그룹 정책 개체(GPO) 설명:GPO 정의 및 중요한 이유

작성자:

린다 로젠크랜스
에이미 쿠차릭(TechTarget)

게시일:2019년 9월 10일

Microsoft의 GPO(그룹 정책 개체)는 시스템의 모양과 정의된 사용자 그룹에 대해 시스템이 작동하는 방식을 정의하는 그룹 정책 설정 모음입니다.

Microsoft는 GPMC(그룹 정책 관리 콘솔)를 사용할 수 있는 프로그램 스냅인을 제공합니다. 선택 사항에 따라 그룹 정책 개체가 생성됩니다. GPO는 사이트, 도메인, OU(조직 단위) 등 선택된 Active Directory 컨테이너와 연결됩니다. GPMC를 사용하면 레지스트리 기반 정책, 보안 옵션, 소프트웨어 설치 및 유지 관리 옵션, 스크립트 옵션, 폴더 리디렉션 옵션을 정의하는 GPO를 만들 수 있습니다.

GPO 유형

GPO에는 로컬, 비로컬, 스타터의 세 가지 유형이 있습니다.

로컬 그룹 정책 개체. 로컬 그룹 정책 개체는 로컬 컴퓨터와 해당 컴퓨터에 로그온하는 사용자에게만 적용되는 그룹 정책 설정 모음을 의미합니다. 로컬 GPO는 단일 Windows 컴퓨터 또는 사용자에게 정책 설정을 적용해야 할 때 사용됩니다. 로컬 GPO는 기본적으로 모든 Windows 컴퓨터에 존재합니다.
비로컬 그룹 정책 개체. 비로컬 그룹 정책 개체는 정책 설정이 하나 이상의 Windows 컴퓨터 또는 사용자에 적용되어야 할 때 사용됩니다. 비로컬 GPO는 사이트, 도메인 또는 조직 단위와 같은 Active Directory 개체에 연결된 Windows 컴퓨터 또는 사용자에게 적용됩니다.
스타터 그룹 정책 개체. Windows Server 2008에 도입된 스타터 GPO는 그룹 정책 설정을 위한 템플릿입니다. 이러한 개체를 통해 관리자는 향후 생성될 모든 정책에 대한 기준을 나타내는 사전 구성된 설정 그룹을 생성하고 보유할 수 있습니다.

데이터 보안 및 그룹 정책 개체

회사 네트워크를 보호하는 데 도움이 될 수 있는 몇 가지 그룹 정책 설정이 있습니다. 예를 들어, 그룹 정책을 통해 조직은 스크립트를 실행하고, 사용자가 특정 리소스에 액세스하지 못하도록 하며, 모든 네트워크 사용자에게 특정 홈 페이지를 강제로 열도록 하는 등의 간단한 작업을 수행할 수 있습니다.

이러한 보안 조치에는 다음이 포함됩니다:

제어판에 대한 액세스 제한 -- 제어판을 통해 회사는 컴퓨터의 모든 측면을 제어할 수 있습니다. 컴퓨터에 액세스할 수 있는 사람을 제한하면 조직에서 데이터와 기타 리소스를 안전하게 유지할 수 있습니다.
명령 프롬프트 비활성화 -- 회사는 명령 프롬프트를 사용하여 사용자에게 높은 수준의 액세스 권한을 부여하고 다른 시스템 제한을 우회하는 명령을 실행할 수 있습니다. 그렇기 때문에 시스템 리소스의 보안을 보장하려면 명령 프롬프트를 비활성화하는 것이 좋습니다. 명령 프롬프트가 비활성화된 후 사용자가 명령 창을 열려고 하면 시스템은 일부 설정으로 인해 이를 방해하고 있다는 메시지를 표시합니다.
소프트웨어 설치 방지 -- 사용자가 소프트웨어를 설치하도록 허용된 경우 회사 시스템을 손상시킬 수 있는 원치 않는 응용 프로그램이나 악성 코드를 설치할 수 있습니다. 따라서 그룹 정책을 통해 소프트웨어 설치를 방지하는 것이 좋습니다.

그룹 정책 개체의 시각화

그룹 정책 개체의 이점

보안 외에도 GPO를 구현하면 다음과 같은 여러 가지 이점이 있습니다.

보다 효율적인 관리 - 이미 존재하는 GPO는 조직의 도메인에 가입하는 모든 새로운 사용자와 컴퓨터에 표준화된 환경을 적용하여 설정 시간을 절약합니다.
관리 용이성 - 시스템 관리자는 GPO를 통해 소프트웨어, 패치 및 기타 업데이트를 배포할 수 있습니다.
더 나은 비밀번호 정책 시행 - GPO는 비밀번호 길이를 결정하고 규칙을 재사용하며 비밀번호에 대한 기타 요구 사항을 설정하여 회사의 네트워크를 안전하게 유지합니다.
폴더 리디렉션 구성 - GPO를 사용하면 회사에서는 사용자가 중요한 회사 파일을 중앙 집중식 및 모니터링되는 스토리지 시스템에 보관하도록 할 수 있습니다. 예를 들어, 조직은 일반적으로 로컬 드라이브에 저장되는 사용자의 문서 폴더를 네트워크 위치로 리디렉션할 수 있습니다.

GPO의 한계

그룹 정책 개체의 제한 사항은 다음과 같습니다:

순차적으로 실행됩니다. 즉, GPO는 작업을 차례로 처리합니다. 따라서 많은 GPO를 구성해야 하는 경우 사용자가 로그온하는 데 오랜 시간이 걸릴 수 있습니다.
유연성이 제한되어 있습니다. GPO는 사용자나 컴퓨터에만 적용할 수 있습니다. 따라서 상황에 따라 설정을 적용하는 데 제한이 있습니다.
제한된 트리거 -- GPO는 컴퓨터 시작 시, 사용자가 로그온할 때 또는 설정된 간격으로만 적용될 수 있습니다. GPO는 네트워크 연결 해제 또는 재연결과 같은 환경 변화에 반응할 수 없습니다.
유지 관리가 어렵습니다. GPO 내에서 특정 설정을 찾을 수 있는 검색 또는 필터 옵션이 내장되어 있지 않아 기존 설정과 관련된 문제를 찾거나 수정하기가 어렵습니다.
버전 관리 없음 - GPO 설정에 대한 변경 사항은 감사되지 않습니다. 따라서 잘못된 변경이 이루어지면 무엇이 변경되었는지, 누가 변경했는지 알 수 없습니다.

GPO 처리 순서

그룹 정책의 처리 순서는 컴퓨터나 최종 사용자에게 적용되는 설정에 영향을 줍니다. 이 처리 순서를 LSDOU(로컬, 사이트, 도메인, 조직 단위)라고 합니다. 먼저 로컬 컴퓨터 정책이 처리된 다음 사이트 수준에서 도메인으로, 그런 다음 OU로 Active Directory 정책이 처리됩니다. 중첩된 조직 단위의 GPO는 루트에 가장 가까운 OU부터 먼저 적용되고 거기서부터 계속됩니다. 충돌이 있는 경우 마지막으로 적용된 정책이 적용됩니다.

GPO의 예

다음은 그룹 정책 개체의 예입니다:

GPO는 사용자가 Internet Explorer를 시작할 때 처음 표시되는 홈 페이지를 지정할 수 있습니다. 사용자가 도메인에 로그온하면 해당 그룹 정책 개체가 검색되어 사용자의 Internet Explorer 구성에 적용됩니다.
조직은 그룹 정책을 사용하여 Active Directory의 특정 OU에 있는 사용자에게 공유 네트워크 프린터 연결을 배포할 수 있습니다. 따라서 사용자가 Windows에 로그인하면 할당된 네트워크 프린터가 사용 가능한 프린터 목록에 자동으로 나타납니다.
관리자는 그룹 정책을 사용하여 특정 기간 동안 컴퓨터 디스플레이를 끄고, 기본 프로그램을 선택하고, 사용자가 인터넷 연결 옵션을 변경하지 못하게 하는 등의 설정을 조정할 수 있습니다.

모범 사례

GPO에 대한 모범 사례는 다음과 같습니다.

그룹 정책 적용 및 문제 해결을 단순화하려면 Active Directory에 잘 설계된 조직 단위 구조를 만드세요.
관리자가 각 GPO의 기능을 빠르게 식별할 수 있도록 GPO에 설명이 포함된 이름을 제공합니다.
각 GPO에 생성 이유, 목적, 설정을 설명하는 설명을 추가합니다.
GPO는 모든 컴퓨터와 사용자 개체에 적용되므로 도메인 수준에서 설정하지 마세요. 이로 인해 일부 설정이 일부 개체에 불필요하게 적용될 수 있습니다.
Active Directory의 루트 컴퓨터나 사용자 폴더는 조직 단위가 아니며 GPO를 연결할 수 없으므로 사용하지 마세요. 새 사용자나 컴퓨터 개체가 이러한 폴더에 나타나면 즉시 해당 OU로 이동해야 합니다.
GPO를 비활성화하지 마세요. 오히려 링크를 적용하지 않으려면 GPO를 비활성화하는 대신 OU에서 링크를 삭제하세요. GPO를 비활성화하면 해당 GPO가 도메인에 완전히 적용되지 않습니다. 해당 특정 그룹 정책이 다른 OU에서 사용되면 더 이상 작동하지 않으므로 문제가 될 수 있습니다.