Group Policy (그룹 정책)

그룹 정책 개요

그룹 정책의 목적은 관리자가 사용자, 그룹 또는 컴퓨터들을 위한 특정한 설정을 만들어 해당 사용자, 그룹 또는 컴퓨터에게 정책이 강제로 적용되게 한다. 관리자는 다른 정책을 설정할 때까지 이 정책을 통해 네트워크 상에서 적용시킴으로써 일괄적인 네트워크 환경을 꾸미게 도와준다. 그룹 정책은 시스템 프로필과는 다른 설정이며 시스템 프로필은 데스크탑 설정을 지원하기 위해 Windows NT 4.0에서 사용되었다. 시스템 정책은 Windows 2000 이전 버전을 위해 존재한다.

그룹 정책은 사용자가 원하는 작업 환경을 맞춤으로 제공함으로써 최종 사용자가 컴퓨터를 좀더 효율적으로 사용할 수 있도록 돕는다. 예를 들어 특별한 응용 프로그램의 바로 가기 아이콘을 데스크탑에 추가하거나 내 문서 폴더를 네트워크 드라이브로 대체하여 사용하여 네트워크상의 어디에서 로그인하던지 항상 자신만의 저장 공간을 사용할 수 있도록 해준다.

그룹 정책은 오직 Windows 2000 이상을 지원하며 Windows 95/98/NT 등 이전 버전에서는 사용할 수 없다. 이전 버전을 위해서는 시스템 정책을 사용하여야 한다.

시스템 정책은 각 도메인 컨트롤러의 NETLOGON 공유 폴더에 배치되어 NETLOGON.POL(NT4, 2000, XP, Server 2003)이나 CONFIG.POL(9x, Me)이라는 하나의 파일에 입력된다. Windows 9x/Me/NT4, Windows 2000, Windows XP, Windows Server 2003 시스템이 부팅되어 NT4나 AD 도메인에 로그온을 하면 CONFIG.POL이나 NETLOGON.POL 파일을 다운 받아 POL 파일에 입력된 모든 제한 사항에 따라, 시작 프로그램 메뉴를 수정하고, 데스크탑을 변경하는 등의 작업을 한다.

그룹 정책은 AD 도메인에만 존재하며, 데스크탑으로 소프트웨어의 자동 설치를 지원한다. 시스템 정책과 달리 제거되었을 때 변경을 원상 복귀 시킨다. 시스템 정책은 로그온시에만 적용되지만 그룹 정책은 컴퓨터를 켰을 때와 로그온 할 때, 그리고 랜덤 시간으로 적용된다. 정책 적용 대상자와 비대상자에 대한 정확한 제어가 필요하다.

그룹 정책 객체

그룹 정책의 기본 단위는 그룹 정책 객체(GPO; Group Policy Object)이며, 사이트, 도메인, OU, 사이트에 적용한다. 덧붙여 GPO 설정은 상속되어 부모 객체로부터 자식 객체로 전달된다. 사이트, 도메인, OU에 적용된 그룹 정책 객체를 Global GPO라고 하며, 사용자, 그룹, 컴퓨터 멤버쉽에 적용된다.

정책 필터링과 그룹 정책

그룹 정책은 사용 권한을 이용하여 제어를 한다. 그래서 그룹에도 이런 사용 권한을 지정할 수 있다. 한 정책을 특정 그룹에만 적용하기를 원한다면 해당 정책을 도메인 전체에 적용한뒤 'Domain Users' 그룹이 가지는 '그룹 정책 적용 사용 권한'을 제거하고 그룹 정책의 적용을 원하는 그룹명을 지정한다.

그룹 정책은 제거되면 설정을 기존 상태로 되돌린다.

그룹 정책으로 할 수 있는 일

 배포 소프트웨어를 설치하기 위해 필요한 파일을 모아 패키지를 만들어서 이 패키지를 한 서버에 저장하였다가 그룹 정책을 이용하여 사용자의 데스크탑에게 해당 패키지의 위치를 알려준다. 사용자가 처음으로 이 어플리케이션을 실행하려고 할 때 자동으로 설치가 이뤄진다.

원격 시스템에 대한 사용자 권한을 설정/변경할 수 있다.

사용자의 데스크탑을 제어하여 사용자가 제한된 응용 프로그램만을 실행할 수 있도록 권한을 제공한다.

디스크 할당 등 시스템 설정을 원격에서 제어할 수 있다.

로그온, 로그오프, 시작, 종료 스크립트를 지원하여 GPO를 통해 어떤 스크립트를 실행할지 제어한다.

프로그램 기능 제한 - 인터넷 익스플로어, 윈도우 탐색기 등 기능을 제한한다.

사용자의 데스크탑을 제어하여 사용자가 임의로 프린터를 추가하거나, 로그 아웃 등을 할 수 없도록 한다.