 강력해져서 사용자가 그룹 정책을 중지하거나, 관리자가 그룹 정책에 대한 권한을 통해 그룹 정책을 해제할 수 없습니다. 이와 같은 변경 사항을 통해 그룹 정책 엔진의 전반적인 안정성이 높아졌습니다.

이제 새로운 그룹 정책의 주요 변경 사항 몇 가지를 자세하게 살펴보겠습니다.

향상된 네트워크 인식 기능

Windows Vista 이전의 그룹 정책은 연결 속도가 느린지 아니면 빠른지 확인한 후 이 정보를 토대로 어떤 정책 설정을 적용할지 결정합니다. 느린 연결을 사용하는 경우에는 정책 설정 전체를 다운로드하는 데 시간이 꽤 걸리므로 그룹 정책 설정 전부를 시스템에 보내지 않습니다. 새 그룹 정책에서도 이 기능이 지원되지만 네트워크 대역폭을 계산하는 방법에는 변화가 생겼습니다.

전에는 도메인 컨트롤러에 ICMP(Internet Control Message Protocol) 핑 패킷을 보내는 방법으로 속도를 확인했습니다. 그러나 이 방법을 실제 환경에서 사용하는 데는 많은 문제가 있었습니다. 첫째, 관리자가 라우터에서 ICMP 기능을 해제하는 경우가 많았고 둘째, 위성 연결처럼 대기 시간이 긴 연결을 사용할 경우에는 계산 결과가 정확하지 않았습니다. 이와 같은 상태에서는 그룹 정책 엔진이 연결 속도를 확실하게 확인할 수 없었습니다.

또한 그룹 정책 엔진은 컴퓨터를 최대 절전 모드 또는 대기 모드에서 다시 시작했는지, 6개월 동안 네트워크에 연결하지 않았다가 갑자기 접속했는지와 같은 상세한 내용도 알 수 없었습니다. 특히 Windows XP나 Windows 2000을 실행하는 컴퓨터를 사용하는 경우에는 사용자가 접속하여 전자 메일을 확인한 후 연결을 끊는 동안 그룹 정책 새로 고침이 실행되지 않을 수 있습니다. 최대 절전 모드나 대기 모드에서 다시 시작하는 시스템이나 한참 만에 접속하는 컴퓨터에 대해서는 대부분의 관리자가 그룹 정책을 새로 고치기를 원합니다.

업데이트된 Windows Vista 그룹 정책은 네트워크 연결을 실시간으로 파악할 수 있습니다. Windows Vista에서 가장 큰 변화는 그룹 정책 엔진이 NLA(Network Location Awareness) 2.0 처리기를 사용한다는 것입니다. NLA 서비스는 도메인 컨트롤러를 사용할 수 있을 때마다 이 사실을 그룹 정책 엔진에 알립니다. 그 후 필요에 따라 그룹 정책 새로 고침이 실행됩니다.

다중 로컬 GPO

Windows Vista 이전에는 로컬 그룹 정책 개체(GPO)가 하나만 지원되었기 때문에 명령 프롬프트에 GPEDIT.MSC를 입력한 후 설정을 변경하면 해당 컴퓨터를 사용하는 사용자와 관리자 전체가 영향을 받았습니다. 이러한 특징은 일반 사용자의 시작 메뉴에서는 실행 명령을 제거하고 관리자는 이 명령을 계속 사용할 수 있게 하려는 경우와 같은 때에 문제가 되었습니다.

새로 도입된 다중 로컬 GPO 기능은 GPO 계층을 사용하여 이 문제를 해결합니다. 이 기능은 Active Directory 도메인에 가입되어 있지 않은 시스템에서 주로 사용될 것으로 보이지만 조직의 사용자에게도 매우 유용할 수 있습니다.

새로운 다중 로컬 GPO 기능은 계층을 기반으로 하며 조금은 복잡할 수 있습니다(그림 1 참조). 우선, 로컬 컴퓨터 시스템 컨텍스트에 적용되어 시스템의 모든 사용자에게 영향을 주는 기본 로컬 GPO가 있습니다. 이 GPO는 컴퓨터 설정과 사용자 설정을 모두 정의합니다.

그림 1 사용자의 전체 로컬 그룹 정책

그림 1** 사용자의 전체 로컬 그룹 정책 **

두 번째 계층은 로컬 시스템의 Administrators 그룹 구성원 또는 관리자가 아닌 사용자에게 영향을 줍니다. 기본적으로 사용자 계정은 두 그룹에 동시에 속할 수 없기 때문에 이 계층에서는 사용자가 로컬 시스템 관리자인지 아니면 일반 사용자인지 확인한 후 적절한 GPO(관리자 또는 관리자가 아닌 사용자)를 적용합니다. 세 번째 계층은 특별하게 명명된 로컬 시스템 사용자 계정에 영향을 줍니다.

컴퓨터를 사용하는 모든 사용자는 이러한 세 가지 로컬 GPO의 영향을 받을 수 있습니다. 예를 들어 이 세 가지 계층을 사용하면 특정 컴퓨터의 모든 사용자에게 적용되는 설정, 관리자가 아닌 사용자에게만 적용되는 설정 및 특정 사용자 한 명에게만 적용되는 설정을 만들 수 있습니다.

시스템이 Active Directory® 도메인에 가입되어 있는 경우에는 Active Directory 그룹 정책 개체가 로컬 정책보다 우선적으로 적용됩니다. 또한 Domain Administrators 구성원은 Windows Vista에서 모든 로컬 GPO가 적용되지 않도록 할 수 있습니다.

오류 메시지 및 문제 해결

Windows Vista에서는 완전히 새로운 이벤트 로그 시스템을 사용합니다. 그룹 정책 엔진은 이 Windows Eventing 6.0 시스템(이벤트 로그라고 함)을 이용하여 두 가지 로그에 이벤트를 구분하여 기록합니다. 이전부터 사용되어 온 시스템 로그(Windows Vista에서는 관리 로그로 표시됨)에는 그룹 정책 문제가 기록됩니다. 그룹 정책 엔진에서 발생한 오류는 Userev 프로세스가 아니라 그룹 정책 서비스에서 발생한 것으로 시스템 로그에 기록됩니다.

새 응용 프로그램 및 서비스 로그는 작동 로그로, 그룹 정책 전용 로그이며 작동 이벤트를 저장합니다. 이 로그에 그룹 정책 엔진의 모든 단계가 알아보기 쉽게 기록되기 때문에 이전의 불편했던 userenv.log 문제 해결 파일을 근본적으로 대체합니다.

ADM 및 ADMX

Windows NT® 4.0부터 지금까지 ADM 파일은 그룹 정책의 기반이 되는 정의 템플릿을 제공해 왔습니다. ADM 파일에서 그룹 정책의 모든 것을 제어할 수는 없지만 기본적으로 User Configuration(사용자 구성) | Administrative Templates(관리 템플릿) 및 Computer Configuration(컴퓨터 구성) | Administrative Templates(관리 템플릿) 아래의 모든 설정을 ADM 파일로 관리할 수 있습니다.

이러한 ADM 파일에는 몇 가지 기능적인 문제가 있습니다. Windows Vista 이전의 Windows 버전에서는 새 GPO를 만들 때마다 ADM 파일 대부분이 GPO 폴더(SYSVOL에 저장됨)에 복사되고 GPO 하나가 5MB 정도의 공간을 차지합니다. GPO를 여러 개 사용하는 경우에는 SYSVOL에 시스템 템플릿 파일이 중복되어 저장되므로 결과적으로 이러한 5MB짜리 GPO에서 중복되는 내용이 많아집니다.

또한 ADM 파일은 언어 중립적이 아닙니다. ADM 파일은 특정 언어로 만들어지고, 이 파일을 사용하는 모든 사용자는 해당 언어로만 설정을 볼 수 있습니다.

Windows Vista의 그룹 정책은 정책 정의 파일에 ADMX라고 하는 새로운 XML 기반 형식을 사용하여 이러한 문제를 해결합니다. ADMX 파일 자체는 언어 중립적이지만 언어별 ADML 파일이 반드시 필요합니다. ADMX 파일에 ADML 파일을 추가하여 새 언어를 원하는 대로 추가할 수 있습니다.

ADMX 형식은 중앙 저장소를 지원하기 때문에 정보가 중복되게 복제되는 문제가 없고 ADMX 파일을 업데이트하기도 쉽습니다. 서비스 팩 등을 통해 ADMX 파일이 업데이트된 경우, 새 파일을 중앙 저장소에 옮기기만 하면 됩니다. 이렇게 하면 도메인에서 Windows Vista 워크스테이션을 사용하는 모든 그룹 정책 관리자가 업데이트된 ADMX 파일에 액세스할 수 있습니다. 이전에는 각 관리자의 컴퓨터에 올바른 버전으로 업데이트된 ADM 파일이 있는지 일일이 확인해야 했기 때문에 업데이트 작업이 매우 어려웠습니다.

도메인 관리자는 각 Active Directory 도메인에 대해 한 번씩 SYSVOL에 중앙 저장소를 만들어야 합니다. 중앙 저장소를 만들면 Windows Vista 컴퓨터를 사용하여 GPO를 만들고 관리하는 모든 관리자가 이 중앙 저장소를 자동으로 사용할 수 있습니다. 단, 이 기능은 Windows Vista에서만 사용할 수 있으며, Active Directory에 가입되어 있는 Windows Vista 컴퓨터만 중앙 저장소를 검색합니다. 그러나 중앙 저장소 기능을 사용하기 위해 Windows Server®의 차기 버전(코드명 Longhorn)이 출시될 때까지 기다리거나 모든 사용자의 컴퓨터를 Windows Vista로 바꿀 필요는 없습니다. 즉, 중앙 저장소를 사용하기 위해서는 도메인이 Windows Server Longhorn, Windows Server 2003 또는 Windows 2000 등 어떤 버전에 기반하든 관계없이 중앙 저장소를 만든 후 Windows Vista 컴퓨터를 사용하여 GPO를 만들거나 관리하기만 하면 됩니다.

앞에서 언급했듯이 ADMX 및 ADML 파일은 XML을 기반으로 합니다. XML은 산업 표준 언어를 사용한다는 장점이 있습니다. 그러나 ADMX 그래픽 편집기는 아직까지 없으며 Microsoft는 향후에도 이러한 편집기를 출시할 계획이 없습니다. 또한 기존의 사용자 지정 ADM 템플릿을 ADMX로 변환할 수 있는 도구도 없습니다.

이전 버전의 Windows에 제공되었던 6-8개의 ADM 파일은 Windows Vista에 기본적으로 제공되는 130개 정도의 ADMX 파일로 대체될 것입니다. 그림 2에서 볼 수 있는 것처럼 이러한 파일은 \Windows\PolicyDefinitions 디렉터리에 저장되고 ADML 파일은 언어별 하위 디렉터리(영어(미국) 파일의 경우 en-US 디렉터리)에 저장됩니다.

그림 2 \Windows\PolicyDefinitions 디렉터리에 있는 ADMX 파일

그림 2** \Windows\PolicyDefinitions 디렉터리에 있는 ADMX 파일 **(더 크게 보려면 이미지를 클릭하십시오.)

그룹 정책 관리 콘솔

스크립팅 가능한 Microsoft Management Console인 GPMC(그룹 정책 관리 콘솔)는 그룹 정책을 관리하는 데 사용할 수 있는 단일 관리 도구이며, Windows XP 및 Windows Server 2003용 다운로드로 제공되었습니다.

Windows Vista에는 GPMC가 기본적으로 제공됩니다. 따라서 GPO를 만들거나 편집해야 할 경우 작업에 가장 적합한 이 도구에 쉽게 액세스할 수 있습니다. Windows Vista의 시작 | 검색 명령 프롬프트에 GPMC.MSC를 입력하면 곧바로 작업을 시작할 수 있습니다.

새로운 관리 항목

Windows Vista에는 800개 정도의 새로운 정책 설정이 들어 있으며 이러한 새 정책 설정은 이미 사용 중인 익숙한 여러 범주로 분류됩니다. 그러나 Windows Vista에는 이전에 존재하지 않았거나, 그룹 정책으로 제어할 수 없었던 새로운 범주도 추가되었습니다.

그룹 정책에서 개선된 영역에는 유선/무선 네트워킹 정책, Windows 방화벽 및 IPsec, 인쇄 관리, 데스크톱 셸, 원격 지원, Tablet PC 등이 있습니다. 업데이트된 유선/무선 정책을 사용하려면 포리스트 전체의 스키마를 업데이트해야 할 수 있습니다. 자세한 내용은 www.microsoft.com/technet/itsolutions/network/wifi/vista\_ad\_ext.mspx(영문)를 참조하십시오.

Windows Vista 그룹 정책에 새로 추가된 영역으로는 이동식 저장소 관리, 전원 관리, 사용자 계정 컨트롤, Windows 오류 보고, 네트워크 액세스 보호 및 Windows Defender가 있습니다.

Windows Vista 컴퓨터에만 영향을 주는 영역을 제어하려면 GPO를 만들거나 편집할 때 Windows Vista 컴퓨터 또는 Windows Server "Longhorn" 컴퓨터를 반드시 사용해야 합니다. 그 이유는 이전 운영 체제에서는 이러한 새 설정이 Windows Vista와 관련된 것인지 인식하지 못하기 때문입니다.

이러한 영역 중 하나를 살펴보는 것만도 문서 하나 분량의 설명이 필요하므로 이 문서에서는 각 영역에 대해 자세히 설명하지 않습니다. 그러나 이동식 저장소 관리 기능과 전원 관리 기능(그림 3)은 주목할 필요가 있습니다. 이 두 기능은 모든 관리자가 유용하게 사용할 수 있을 것입니다. 간단하게 말하자면 이러한 영역은 Windows Vista에 연결할 수 있는 장치 유형 및 회사에서 비용을 절감하기 위해 랩톱, 데스크톱 및 모니터에 사용할 전원 설정 유형을 적절한 수준에서 세부적으로 제어할 수 있도록 도와 줍니다.

그림 3 그룹 정책을 통해 전원 관리 강화

그림 3** 그룹 정책을 통해 전원 관리 강화 **(더 크게 보려면 이미지를 클릭하십시오.)

Windows Vista의 다양해진 전원 관리 설정을 사용하면 사용 중이 아닌 비디오 모니터를 끄거나 "절전" 모드로 전환하여 전원을 절약할 수 있습니다. 환경 보호청의 Energy Star 웹 사이트에 게시되어 있는 연구 결과에 따르면 모니터의 전원 사용을 제어하는 것만으로 모니터 한 대당 연간 10달러에서 30달러(미국)까지 절약할 수 있습니다. 회사에 수백 대 또는 수천 대의 모니터가 있는 점을 감안하면 이 방법으로 적지 않은 비용을 절약할 수 있습니다.

이동식 저장소 관리의 경우 가상 시나리오를 통해 그 기능을 살펴보겠습니다. 예를 들어 관리자는 학생들이 USB 플래시 드라이브를 사용하여 교내 키오스크 워크스테이션에서 학기말 리포트, 과제 또는 다른 문서에 액세스할 수 있도록 하려고 합니다. 그러나 장치를 잘못 사용하거나 보안상 문제가 발생할 수 있으므로 학교측에서 승인한 USB 드라이브가 아닌 다른 USB 드라이브를 사용할 경우에는 장치에 기록할 수 없도록 제한할 수 있습니다. Windows Vista 그룹 정책 설정을 사용하면 이와 같이 세부적으로 장치를 관리할 수 있습니다.

결론

지금까지 보았듯이 Windows Vista의 관리 기능은 겉으로 드러나지 않게 여러 모로 향상되었습니다. 관리자는 더욱 다양하게 구성 가능한 설정, 시스템 보안과 비용 절감 효과를 높일 수 있는 새로운 리소스 등을 통해 Windows Vista 그룹 정책의 강력하고 융통성 있는 구성 관리 기능을 경험할 수 있을 것입니다.

그룹 정책의 향후 업데이트 계획

이 문서에서 설명한 기능은 Windows Vista 초기 릴리스 버전에서 제공하는 기능으로, 그룹 정책 팀에서는 이미 다음 버전의 기능 업그레이드를 구상하고 있습니다. 추가적인 그룹 정책 기능은 Windows Vista 초기 릴리스에서는 사용할 수 없지만 Windows Server "Longhorn" 출시 시기에 맞춰 서비스 팩이나 다른 방법으로 제공될 예정입니다. 향후 제공되는 기능에 변경되는 점이 있을 수 있지만 현재로서는 다음과 같은 세 가지 분야에서 기능 개선이 계획되고 있습니다. 이러한 모든 기능은 Windows Server "Longhorn"이 없어도 사용할 수 있습니다.

주석 사용자들이 자주 요청하는 기능 중 하나는 각 GPO가 수행하는 작업 또는 특정 그룹 정책 설정이 수행해야 하는 작업에 대한 주석을 추가하는 기능입니다. 현재로서는 스프레드시트와 같은 형식으로 GPO 및 설정을 추적하면서 스프레드시트에 주석을 추가하는 방법밖에 없습니다. 주석 입력 기능이 추가되면 작업에 많은 도움이 될 것입니다.

템플릿 GPO를 만드는 다른 관리자의 작업을 도우려는 경우 그룹 정책 템플릿을 사용하면 유용합니다. 템플릿을 사용하여 작업을 시작하고 이를 편집하여 사용자 지정 GPO를 만들 수 있습니다. Microsoft는 초기에 제공되는 템플릿 집합에 일반적인 시나리오를 추가하여 다양한 유형의 컴퓨터를 제어하는 구체적인 지침을 제공할 예정입니다. 자세한 내용은 일반적인 시나리오 설명서 및 파일(영문)을 참조하십시오.

검색 및 필터 수많은 정책 설정 중에서 원하는 정책 설정을 찾기란 매우 어려울 수 있습니다. 그러나 다행히도 향후에 제공될 검색 기능을 사용하면 정책 설정의 제목, 설명 텍스트 및 주석을 이용하여 정책 설정을 더 쉽게 검색할 수 있습니다. 또한 GPO 내에서 설정되어 있거나 해제되어 있는 정책 설정을 한눈에 볼 수 있기 때문에 제대로 동작하지 않는 GPO를 신속하게 수정할 수 있습니다.

추가적인 그룹 정책 기능을 요청하려면 Windows Server Feedback 포털(windowsserverfeedback.com)(영문)을 방문하십시오.

Jeremy Moskowitz는 그룹 정책 분야의 MCSE이자 MVP로, 그룹 정책과 관련된 커뮤니티 포럼인 GPanswers.com을 운영하고 있으며 그룹 정책에 대한 2일 과정의 집중적인 교육 코스도 진행하고 있습니다. 그의 최근 저서는 Group Policy, Profiles and IntelliMirror, Third Edition(Sybex, 2005)입니다. www.GPanswers.com을 통해 저자와 연락할 수 있습니다. 이 기사에 도움을 준 Microsoft 그룹 정책 팀의 Mark Lawrence에게 감사의 말을 전합니다.

© 2008 Microsoft Corporation 및 CMP Media, LLC. All rights reserved. 이 문서의 전부 또는 일부를 무단으로 복제하는 행위는 금지됩니다..