• 아티클

Windows 7

Windows 7을 배포하기 전에 해야 할 일 10가지

Bill Boswell

 

한눈에 보기:

  • Windows 7 이해
  • 최신 볼륨-정품 인증 요구 사항 확인
  • 로드맵 개발
  • 새로운 분산된 보안 기능 처리
  • 데스크톱 및 인프라 가상화
  • 사용자의 로컬 관리 권한 제거

목차

1. 친숙함을 기반으로 하는 Windows 7 이해
2. Windows PowerShell 학습
3. 라이선스 확인
4. 전략 개선에 집중
5. 배포 범위 확장
6. 분산된 보안 준비
7. 데스크톱 가상화
8. 엔터프라이즈 기능 평가
9. 호환성 안전망 구축
10. 사용자의 로컬 관리 권한 제거
며칠간 영웅이 되어 보세요.

Windows 7의 새로운 기능 및 향상된 기능 목록(tinyurl.com/win7featuregrid의 기능 비교 차트 참조)을 하나씩 살펴보면 중단을 최소화하면서 사용자에게 전달할 수 있는 모든 새로운 기술에 놀라움을 금치 못할 것입니다.

다음은 이러한 목표를 달성할 수 있는 10단계입니다.

1. 친숙함을 기반으로 하는 Windows 7 이해

첫 번째 단계는 당연히 개인적인 경험입니다. 이것은 단순히 테스트 환경에서 대충 살펴보는 것 이상을 의미합니다. 조직의 모든 워크스테이션은 물론, 원격 액세스 지원 요청을 위해 가정에서 사용하는 컴퓨터에도 Windows 7을 설치합니다. 모든 기능을 제대로 작동하는 방법을 스스로 찾아야 합니다.

Windows 7에서 Windows 서버를 관리하는 도구는 대부분 별도로 다운로드해야 하는 Windows 7 RSAT(원격 서버 관리 도구)에 포함되어 있습니다. 이 기사를 작성할 당시에는 최종 RSAT 패키지가 완성되지 않았습니다. 릴리스 후보는 tinyurl.com/win7rcrsat에서 다운로드할 수 있습니다.

RSAT 패키지를 설치한 후에 관리 도구 폴더가 즉시 채워지지 않더라도 놀라지 마십시오. RSAT 도구는 제어판의 프로그램 및 기능 애플릿을 사용하여 별도로 설정해야 하는 Windows 기능 집합의 형태로 제공됩니다. 그림 1의 예를 참조하십시오. 이유는 알 수 없지만 전 타당하다고 확신하고 있는 부분인데, 각 기능을 선택하려면 해당 기능을 개별적으로 클릭해야 합니다. 상위 선택 블록에 따라 하위 항목이 자동으로 선택되지 않습니다.

boswell.fig1.rsattools.gif

그림 1 Windows 7 RSAT 기능 목록(더 크게 보려면 이미지를 클릭하십시오.)

Active Directory RSAT 도구는 Windows 2003 및 Windows 2008 도메인 컨트롤러와 함께 작동합니다. 다만, Active Directory 휴지통과 같은 일부 기능에는 Windows Server 2008 R2 기능 수준이 필요합니다.

Windows 7에서 Exchange 2003을 관리하려면 약간의 단계를 거쳐야 합니다. 즉, Exchange 2003 설치 CD와 함께 제공되는 ESM(Exchange System Manager) 콘솔은 Windows 7에서 실행되지 않기 때문에 tinyurl.com/esmvista에서 Vista용으로 설계된 ESM의 특수 버전을 다운로드해야 합니다. 이 콘솔은 Windows 7에서 정상적으로 실행되지만 설치 관리자가 Windows 7에서 실패하는 기능에 대해 Vista(Windows version 6.0.0)용으로 특별히 선택해야 합니다. Orca라는 무료 Microsoft 도구로 MSI 파일을 수정하여 버전 검사를 제거하거나 수정할 수 있습니다. Orca는 Windows Installer SDK의 일부로 제공되며 tinyurl.com/orcamsi에서 다운로드 지침을 확인할 수 있습니다. XP 모드에서 ESM을 로드하는 것보다 이 도구를 사용하는 것이 훨씬 간편할 것입니다. 자세한 내용은 뒤에 설명하겠습니다.

2. Windows PowerShell 학습

앞으로 몇 년 이내에 Windows 관리자에게 필요하게 될 가장 중요한 기술을 하나만 꼽으라면 단연 Windows PowerShell이 될 것입니다. Windows 7과 Windows Server 2008 R2에는 모두 운영 체제에 통합되어 기본적으로 사용되는 Windows PowerShell version 2가 포함되어 있습니다. 따라서 하나의 스크립트 기술을 사용하여 전체 환경을 관리하려면 나머지 서버와 데스크톱에 Windows PowerShell v2를 설치할 계획을 세워야 합니다. (Exchange 2007 서버 또는 워크스테이션에는 PowerShell v2를 설치하지 못할 수도 있습니다. 이러한 시스템에는 PowerShell v1.1이 필요합니다. 하지만 v1.1에서도 다양한 기능에 액세스할 수 있습니다.)

Y2K 이후로 명령 프롬프트를 열어 보지 않은 GUI 관리자라면 현재 Microsoft에서 제공하는 새로운 GUI 도구가 대부분 Windows PowerShell cmdlet을 기반으로 하는 그래픽 프런트 엔드 형태인 것을 발견하게 될 것입니다. 이러한 도구는 대부분 기본 명령 문자열을 알려 주므로 해당 문자열을 찾을 수 있는 위치만 알고 있으면 됩니다. 따라서 cmdlet의 작동 방식을 쉽게 확인할 수 있습니다.

Microsoft Windows PowerShell 팀의 구성원인 Bruce Payette가 저술한 "Windows PowerShell in Action"(Manning Publications, 2007)을 비롯하여 많은 Windows PowerShell 참고 자료가 마련되어 있습니다. Bruce Payette의 저서는 곧 2판이 출간됩니다. 발행인의 웹 사이트(manning.com/payette2)에서 몇 달러만 지불하면 앞의 몇 장을 읽어보고 출간되는 저서 사본을 예약하며 1판의 전자책을 다운로드할 수 있습니다. 또한 Windows PowerShell 팀의 또 다른 구성원인 Lee Holmes의 "Windows PowerShell Pocket Reference"(O'Reilly Media Inc., 2009)도 확인하고, Windows PowerShell 팀 블로그(blogs.msdn.com/PowerShell)도 방문해 보십시오. 이 블로그에서는 세계에서 가장 활동적인 개발자 팀 중 하나를 만나보실 수 있습니다. 이 블로그의 내용은 반복해서 읽어 볼 가치가 있습니다.

또 한 가지 좋은 소식이 있습니다. Windows 7 RSAT 제품군에는 Windows Server 2008 R2에서 제공되는 것과 동일한 Active Directory Windows PowerShell cmdlet이 포함되어 있습니다. 그림 2의 예를 참조하십시오. 여기에 관한 정보는 Active Directory PowerShell 블로그(tinyurl.com/psadblog)에 가장 자세히 나와 있습니다.

boswell.fig2.ad powershell.gif

그림 2 작동 중인 ADPowerShell cmdlet(더 크게 보려면 이미지를 클릭하십시오.)

이러한 AD cmdlet을 사용하여 Windows 2003 및 Windows 2008을 실행하는 도메인을 관리할 수 있지만 먼저 AD 관리 게이트웨이 서비스(AD 웹 서비스 또는 ADWS라고도 함)를 하나 이상의 도메인 컨트롤러에 설치해야 합니다. 이 기사를 작성할 당시에는 ADWS가 베타 버전이었습니다. ADWS는 connect.microsoft.com에서 다운로드할 수 있습니다.

ADWS 서비스에는 Windows Server 2003 SP2(일반 또는 R2) 또는 Windows Server 2008 일반 또는 SP2가 필요합니다. 또한 Netlogon에서 웹 서비스 플래그를 지원할 수 있는 .NET Framework 3.5 SP1(tinyurl.com/dotnet35sp1) 및 핫픽스(support.microsoft.com/kb/969429)를 설치해야 합니다. (핫픽스는 Windows Server 2008 SP2에 포함되어 있습니다.)

도메인 컨트롤러에 대해 승인된 변경 내용을 가져오는 데 시간과 노력이 많이 드는 조직에서 처음으로 Windows PowerShell을 사용하여 Active Directory를 관리하려면 Quest(quest.com/PowerShell)에서 제공하는 무료 Active Directory cmdlet을 살펴보는 것이 좋습니다.

3. 라이선스 확인

조직에서 Vista를 배포하지 않은 경우 Windows의 최신 볼륨-정품 인증 요구 사항에 대해 잘 모를 수 있습니다. 25대 이상의 데스크톱 및/또는 5대 이상의 서버를 갖춘 조직의 관리자는 조직에서 기업 계약 또는 셀렉트 계약과 같은 볼륨-라이선스 프로그램을 활용하고, Windows 7 Professional 또는 Ultimate를 구매하거나 Software Assurance의 일부로 이러한 버전으로 업그레이드한 경우 tinyurl.com/volact에서 볼륨 정품 인증 문서를 인쇄하여 꼼꼼히 확인해야 합니다.

여러 가지 프로그램이 혼동될 경우에는 제품 관리자인 Kim Griffiths가 프로그램의 차이에 대해 자세히 설명하는 웹 캐스트를 다운로드하십시오. 웹 캐스트는 tinyurl.com/volactwebcastwin7에서 확인할 수 있습니다.

간단히 말해, 볼륨 라이선스를 사용하여 Windows 7 데스크톱을 배포하려면 KMS(키 관리 서버)를 설치해야 할 수 있습니다. 여기에서 "해야 할 수 있다"고 표현한 것은 조직에 KMS 정품 인증을 지원할 컴퓨터 수가 부족할 수 있기 때문입니다. KMS 정품 인증을 시작하려면 25대 이상의 데스크톱 및/또는 5대 이상의 서버로부터 요청이 있어야 합니다. 이는 비양심적인 공급업체가 여러 소규모 고객에게 동일한 볼륨-라이선스 키를 사용하는 것을 방지하기 위한 것입니다. 정품 인증을 받은 고객은 6개월마다 다시 정품 인증을 받아야 합니다. Windows 7에는 기능 제한 모드가 없습니다. 정품 인증 키가 만료되면 바탕 화면이 검게 바뀌고 운영 체제가 정품이 아님을 나타내는 알림 풍선이 나타납니다.

KMS에 필요한 장치 수가 부족한 경우에는 구매한 볼륨 라이선스 수와 트루업 사이에 추가한 컴퓨터 수가 누적되는 MAK(복수 정품 인증 키)를 구입할 수 있습니다. MAK 키는 Microsoft 호스팅 서비스를 통해 인증되므로 OS를 설치한 후 인터넷에 연결해야 합니다.

Windows 7과 Windows Server 2008 R2는 KMS 정품 인증에 필요한 최소 장치 수에 가상 컴퓨터를 포함하도록 변경되었습니다. 따라서 많은 가상 데스크톱 및 서버를 사용하는 소규모 조직에서 장치 수를 늘릴 수 있습니다.

Vista 및 Windows Server 2008용 KMS가 이미 있는 경우 Windows 7 및 Windows Server 2008 R2 컴퓨터의 정품 인증을 위한 업데이트를 다운로드할 수 있습니다.

4. 전략 개선에 집중

Windows 7 도구를 사용하는 시스템 관리에 친숙하고 데스크톱 정품 인증을 위한 기술을 갖추고 있는 경우 최종 사용자에 대한 배포 계획을 시작해야 합니다. 이때 번거로우시겠지만 회의를 하는 것이 가장 중요합니다.

이 기사를 끝까지 읽어 보시기 바랍니다. 이 회의는 다른 종류의 모임입니다. 설계자뿐만 아니라 Windows 7에서 작업하는 모든 IT 직원을 회의에 참석시켜야 합니다. 데스크톱 담당자, 서버 팀, 지원 센터 기술자, 내부 개발자, 프로젝트 관리자 등이 모두 해당됩니다. 또한 모든 팀의 리더도 함께 해야 합니다. 이를 일종의 협의회라고 생각하면 됩니다. 회의를 일상적인 업무로 만들고, 모든 잠재적 참석자에게 이 회의에는 참신한 아이디어를 가진 직원만 참석하니 절대 빠지지 말라고 이야기하십시오.

회의를 열기 전에 미리 준비해야 합니다. 즉, 필요한 데이터를 파악하고 있어야 합니다. 이는 누군가 "호환성 테스트에 사용할 수 있는 엔터프라이즈 응용 프로그램 카탈로그를 만들어야 합니다. 우리 회사의 모든 컴퓨터에서 정말 Windows 7을 실행할 수 있습니까?"라고 물어볼 수 있기 때문입니다. 그런 다음 그룹에서 카탈로그를 만드는 방법, 작업을 수행할 수 없는 이유, 데스크톱 팀에서 해당 정보에 대한 스프레드시트를 이미 가지고 있지만 잠시 동안 새로 고칠 수 없고 유럽, 중동 및 아프리카의 컴퓨터를 포함하지 않도록 하는 방법 등에 대해 논의해야 합니다.

두 가지 무료 인벤토리 및 분석 도구를 사용하여 이러한 대화를 효율적으로 진행할 수 있습니다. 먼저, tinyurl.com/map40에서 다운로드할 수 있는 Microsoft Assessment and Planning Toolkit(MAP 4.0)이 있습니다. 이 에이전트 없는 도구는 데스크톱에서 통계를 수집하고 Windows 7을 사용할 준비가 완료된 데스크톱, 하드웨어 업그레이드가 필요한 데스크톱 및 준비되지 않은 데스크톱에 대한 보고서를 제공합니다. MAP는 관리에 유용한 원형 차트(그림 3)와 기술 담당자를 위한 명확한 수치 표(그림 4)를 생성합니다.

boswell.fig3.mapexampleresult.gif

그림 3 Microsoft Assessment and Planning Toolkit 4.0 평가 요약(더 크게 보려면 이미지를 클릭하십시오.)

boswell.fig4.mapspreadsheet.gif

그림 4 Microsoft Assessment and Planning Toolkit 4.0 평가 세부 정보(더 크게 보려면 이미지를 클릭하십시오.)

도구를 실행할 때 하드웨어 요구 사항에 대한 제한을 너무 많이 두지 마십시오. 저는 이 연재 기사의 첫 번째 기사를 작성하면서 512MB의 RAM을 갖추고 백그라운드에서 여러 가지 기간 업무(LOB) 응용 프로그램을 실행하는 1.6GHz Celeron 데스크톱에서 Windows 7 및 Office 2007을 실행했는데 완벽한 성능이 구현되었습니다.

다음으로, tinyurl.com/appcompat55에서 다운로드할 수 있는 Microsoft Application Compatibility Toolkit(ACT) 5.5를 로드하여 선택한 데스크톱에 대한 소프트웨어 통계를 생성합니다. ACT 평가에서는 레지스트리에서 설치된 소프트웨어 목록을 확인할 뿐만 아니라 모든 종류의 기존 설치 관리자가 숨겨 놓은 응용 프로그램을 검색합니다. 이 기능에는 ACT 관리 서버에서 배포되고 자동으로 제거되기 전에 며칠 동안 주기적인 보고서를 다시 보내는 로컬 에이전트가 필요합니다.

그림 5에서 볼 수 있듯이 ACT는 완벽한 데이터 수집 작업을 수행하므로 이 기능을 실행하려면 적절한 성능을 갖춘 서버가 있어야 합니다. 샘플에 수천 대의 컴퓨터를 포함할 예정이 아니라면 SQL Express를 사용하여 데이터를 저장할 수 있습니다. 그러나 소프트웨어 부하를 부서 또는 직무 그룹별로 세분화한 경우에는 각 그룹의 몇몇 대표적인 컴퓨터를 샘플로 선택할 수 있습니다. 수만 대의 데스크톱이 있는 경우에도 2~3%의 샘플로 아이디어를 얻을 수 있어야 합니다.

boswell.fig5.act_analyze.gif

그림 5 Microsoft Application Compatibility Toolkit 5.5 응용 프로그램 보고서(더 크게 보려면 이미지를 클릭하십시오.)

이제 회의에 대한 주제로 다시 돌아가겠습니다. 지금 바로 시작하십시오 출출하지 않게 간식을 준비하고, 화이트보드가 설치된 회의실을 찾으십시오. 모든 사람을 한곳에 모아 둘 수 없다면 큰 스크린으로 회의실의 경계를 긋고 네트워크 회의 소프트웨어를 실행하고 마이크와 카메라를 곳곳에 설치하십시오.

회의 중반까지는 참석자들에게 Windows 7을 사용하여 일상적인 작업을 향상시키는 방법을 물어보십시오. 학습하는 데 시간이 오래 걸리는 주제를 파악하고, 이들의 고민을 들어 보십시오. 사용자의 생산성을 향상시키고, 보안을 강화하고, 이동성을 촉진하고, 업무 프로세스를 간소화하는 기능의 조합을 확인하십시오.

중반부터는 배포 계획을 수립하십시오. 잠재적 호환성이나 상호 운용성 또는 업무 프로세스 문제를 해결하기 위해 노력하지 마십시오. 여러 해 동안 XP를 실행한 조직에서는 발전된 절차를 갖추고 있어야 합니다. 문제점을 파악하고 분류한 후 해결하십시오.

새로운 분야를 개척하려는 노력을 보이십시오. 새로운 분야를 찾는 데 집중하고 나중에 이를 실현할 방법을 강구하십시오.

이 회의에서는 ‘누가-무엇을-언제-어디서-어떻게’라는 로드맵이 도출될 것입니다. 이 로드맵은 배포할 기능은 무엇입니까? 준비 작업을 수행할 사람은 누구입니까? 시간이 얼마나 걸립니까? 영향을 가장 많이 받는 사용자는 누구입니까? 사용자의 협조를 구하려면 어떻게 해야 합니까? 배포 비용은 얼마나 듭니까? 잠재적 실패 지점은 어디에 있습니까? 테스트에 필요한 리소스는 무엇입니까? 그리고, 작업은 언제 시작할 수 있습니까?라는 가장 중요한 질문까지 이 모든 질문을 해결해 줄 것입니다. 이를 5개 슬라이드로 요약하여 판매한 다음 계속 실행하십시오.

5. 배포 범위 확장

Windows 7에서 제공하는 일부 최상의 기능을 실행하려면 인프라에 대한 몇 가지 사항을 변경해야 합니다. 예를 들면 다음과 같습니다. 즐겨찾는 기능 목록을 새로운 탐색기 셸의 연결된 검색 및 라이브러리로 구성하는 것이 좋습니다. 이러한 기능을 함께 사용하면 분산된 데이터를 중앙에서 유연한 방식으로 확인할 수 있습니다.

연결된 검색에서는 웹 기반 데이터 리포지토리에 대한 연결기를 찾거나 구성합니다. 연결기는 .OSDX 파일 내에 있는 구성 항목의 집합입니다. 이러한 항목은 웹 사이트를 가리키고 콘텐츠 처리 방법을 설명합니다. 다음은 Bing 연결기의 예입니다.

<?xml version="1.0" encoding="UTF-8"?>
<OpenSearchDescription xmlns="http://a9.com/-/spec/opensearch/1.1/"
xmlns:ms-ose="https://schemas.microsoft.com/opensearchext/2009/">

<ShortName>Bing</ShortName>

<Description>Bing in Windows 7.</Description>

<Url type="application/rss+xml" 
template="http://api.bing.com/rss.aspx?source=web&amp;query=
{searchTerms}&amp;format=rss"/>

<Url type="text/html" template="https://www.bing.com/search?q={searchTerms}"/>

</OpenSearchDescription>

.OSDX 파일을 마우스 오른쪽 단추로 클릭하면 속성 메뉴에 검색 연결기 만들기 옵션이 표시됩니다. 이 옵션을 클릭하면 즐겨찾기 아래의 항목 목록에 연결기가 추가됩니다. 이 목록을 강조 표시하고 탐색기 창의 오른쪽 위에 있는 검색 필드에 용어를 입력하여 연결기 검색을 시작합니다. 잠시 후에 결과 창이 채워집니다. 미리 보기를 클릭하여 선택한 페이지의 콘텐츠를 볼 수 있습니다. 그림 6에 그 예가 나와 있습니다.

boswell.fig6.searchbing.gif

그림 6 탐색기의 연결기 검색(더 크게 보려면 이미지를 클릭하십시오.)

연결기는 간단하게 구성할 수 있습니다. 내부 개발자가 회사 포털, SharePoint 팜 등의 인트라넷 서버에서 Windows 7과 관련된 모든 항목에 대한 유용한 독립적 사이트인 SevenForums(tinyurl.com/srchcon)에서 샘플 연결기 목록을 가져와 표준 패키지 배포 도구를 사용하여 이러한 연결기를 사용자에게 배포하기만 하면 됩니다. 그러면 이 연결기를 사용하여 배포된 웹 데이터의 표준 보기를 작성할 수 있습니다.

연결된 검색에서 웹 사이트 콘텐츠를 잘 처리할 수 있지만 파일 서버에 있는 테라바이트 용량의 파일을 처리할 때는 문제가 발생할 수 있습니다. 예를 들어 드라이브 매핑 및 네트워크 데이터 저장소에 대해 잘 모르는 사용자는 W: 드라이브를 통해 지난 달에 작성한 보고서를 찾는 데 시간이 걸릴 수 있습니다.

바로 이 부분에서 라이브러리가 역할을 합니다. 라이브러리는 여러 원본의 파일을 검색 가능한 개체로 집계합니다. Windows 7의 기본 라이브러리에는 일반적으로 분류된 개인 데이터 형식 및 위치(문서, 음악, 사진 및 비디오)가 포함되어 있으며 이 목록을 확장하여 서버 기반 리포지토리를 추가할 수 있습니다. 마우스 오른쪽 단추를 클릭하고 새 라이브러리를 선택하여 공유 폴더에 UNC 경로를 추가하기만 하면 됩니다.

참고: 대상 폴더가 인덱싱되어 있어야 합니다. Windows Server 2008 이상의 경우 파일 서비스 역할을 설치합니다. 그런 다음 역할 서비스 아래에 Windows 검색 서비스를 설치합니다. Windows Server 2003 SP2 서버의 경우 Windows Search 4.0을 설치합니다. Windows Search 4.0은 tinyurl.com/srch40dwnload에서 무료로 다운로드할 수 있습니다. 또한 검색 인터페이스의 제한 사항으로 인해 DFS 폴더의 대상이 인덱싱된 파일 서버인 경우에도 DFS 경로를 지정하지 못할 수 있습니다.

이 기사를 작성할 당시에는 라이브러리를 만들 수 있는 명령줄 유틸리티와 Windows PowerShell cmdlet이 없었습니다. Windows 7 SDK에는 프로그래밍 방식으로 라이브러리 작업을 수행하는 도구가 포함되어 있으므로 곧 유틸리티가 제공될 것입니다. 지켜봐 주시기 바랍니다.

라이브러리의 기본 작업에 대해 한 가지 주의할 사항이 있습니다. 탐색기에서는 사용자가 끌어서 놓는 방식으로 라이브러리에 파일을 저장할 수 있도록 공용 파일 대화 상자에 라이브러리를 표시합니다. 따라서 라이브러리 아래에 여러 링크가 있는 경우 해당 링크 중 하나를 기본 대상으로 구성해야 합니다.

6. 분산된 보안 준비

초기 전략 회의에서 Windows 7의 많은 분산된 보안 기능을 처리하는 방법에 대해 논의하는 시간을 가져야 합니다. 이러한 방법은 테스트 환경에 많은 영향을 주기 때문에 프로젝트 초기에 결정하는 것이 좋습니다.

먼저, 데스크톱 방화벽을 설정할지 여부를 결정합니다. OS 기반 데스크톱 방화벽이 XP SP1에서 처음 도입되었을 때 많은 조직에서는 그룹 정책으로 이 기능을 해제했었습니다. Windows 7의 방화벽은 유연성이 크게 향상되었습니다. 컴퓨터가 도메인에 연결되어 있는 동안 방화벽을 해제했다가 컴퓨터를 홈/회사 네트워크 또는 인터넷에 연결할 때 다시 설정할 수 있습니다. 세부적인 예외 항목을 정의할 수도 있습니다. 테스트 사용자의 의견과 보안 팀의 견해를 종합하여 방화벽 설정에 관한 최종 의사를 결정하십시오. 방화벽 설정은 그룹 정책으로 완벽하게 구성할 수 있습니다.

두 번째로, AppLocker를 사용하여 데스크톱에서 허용되는 응용 프로그램을 제한할지 결정합니다. AppLocker를 사용하면 승인된 실행 파일의 허용 목록을 작성하여 개별 파일 해시, 위치별 그룹 또는 게시자별 그룹(즉, 게시자의 인증서로 서명된 그룹)별로 선택할 수 있습니다. 구성이 완료되면 응용 프로그램 ID 서비스를 실행하는 Windows 7 클라이언트에서 이러한 규칙을 다운로드합니다. 이 시점부터는 허용 목록의 응용 프로그램만 실행할 수 있으며, 다른 모든 실행 파일은 실행할 수 없는 상태로 전환됩니다.

AppLocker 사용 권한은 그룹 정책을 통해 적용되기 때문에 OU, 그룹 구성원 자격 또는 WMI 필터를 기준으로 컴퓨터에 규칙을 적용할 수 있습니다.

AppLocker 허용 목록을 작성하기 위해 수많은 응용 프로그램을 일일이 확인하려면 번거로울 수 있습니다. 대부분의 기간 업무(LOB) 컴퓨터에는 고정되고 제한적인 응용 프로그램 제품군이 설치되어 있습니다. 여기에서부터 시작하십시오. 예를 들어 키오스크 컴퓨터에 플래시 드라이브를 밤새 연결한 상태로 유지할 수 있다면 몇 가지 문제는 해결된 것입니다. 나중에 백오피스 컴퓨터를 처리하면 되기 때문입니다.

끝으로, 랩톱 및 플래시 드라이브를 보호하는 데 암호화를 사용할지 여부를 결정합니다. 중요한 지적 재산이 들어 있는 데이터 드라이브가 있는 경우에는 당연히 암호화를 사용하려고 할 것입니다. BitLocker를 통해 전체 하드 드라이브와 해당 드라이브의 모든 데이터를 암호화할 수 있습니다. BitLocker To Go는 이 암호화 기능을 플래시 드라이브와 기타 휴대용 미디어로 확장합니다. 이러한 기능은 그냥 배포하기만 하면 됩니다.

하지만 BitLocker 정책을 그룹 정책에 포함하고 드라이브를 암호화하는 것으로 끝나는 것은 아닙니다. 다른 암호화 기반 기술과 마찬가지로 다양한 옵션을 신중하게 검토해야 합니다. "연례 회의 한 시간 전에 CEO의 랩톱이 잠겼지만 엔터프라이즈 복구 키를 마련해 두지 않아 이를 열 수 없는 실수를 저지른 사람"으로 수년 간 다른 사람들 입에 오르내리는 일은 없도록 하십시오. 엔터프라이즈 수준의 드라이브 암호화 및 BitLocker 구현에 익숙한 컨설턴트의 도움을 받는 것이 현명합니다. 이들의 도움을 받으면 복잡하다고 걱정할 필요가 없습니다. 대안에 대해서는 더더욱 걱정할 필요가 없습니다. 따라서 이전처럼 CFO의 랩톱이 도난당하는 일이 발생하지 않을 것입니다.

7. 데스크톱 가상화

다음과 같은 상황을 가정해 보겠습니다. 여러분은 표준 Windows 7 데스크톱 이미지를 설계하기 몇 주 또는 몇 개월의 시간을 투자했습니다. 여러분은 기술적인 문제점을 해결하기 위해 열심히 노력했으며, 마이그레이션의 영향을 최소화하여 컴퓨터 간에 응용 프로그램 및 사용자 데이터를 신속하게 이동할 수 있는 방법을 찾았습니다. (자동 설치 키트의 일부로 제공되는 사용자 환경 마이그레이션 도구를 사용하면 이러한 종류의 작업을 쉽게 수행할 수 있습니다. 연습용 데모를 보려면 tinyurl.com/usmtwt를 방문하십시오.) 여러분의 기술 담당자는 숙련되어 있습니다. 지원 센터 팀은 여러분이 SharePoint 사이트에 게시한 모든 지침을 숙지하고 있습니다. 따라서 여러분은 배포를 시작할 완벽한 준비가 되어 있습니다.

하지만 기다리십시오! 운영 체제를 새 컴퓨터의 하드 드라이브에 직접 두기보다는 Windows 7을 사용하여 하드 드라이브의 VHD(가상 하드 드라이브)에 OS를 설치할 수 있습니다. 이 VHD 콘텐츠로부터 OS가 부팅됩니다. 이때 VHD는 드라이브 C, 실제 하드 드라이브는 드라이브 D로 표시됩니다. 적절한 계획을 통해 이러한 방식으로 OS를 설치하면 휴대하기가 훨씬 간편해집니다. 신시내티에서 시카고로 이동하는 경우 신시내티의 기술 담당자가 네트워크를 통해 시카고의 기술 담당자에게 VHD를 복사해 주고 시카고의 기술 담당자가 이를 컴퓨터에 설치하면 도착하는 즉시 친숙한 데스크톱 환경에서 작업할 수 있습니다.

VHD의 성능이 실제 하드 드라이브보다 낮을 것이라고 생각한다면 다시 생각해 보십시오. 가상화 팀 블로그(tinyurl.com/nativevhd)에서 디스크 I/O 통계를 확인해 보면 생각이 달라지실 것입니다.

그러나 몇 가지 주의 사항이 있습니다. 첫 번째 주의 사항은 최대 절전 모드와 관련이 있습니다. VHD 부팅 컴퓨터에서는 최대 절전 모드가 작동하지 않습니다. 이는 랩톱에서는 VHD 부팅을 사용하지 않으려고 할 것이기 때문입니다. 또한 BitLocker로 암호화된 드라이브에서는 VHD로 부팅할 수 없습니다. 이 또한 랩톱에서는 VHD의 유용성이 떨어지기 때문입니다.

VHD 기반 배포는 복잡하기 때문에 그다지 이점이 없을 수 있지만 적어도 테스트 계획에는 포함해야 합니다. 이 작업을 요령 있게 수행하는 단계는 이 기사에서 설명하기에 너무 길기 때문에 여기에서는 관련 지침을 확인할 수 있는 페이지만 소개합니다. 먼저, tinyurl.com/win7bootvhdnativinstall에 설명된 Max Knor의 방법을 사용할 수 있습니다. 이 방법을 사용하려면 반드시 Windows 7 설치 CD로 부팅하고, 명령 프롬프트를 확인한 후 VHD를 만들어 설치 관리자의 대상으로 사용해야 합니다. 또한 TechNet(tinyurl.com/win7bootvhdwt)의 연습 지침을 따르거나 TechNet 비디오 tinyurl.com/win7bootvhdvid를 볼 수도 있습니다.

이러한 기술에 익숙해지면 Vista PC Guy 블로그에서 Kyle Rosenthal이 WinPE 도구를 사용하여 이미지를 작성하는 방법에 대해 설명하는 지침을 확인해 보십시오. 예를 들어 vistapcguy.net/?p=71의 단계에서는 WinPE 도구를 사용하여 부팅 가능한 플래시 드라이브를 만들고 여기에 설치 이미지를 생성하는 방법을 보여 줍니다. 이 도구를 사용하면 컴퓨터에 표준 이미지를 신속하게 설치할 수 있습니다.

8. 엔터프라이즈 기능 평가

VHD 부팅은 BitLocker 및 AppLocker와 함께 Windows 7 Enterprise 또는 Ultimate가 필요한 클래스의 기능에 속합니다. Enterprise SKU는 볼륨 라이선스 계약을 통해서만 구입할 수 있습니다. Enterprise 또는 Ultimate가 있는 경우 보안을 강화하고 업무 효율성을 향상시키는 몇 가지 추가 기능의 배포를 고려해야 합니다.

BranchCache를 통해 지점의 중앙 서버에서 또는 데스크톱의 피어 네트워크의 일부로 파일 전송을 캐시할 수 있습니다. 클라이언트에서 파일 전송이 시작되면 먼저 파일이 로컬로 캐시되는지, 그리고 파일 해시가 신뢰할 수 있는 원본의 해시와 일치하는지 확인합니다. 이 두 가지가 확인되면 캐시에서 데이터를 복사합니다. 이 과정은 속도를 향상시킬 뿐만 아니라 WAN의 네트워크 부하를 감소시킵니다. (네트워크 사용자의 작업 효율이 향상됩니다) 파일럿 테스트에서 BranchCache를 사용하여 응용 프로그램 및 관련 파일 트래픽에 이점이 있는지 평가해 보는 것이 좋습니다.

다음으로, Windows Server 2008 R2 서버에 VDI(Virtual Desktop Infrastructure)를 배포하여 마지막 섹션에 설명된 VHD 기반의 유사 가상화를 다음 수준, 즉 실제 가상화로 전환할 수 있습니다. VDI에서는 각 데스크톱 세션이 별도의 가상 컴퓨터로 존재하며 사용자가 RDP를 통해 연결됩니다. 이 기능은 모든 사용자가 같은 응용 프로그램 이미지 풀을 사용하는 터미널 서비스의 기본적인 데스크톱 게시 방법과 대조적입니다. 터미널 서비스에서는 누군가 실수를 저지르면 모든 사람이 영향을 받게 됩니다. "Caddyshack"이라는 영화를 보면 잘 알 수 있습니다. (응용 프로그램을 가상화하면 터미널 서버의 부적절한 상호 작용을 방지할 수도 있습니다. Microsoft Desktop Optimization Pack의 App-V 도구를 확인해 보십시오.)

VDI는 가격이 약간 비쌉니다. 서버의 전체 메모리와 네트워크 액세스를 사용하여 사용자 가상 데스크톱을 지원하는 비용은 PC 비용보다 많을 수 있습니다. 그러나 분산된 데스크톱 환경의 재해 복구를 위해서는 이보다 더 나은 보호 방법이 없습니다.

또 다른 엔터프라이즈 기능인 DirectAccess는 사용자가 Windows Server 2008 R2 게이트웨이를 통해 VPN을 사용하지 않고 회사 네트워크에 연결할 수 있도록 해줍니다. 사용자는 공항에서 EVDO 지원 노트북을 열고 회사 서버에 저장된 문서에 대한 작업을 즉시 시작할 수 있습니다. 하지만 이 기능을 보안 팀에 판매하는 데는 시간이 걸릴 수 있습니다. (지금은 이 기능이 필요하지 않은 그룹이 있습니다.)

9. 호환성 안전망 구축

회의에서 명확하게 확인해야 하는 한 가지 문제는 조직에서 64비트 데스크톱을 배포할 준비가 되어 있는지의 여부입니다. 교체 주기에 따라 배포되는 새 컴퓨터는 틀림없이 64비트 지원 컴퓨터가 될 것입니다. 또한 현재의 RAM 가격을 고려해 볼 때 2GB RAM을 사용하거나 재무 팀에서 승인하는 경우 4GB RAM을 사용할 것입니다. 컴퓨터는 듀얼 코어 또는 쿼드 코어 프로세스를 탑재하고, Aero를 지원하기에 충분한 비디오 메모리를 갖추게 될 것입니다. 이러한 컴퓨터에서는 64비트 OS를 원활하게 실행할 수 있습니다.

현재의 모든 기간 업무(LOB) 및 상용 응용 프로그램이 여전히 32비트이지만 지금의 투자를 향후에도 활용하려는 경우 64비트 버전의 Windows 7을 설치하는 것이 좋습니다. 분명 지금은 64비트 표준으로 전환하는 중이므로 공급업체에서 이전 버전과의 호환성을 지원하기로 결정할 때를 대비해 미리 준비를 갖추어야 합니다.

64비트 데스크톱을 배포하기로 결정한 경우 장치 드라이버, 바이러스 백신 제품군, 관리 에이전트 등과 관련된 문제점을 철저히 테스트해야 합니다. 또한 현재 32비트 인쇄 서버를 사용하는 경우에는 인쇄 대기열을 64비트 드라이버로 채워야 합니다. 하나의 대안으로, 새로운 x64 Windows Server 2008 또는 R2 인쇄 서버를 배포하고 대기열을 작성할 때 두 드라이버를 모두 적용할 수 있습니다. Windows Server 2008 R2의 프린터 마이그레이션 마법사를 사용하면 이 작업을 쉽게 수행할 수 있습니다. 불량 드라이버로 인해 스풀러가 다운되지 않도록 프린터 모델이 자체 메모리 공간을 유지할 수 있게 향상되었기 때문에 새로운 R2 인쇄 서버를 배포한 것이 좋습니다.

가장 중요한 잠재적 문제는 64비트 호스트에서 실행되지 않는 기존의 16비트 응용 프로그램을 실행해야 하는 경우입니다. 이 경우에는 미네소타의 농부들이 토마토 생산량을 늘리기 위해 사용했던 트릭을 적용하는 것이 가장 좋습니다. 이들은 토마토 재배 환경을 덜루스가 아니라 댈러스로 가장하는 환경을 구축했습니다. 이 트릭을 적용하려면 XP 모드를 사용하여 x86 XP SP3 인스턴스를 x64 Windows 7 데스크톱에 두면 됩니다.

XP 모드 가상 컴퓨터에 설치된 응용 프로그램은 기본적으로 설치된 응용 프로그램과 마찬가지로 Windows 7 시작 메뉴(그림 7)에서 시작할 수 있으므로 사용자가 혼동을 일으키지 않습니다. (실제로 이 트릭은 XP 모드가 아니라 특정 RAIL 핫픽스에서 제공되는 것이므로 RAIL 핫픽스를 설치한 후 32비트 Vista 또는 Windows 7 Virtual PC를 실행하여 동일한 시작 메뉴 트릭을 수행할 수 있습니다.)

boswell.fig7.virtualpcmenu.gif

그림 7 시작 메뉴의 XP 모드 응용 프로그램 목록

기본적으로 XP 모드 가상 컴퓨터는 해당 가상 컴퓨터 내의 로컬 계정으로 실행됩니다. 이 계정을 사용자 계정이라고 합니다. 설치하는 동안 이 계정에 대한 암호를 설정할 수 있습니다. 암호는 만료되지 않도록 설정됩니다. 또한 가상 컴퓨터를 시작하고 도메인에 가입하여 도메인 자격 증명으로 로그온할 수도 있습니다. 기존 관리 도구와 함께 Exchange 2003 ESM을 XP 모드로 로드하여 완벽한 관리 환경 호환성을 유지할 수 있습니다. 호스트와 가상 컴퓨터 간의 원활한 잘라내기/붙여넣기 기능도 유용합니다.

XP 모드에는 Intel VT 또는 AMD-V의 하드웨어 기반 가상화가 필요합니다. SpinRite와 ShieldsUP으로 유명한 캘리포니아 라구나 힐스에 기반을 둔 Gibson Research Corp.의 Steve Gibson은 컴퓨터가 조건을 충족하는지 신속하게 확인할 수 있는 SecurAble(grc.com/securable.htm)이라는 무료 유틸리티를 제공합니다. SecurAble 보고서의 예는 그림 8을 참조하십시오.

boswell.fig8.securable report.gif

그림 8 Gibson Research Corp.의 SecurAble 보고서

수백 혹은 수천 대의 PC를 보유한 경우에는 이러한 대체 환경을 처리할 수 있는 중앙 집중식 관리 패키지가 필요합니다. 이 패키지가 바로 Microsoft Desktop Optimization Pack의 한 요소인 Microsoft Enterprise Desktop Virtualization(MED-V)입니다. 클라이언트에서 MED-V 2.0은 XP 모드와 마찬가지로 하드웨어 가상화 지원이 필요한 가상 컴퓨터를 설치합니다. 또한 백 엔드에서 MED-V는 패키지를 만들어 가상 컴퓨터에 배포하는 데 유용한 여러 가지 도구를 제공합니다. 자세한 내용은 Windows 팀 블로그(tinyurl.com/medvblog)를 참조하십시오.

10. 사용자의 로컬 관리 권한 제거

사용자의 로컬 관리 권한을 아직 제거하지 않은 경우 지금 바로 제거하십시오. 물론 힘들다는 것은 잘 알고 있습니다. 특히 랩톱 사용자의 경우 지원 센터에서 전화를 통해 복잡한 문제 해결 과정을 안내할 수 없기 때문에 더욱 어려울 수 있습니다. 그러나 전술적 요구 사항을 충족하는 응용 프로그램을 찾고 썸 드라이브로 상호 운용성 테스트 없이 응용 프로그램을 설치하려는 "섀도" IT 조직도 있습니다. 또한 보편적인 사용자는 로컬 관리 권한이 있는 경우 컴퓨터에 불필요한 프로그램을 설치하는 경우가 많습니다. 지원 센터의 도움 없이는 암호를 다시 설정하는 방법도 모르는 대부분의 사용자가 쇼핑이나 스포츠 관람과 같은 보상을 제공하는 복잡한 다중 계층 클라이언트-서버 프런트 엔드 응용 프로그램을 설치하는 것을 보면 놀라지 않을 수 없습니다.

로컬 관리 권한을 제거하기 위해 대다수의 사용자를 설득해야 하는 과정이 필요하더라도 응용 프로그램을 실행하기 전에 이러한 권한을 제거하는 것이 좋습니다. 실제로 엄청난 수의 응용 프로그램이 파일 시스템 및 레지스트리의 보호된 부분을 쓰려고 하기 때문입니다.

Windows 7에서는 표준 사용자 작업으로 간편하게 전환할 수 있습니다. 백그라운드 프로세스에서 보호된 영역의 변경 내용을 사용자가 제어하는 영역으로 리디렉션합니다. 이 기능만으로도 XP를 사용할 때 표준 사용자 작업과 관련하여 발생한 많은 문제점을 해결할 수 있습니다. 그 밖에도 시간대 변경 기능, XP와 Vista에서 로컬 관리 권한이 필요한 작업 등 간단하지만 표준 사용자를 지원하는 중요한 향상된 기능이 있습니다. 또한 화면 해상도를 변경하고, ipconfig /refresh를 실행하여 새 DHCP 주소를 가져오고, 선택적 업데이트를 설치할 수도 있습니다.

Application Compatibility Toolkit(ACT)에는 응용 프로그램 검사를 도와주는 SUA(표준 사용자 분석기) 마법사가 포함되어 있습니다. SUA에서는 상승된 권한으로 응용 프로그램을 시작할 수 있는 플랫폼을 제공합니다. 그런 다음 응용 프로그램이 설치되고 실행되면 표준 사용자로 실행하지 못하도록 하는 문제점을 검사합니다. 작업이 완료되면 응용 프로그램에 대한 상태 보고서 또는 수정이 필요한 항목의 목록을 제공합니다.

ACT를 다운로드할 때 tinyurl.com/appverify에서 응용 프로그램 검증 도구도 함께 다운로드할 수 있습니다. 이 도구는 SUA 마법사에서 사용되며 ACT 패키지에 포함되어 있지 않습니다. 또한 ACT 5.5 관련 문서도 읽어 보아야 합니다. 이러한 문서에서는 호환성 문제점 및 수정에 대한 유용한 정보를 제공합니다. TechNet Magazine 2009년 6월호에서도 응용 프로그램 호환성에 대해 광범위하게 다루고 있습니다.

그러나 관리자, 개발자 및 스스로 로컬 Administrators 그룹에 다시 속할 수 있는 권한을 가진 사용자처럼 로컬 관리 권한이 절대적으로 필요한 사용자의 경우에는 어떻게 해야 할까요? 이러한 사용자가 하루종일 상승된 권한을 사용하도록 그대로 두어야 할까요? 그렇게 하지 않는 것이 좋습니다. 이를 위해 UAC(사용자 계정 컨트롤)라는 기능이 있습니다. 이 기능에 대한 자세한 내용은 Mark Russinovich가 최근에 작성한 기사("Inside Windows 7 User Access Control," TechNet Magazine, 2009년 7월호)에서 확인할 수 있습니다. 새 UAC 슬라이더를 화면 아래쪽에 추가하여 컴퓨터에서 비활성화하기 전에 이 온라인 문서를 읽어 보십시오.

며칠간 영웅이 되어 보세요.

Windows 7을 준비하고 배포하기 위해 많은 작업을 수행해야 하지만 사용자가 이 새로운 OS를 실제로 원하는 것만큼 힘이 되는 것은 없습니다. 실제로 체험해 보면 새 인터페이스에 만족해 할 것입니다. 또한 조정 및 완료, 응답성, 새로운 기능 등을 좋아할 것입니다.

인기 있는 시스템 관리자가 될 수 있는 기회는 자주 오지 않습니다. 언제까지 계속될지는 모르지만 당분간은 마음껏 즐겨 보세요! 성공적인 Windows 7 배포를 기원합니다. 좋은 소식이 있으면 알려 주시기 바랍니다.

Bill Boswell(billb@microsoft.com)은 Microsoft Consulting Services 애리조나 피닉스 사무실의 수석 컨설턴트입니다. Bill은 현재 한 대형 항공사의 IT 아키텍처 계획(ITAP) 자문을 맡고 있습니다.