Share via

핵심 네트워크 부록 가이드: 그룹 정책 배포

  • 아티클

 

적용 대상: Windows Server 2012

이 가이드는 Microsoft 다운로드 센터(https://go.microsoft.com/fwlink/?LinkId=255199)에서 Microsoft Office Word 형식으로 다운로드하고 Windows Server 2012 Technical Library(https://technet.microsoft.com/library/hh911995.aspx)에서 HTML 형식으로 다운로드할 수 있는 Windows Server® 2012 핵심 네트워크 가이드와 함께 제공됩니다.

Windows Server 2012 핵심 네트워크 가이드에서는 완벽하게 작동하는 네트워크와 새 포리스트의 새 Active Directory 도메인에 필요한 핵심 구성 요소를 계획하고 배포하기 위한 지침을 제공합니다.

이 가이드는 Active Directory 도메인의 계층을 형성하는 OU(조직 구성 단위) 대신 멤버 자격 그룹을 사용하여 GPO(그룹 정책 개체) 배포에 대한 지침을 제공함으로써 핵심 네트워크를 구축하는 방법에 대해 설명합니다.

이 가이드에는 다음 섹션이 수록되어 있습니다.

참고

이 가이드는 다음 위치에서 확인할 수 있습니다.

이 가이드 정보

이 가이드에서는 도메인의 OU 계층 구조에 있는 계정 위치 이외에 구성원 그룹을 사용하여 클라이언트 컴퓨터 또는 사용자 집합에 그룹 정책 설정을 배포하기 위한 지침을 제공합니다.

이 가이드에 설명된 방법은 GPO를 사용하여 구성을 수신할 사용자 또는 컴퓨터 계정을 추가할 수 있는 단일 구성원 그룹을 만드는 방법을 보여 줍니다. OU 계층 구조의 계정 위치가 아니라 그룹의 구성원에 따라 컴퓨터가 구성원 그룹과 연결된 GPO의 하나를 수신할지를 결정합니다. 또한 WMI(Windows Management Instrumentation) 필터를 사용하여 컴퓨터에서 실행되는 Windows 버전에 해당하는 설정이 포함된 GPO만 적용되도록 합니다.

이 방법을 사용하여 GPO를 배포하는 두 가지 주요 이점은 다음과 같습니다.

  • 이 방법은 도메인의 OU 구조와 전혀 관련되지 않습니다. GPO를 한 컴퓨터에 적용하는 것은 더 이상 컴퓨터를 다른 OU로 이동하거나 OU 계층 구조를 재구성한다는 것을 의미하지 않습니다.

  • GPO의 설정을 매우 쉽게 적용하거나 적용을 중지할 수 있습니다. 구성원 그룹에서 사용자 또는 컴퓨터 계정을 제거하면 됩니다. 이렇게 하면 사용자 또는 컴퓨터에 적용되는 다른 GPO에 영향을 주지 않고 GPO 범위에서 사용자 또는 컴퓨터가 제거됩니다.

이 가이드는 Windows Server 2012 핵심 네트워크 가이드의 지침에 따라 핵심 네트워크를 배포한 네트워크 및 시스템 관리자나 AD DS(Active Directory 도메인 서비스), DNS(Domain Name Service), DHCP(Dynamic Host Configuration Protocol), TCP/IP, WINS(Windows 인터넷 이름 서비스)(옵션)를 비롯하여 핵심 네트워크에 포함된 핵심 기술을 이전에 배포한 네트워크 및 시스템 관리자를 대상으로 합니다.

이 배포 시나리오에서 사용되는 각 기술에 대한 디자인 및 배포 가이드를 검토하는 것이 좋습니다. 이들 가이드를 통해 이 배포 시나리오가 조직 네트워크에 필요한 서비스 및 구성을 제공하는지 확인할 수 있습니다.

요구 사항

경고

이 가이드에 설명된 방법은 조직의 대부분 컴퓨터에 배포해야 하는 GPO에만 사용하고 Active Directory 도메인의 OU 계층 구조가 이들 GPO의 배포 요구 사항과 잘 일치하지 않을 경우에만 사용하는 것이 좋습니다. OU 계층 구조에서 GPO를 지원하지 않으면 GPO가 적용될 모든 계정이 포함된 최하위 OU에 GPO를 연결하는 방식으로 GPO를 배포합니다.

수백 또는 수천 개 GPO가 포함된 대규모 엔터프라이즈 환경에서 이 방법을 사용하면 너무 많은 그룹의 구성원으로 구성된 사용자 또는 컴퓨터 계정이 발생할 수 있습니다. 이로 인해 네트워크 프로토콜 제한 초과 시 네트워크 연결 문제가 발생할 수 있습니다. 너무 많은 그룹 구성원과 연결된 문제에 대한 자세한 내용은 Microsoft 기술 자료에서 다음 문서를 참조하세요.

그룹 정책을 사용하기 위한 요구 사항은 다음과 같습니다.

  • 그룹 정책을 배포하려면 도메인에 가입된 도메인 및 컴퓨터를 호스트하는 Active Directory 도메인 컨트롤러가 있어야 합니다.

  • GPO를 구성하려면 구성원 그룹을 만들고 구성원을 이 그룹에 할당합니다. Domain Admins 그룹의 구성원으로 로그온해야 합니다.

이 가이드에서 설명하지 않는 정보

이 가이드에서는 AD DS를 사용하여 그룹 정책 인프라를 디자인 및 배포하기 위한 포괄적인 지침을 제공하지 않습니다. 이 가이드의 기술을 배포하기 전에 AD DS 및 그룹 정책 설명서를 검토하는 것이 좋습니다. 자세한 내용은 추가 리소스를 참조하세요.

그룹 정책 기술 개요

그룹 정책은 사용자가 네트워크에서 연결이 끊어져도 관리되는 컴퓨터에서 응용 프로그램, 응용 프로그램 설정, 로밍 사용자 프로필 및 사용자 데이터에 일관되게 액세스할 수 있도록 하는 관리 기술입니다. 그룹 정책 설정은 Active Directory 도메인 내의 사이트, 도메인 또는 OU에 연결된 GPO에 포함됩니다. 그다음에 대상 컴퓨터 또는 사용자가 GPO 내의 설정을 평가 및 적용합니다. 그룹 정책으로 사용자 및 컴퓨터 개체를 관리할 수 있으므로 그룹 정책은 AD DS(Active Directory 도메인 서비스)를 배포하는 가장 큰 이유의 하나입니다.

대부분 관리자는 GPO 배포를 Active Directory 도메인의 OU 계층 구조와 연결합니다. GPO를 OU에 연결할 수 있고 해당 OU의 모든 컴퓨터 또는 사용자나 하위 항목의 하나가 정책을 수신하고 적용합니다. 그러나 Active Directory 도메인에는 OU 계층 구조가 하나만 포함될 수 있고 컴퓨터 및 사용자 계정은 단일 OU에만 배치될 수 있습니다. 이런 이유로 하나의 문제를 해결하는 데 적절한 OU 계층 구조가 다른 문제 해결에는 부적절한 경우가 있습니다. 예를 들어 대부분 조직에서는 위임된 관리를 지원하도록 OU 계층 구조를 디자인합니다. 컴퓨터 및 사용자 계정은 IT 팀에 책임이 할당된 OU에 배치됩니다. OU 컨테이너에 대한 관리 권한을 IT 팀에 부여하는 방식으로 OU에 계정이 포함되어 있는 컴퓨터 및 사용자를 관리할 수 있습니다. 이와 같은 계층 구조는 전체 조직에서 컴퓨터에 영향을 미치는 그룹 정책 설정 배포에 적합하지 않을 수 있습니다(예: 서버 및 도메인 격리 시나리오에 대한 IPsec(인터넷 프로토콜 보안) 설정을 배포할 경우).

또한 한 Windows 버전을 구성하려면 다른 Windows 버전에서 사용되는 정책 설정과 다른 정책 설정을 사용해야 할 수 있습니다. 예를 들어 Windows Server 2012, Windows Server 2008, Windows 8, Windows 7 및 Windows Vista의 IPsec 규칙은 Windows Server 2003 및 이전 Widnows 버전용 IPsec 규칙과 다른 GPO 부분에서 관리됩니다. 즉, 모두 같은 기능을 수행하는 6개의 개별 GPO가 있을 수 있고 각 GPO는 Windows Server 2012, Windows Server 2008, Windows Server 2003, Windows 8, Windows 7 및 Windows Vista에 해당합니다. Windows Server 2003 GPO는 이전 Windows 버전에도 적용됩니다.