윈도우 서버 2012-11. 그룹정책

윈도우 서버는 그룹 정책을 사용 할 수 있다.

그룹 정책이란 사용자 및 컴퓨터에게 일 대 다 관리를 자동화 하는 것을 뜻한다.

그룹정책을 사용하는 궁극적인 목적은 사용자의 컴퓨터 환경을 일관되게 구성하기 위해서이다.

예를들어, 회사에서 업무를 보려면 office나 ERP와 같은 소프트웨어가 필수적이다. 이때 그룹 정책을 사용하면 해당 그룹에 속한 컴퓨터에 소프트웨어들을 자동으로 설치하게 할 수 있다. 또한 보안 설정을 할 때도 특정 그룹에게 특정 권한을 일관되게 적용 할 수 있다.

이러한 그룹 배포 정책은 주로 윈도우 서버 OS(AD 서버)에서 설정하며 설정 내용은 client OS를 대상으로 적용한다.

이때 서버 OS 버전과 client OS 버전이 적절하게 짝지어져야한다.

   서버         클라이언트

윈 2008   <->    vista

윈 2008 r2   <->  7

윈 2012   <->    8.0

윈 2012 r2   <->   8.1

윈 2016   <->   10 

윈도우 서버와 client는 다음과 같이 짝지어진다. 이때 서버 상위 버전이 클라이언트 하위 버전과 호환이 가능하나, 서버 하위 버전이 클라이언트 상위 버전에게 완벽한 호환은 불가능하다.

ex) 윈 2012 R2 는 윈 7과 호환이 가능하나 윈 10과는 완벽한 호환이 불가능하다.( 윈 10은 2016 서버와 짝지어진다.)

그룹정책 또한 로컬에서 적용 할 수도 있고 AD에서 적용 할 수 있다.

로컬 그룹 정책은 윈도우키 + R - gpedit.msc

로컬 정책에서 또한 여러가지 그룹 정책을 로컬 유저 대상으로 설정 할 수 있다. 암호 관련된 설정이라던가 제어판 등에 관한 권한 부여 등을 할 수 있다.

AD에서 또한 그룹 정책을 설정 할 수 있다. AD에서 그룹 정책 설정 시 장점은 무엇보다도 중앙화 된 관리가 가능하다는 점이다.

중앙화 된 관리가 무엇인지 예시를 통해 설명 할 수 있다.

AD 그룹 정책

1.서버매니저-도구-그룹정책관리 에 들아간다.

2. 포리스트랑 도메인 네임을 펼치면 Default Domain Policy 라는 것이 있다. 해당 항목을 우클릭-편집을 눌러주자.

*Default Domain Policy는 도메인에 조인된 모든 그룹을 의미한다. 즉 해당 그룹에 그룹정책을 설정하면 도메인에 조인된 모든 그룹이 영향을 받는다.

3. 컴퓨터설정-윈도우 설정-보안설정-계정 정책-암호 정책에 들어가면 다음과 같은 항목이 보일 것이다.

여기서 최소 비밀번호가 7자리, 패스워드 복잡성 요구가 사용(enable) 되어있는 것을 확인하자.

4. 패스워드 최소길이를 더블클릭하여 최소 길이를 4글자로 바꿔준다.

5. 패스워드 복잡성 요구는 사용안함(disable)로 바꿔준다.

6. 최소길이 4글자, 복잡성요구는 사용안함으로 바껴있는 것을 확인하고 해당 DC에 조인된 컴퓨터로 넘어간다.

7. DC에 조인된 컴퓨터로 넘어가서

실행(윈도우+R)-secpol.msc를 입력하여 해당 창을 띄운다. 

해당 창에는 비밀번호 최소길이가 7글자이고 복잡성요구도 사용으로 되어있다.

분명 Default Domain Policy의 그룹 정책을 수정하면 해당 도메인에 조인된 모든 object가 영향을 받는다고 하였다.그러나 전혀 영향을 받지 않는 모습이다. 이유는 간단하다. DC에서 바꾼 그룹 정책이 적용되려면 재부팅을 하거나 90분 정도 기다려야하다는 것!!

8. 그러나 기다리기 귀찮으니 간단하게 cmd-gpupdate /force 명령어를 입력한다.

해당 명령어는 그룹정책을 바로 적용시켜주는 명령어이다.

9. 로컬보안정책을 다시 껏다가 켜보자. 그러면 다음과 같이 최소 길이가 4글자, 복잡성 요구 사용안함

즉, 그룹정책이 적용된 모습을 볼 수 있다.

이것이 중앙화된 관리의 대표적인 예시이다. 굳이 하나하나 설정을 바꿀 필요가 없이 간단하게 DC 하나의 설정을 바꾸면 해당 도메인과 연결된 모든 컴퓨터에 일괄된 환경을 적용 할 수 있다.

그룹정책은 범위에따라 도메인부터 최소 단위인 OU까지 다양한 객체에 부여해 줄 수 있다.

그룹정책을 만들어 OU에 지정해주는 것을 실습해보자.

그룹정책 만들기

1,도메인에 조직구조를 만들고 그 안에 사용자를 만든다.

2. 나 같은 경우는 enterprise 조직구조 안에  cnet1이라는 user를 만들었다. 이제 해당 부서에 속한 사람은 모두 제어판을 이용 못하게해보자.

3. 그룹정책관리로 들어간다.

4. foreset-domains-도메인이름(child,netdream.com)-그룹정책개체 우클릭-편집을 누른다.

5. 임의의 이름을 주고 확인을 누른다.

6. 그러면 해당 이름의 정책이 만들어 질 것이다. 해당 정책 아이콘 우클릭-편집을 누른다.

7. 사용자 정책-정책-관리템플릿에 들어가면 제어판 액세스 금지가 보인다.  제어판 액세스 금지 우클릭-편집을 누른다.

8. 사용을 누르고 확인을 누른다.그러면 해당 정책이 활성화 된 것이다.

9. 그룹 정책 관리에서 이 전에 만들어놨던 OU 우클릭 - 기존 GPO 연결을 누른다.

10. 앞서 만들었던 그룹정책이름을 선택하고 확인을 누른다.

11. enterprise 팀에 control panel 그룹정책이 생성된 것을 볼 수 있다.

12. 이제 도메인에 조인된 컴퓨터에서 그룹정책을 적용한 OU에 속한 계정(cnet1)으로 로그인한다.

13. 들어가서 마찬가지로 gpupadate /force를 해준다. 그리고 제어판을 실행해본다.

14. 위와 같은 메시지가 나오면 성공한 것이다.

위에 언급했듯이 그룹정책은 도메인 단위로도 적용할 수 있고 OU, 사이트 등의 단위로 적용 할 수있다.

각각 적용 범위에 따라 로컬그룹-사이트-도메인-OU-하위 OU로 나누어 볼 수 있다. 당연히 도메인에 적용하면 해당 도메인에 속하는 모든 OU는 그룹정책의 영향을 받게된다. 상위 범위의 정책에 하위범위가 영향을 받는 것을 상속이라한다.

그렇다면 두개의 정책이 충돌하면 어떻게될까? 예를 들어 특정 도메인에 방화벽 사용 정책을 걸어두고, 그 도메인 안의 OU에 방화벽 사용안함 정책을 걸어두면 어떻게될까? 이럴때는 하위 범위의 정책을 따른다. 위의 경우 OU가 하위범위이므로 OU의 정책을 따라 해당 OU는 방화벽 사용을 안하게 된다. 만약 특정 OU에게 상속을 차단하고 싶다면 간단하게

해당 개체를 우클릭하여 상속 차단을 누르면 된다.

저번 local error도 그렇고 이번에도 gpupdate /force를 하니 이상하게 계속 네트워크 연결 오류가 떠서 많이 헤메었다.

도대체 원인이 무엇일까 고민하다가 netdream.com 과 child.netdream.com의 신뢰관계가 깨진 것을 볼 수 있었다.

신뢰 관계가 깨진 이유는 바로 시간 때문이었다. 이상하게 실제 컴퓨터 시간과 가상머신들의 시긴이 전부 다 제 각각이다. 원인을 도저히 모르겠다.

저번에 local error도 그렇고 전부 시간에 관련된 에러였는데, 가상머신들 간 시간이 깨지는 이유를 모르겠다.

시간 동기화 옵션을 켜도 마찬가지로 깨지는데 원인이 무엇일까?