Windows Server 2008 R2 AD 그룹정책1

윈도우 서버의 보안 그룹정책에 대해 알아보겠습니다. 

윈도우 AD서버를 만들어두면 다른 윈도우PC를 멤버서버로 만들수가 있으며  AD에 소속된 PC들은 AD서버의 통제를 받게됩니다. 

테스트 환경은 윈도우서버OS의 AD서버 , 윈도우서버의 멤버서버, AD에 소속된 윈도우7 PC 2대 입니다.

AD서버에서 일반계정 a,b를 만들고 컴퓨터도 해당 OU에 소속 시켜주었습니다.

TIP. 정책 적용 순서는 로컬 - 사이트 - 도메인 - OU 순서대로 입니다.

관리도구에 그룹정책관리에 보면 AD사용자 및 컴퓨터에서 만들어둔 A, B 가 있습니다. 아직 어떠한 정책도 설정하지 않았기에 아무것도 없지만 그룹정책 개체에서 새 GPO를 만들수있습니다. 제어판 엑세스 권한을 없앨수있는데 만든 GPO에서 편집을 하면 그룹정책 관리 편집기가 나오게 됩니다. 사용자 구성에 있는 제어판 정책에보면 제어판 엑세스 금지 항목이 있습니다. 이걸 사용으로 바꾸고 A에 방금 만든 제어판 정책을 넣어두면 정책이 실행됩니다. 

보안정책에서 사용자구성으로 설정했기 때문에 A 조직에 소속된 계정들이 정책의 영향을 받게 됩니다.

a 일반계정으로 접속된 윈도우7 PC에 가보면 바로 정책이 실행되지 않습니다. cmd에서 정책을 강제 적용시키는 명령어를 사용하여 바로 적용시켰습니다. 실행창에서 control.exe로 제어판에 바로 접속해보려했지만 안되고 시작버튼에 제어판이 사라진걸 볼수있습니다.

TIP. 그룹정책은 최소 60분에서 최대 120분 사이에 정책이 자동으로 적용됩니다.

AD서버에 속한 멤버서버들은 해당 PC의 배경화면도 AD서버에서 관리하는 것이 가능합니다.

테스트를 위하여 윈도우 서버의 멤버서버에 C:\img 경로에 사진 1,2를 두었습니다.

AD서버는 계정을 관리하는 서버로 다른 어플리케이션이나 작업들은 모두 윈도우 서버의 멤버서버에서 하는걸 추천합니다. 

윈도우서버의 멤버서버의 해당 경로에 있는 폴더를 공유설정을 합니다. 보안에 Domain Users를 소속시켜 읽기권한까지 부여합니다.

공유폴더설정이 끝났다면 윈도우7 PC에서 공유폴더에 접근이 가능한지 확인보았습니다.

AD서버에서 보안정책에서 사용자 구성에서 바탕화면에 설정하는 부분이 있습니다. 배경무늬 경로에 윈도우 멤버서버에 공유폴더를 경로로 설정합니다. 이미지파일은  jpg, bmp, jpeg만 가능합니다.

정책이 적용된 PC에 강제 그룹정책을 하고 다시 로그온하게 되면 배경화면이 자동으로 맞춰줘있습니다. 사용자가 직접 배경화면을 설정하려해도 바뀌지가 않습니다.

이번에는 익스플로러의 기능을 제한하도록 해보겠습니다.

GPO정책에서 새로 만들어서 익스플로러의 검색 기록 삭제 부분을 설정해보았습니다.

윈도우7 PC에서 익스플로러 웹 브라우저에 들어가보면 기능이 제한된걸 확인할수있습니다.

그룹정책에서 만약 상충되는 정책이 있을 경우에 대해 알아보겠습니다.

Default Domain Policy는 기본적으로 적용되는 정책입니다. 이걸 해제하려면 상속차단으로 풀수있습니다. 상속차단을 하게 되면 A에 !가 나오게 됩니다.

한 조직에 제어판 실행과 삭제 둘의 정책을 설정했습니다. 둘이 상충되는 정책이 있을때 어떻게 정책이 실행되는지 확인해보겠습니다.

윈도우7에서 확인해보면 제어판을 사용할수가 있습니다. 그룹 정책 관리창에서 보면 정책 링크 순서가 있습니다. 적용되는 순서는 아래에서부터 순서대로 적용이 되어 삭제정책이 실행되고 실행정책이 실행되어 제어판이 실행가능하게 되었습니다.

 

AD서버의 정책 관리에서 보면 적용이 있습니다. 이걸 적용하게 되면 링크순서가 위에 없어도 삭제정책을 적용하게 됩니다.