Chapter.5 정책

<GPO> : Group Policy Object

도메인, OU에 적용할 정책과 설정 정보를 담고있는 컨테이너

 

<그룹 정책>

관리자들이 사용자/컴퓨터 사용 권한(User-Right?)을 중앙에서 제어할 수 있도록 관리 작업을 단순화 하는 규칙의 집합

* 권한: 공유폴더나 객체로의 접근을 제어 // 정책: 컴퓨터 사용권한을 제어

- 정책은 상속된다

- 가까운 정책을 우선 적용한다 (현위치 > 바로 상위 > ...)

 

<그룹 정책의 기능>

- Window 구성 요소, 시스템 리소스, 네트워크 리소스, 제어판 유틸리티, 데스크톱, 시작메뉴

- 사용자의 '내 문서'와 같은 특수 폴더에 대한 중앙 집중화된 관리 디렉터리 생성

- 지정된 시점 (컴퓨터 부팅, 사용자 로그온)에 실행되는 사용자 및 컴퓨터 스크립트의 정의

- 계정 잠금/ 암호 감사/ 사용자 권한 할당/ 보안에 관련된 정책 구성

- GPO는 적용될 사용자를 지정 불가 

    * 계정마다에게 적용하는 것이 아닌, 사용자/컴퓨터의 사용권한이 제어되는 것이기 때문

- 도메인 또는 OU에 적용

로컬 그룹 정책	도메인 그룹 정책
- LGPO  - gpedit.msc [로컬] - 독립 실행형 - 정책 예외 불가	- GPO - gpmc.msc [도메인] - 도메인 컨트롤러 - 정책 적용시 분리, 예외처리 가능
- 컴퓨터 구성 - 컴퓨터 기준 정책 - 로그온 계정 무관 - 시스템 시작 시 즉시 적용	- 사용자 구성 - 사용자 계정 기준 정책 - 로그온 컴퓨터 무관 - 재 로그온 시 적용 * 수동으로 바로적용: gpupdate /force

<정책 적용 순서>

로컬 컴퓨터 정책 >> 도메인 그룹 정책 >> ou그룹 정책

(gpedit.msc >> gpmc.msc)

 

<Default Domain Policy> : 기본 정책

- 도메인 전체를 위해 자동생성, 연결된 GPO

- 기본 계정 정책을 구성

 

<Default Domain Controllers policy>

- DC를 위해 자동생성, 연결된 GPO

- 도메인 컨트롤러가 Domain Controllers OU에서 제거되지 않는 이상 도메인 내의 모든 컨트롤러에 적용

- 사용자 권한이나 감사정책 설정을 변경해야 하는 도메인 컨트롤러에서 응용 프로그램을 설치할 경우 수정

 

<GPO 편집이 가능한 그룹>

- Domain Admin

- Enterprise Admin

- Group Policy

- Creator Owner

---

<GPO 생성, 연결>

- 기본적으로 그룹 정책 적용은 GPO를 도메인 OU에 연결하여 사용

- 연결된 개체없이 GPO만 단독으로 생성가능하며 그룹정책 편집기의 생성된 GPO는 그룹 정책 개체하위에 생성된다.

- 미리생성된 GPO를 정책을 적용할 대상에 불러와 연결해 사용

- 적용 대상 개체에서 GPO를 생성하여 직접 연결해 사용

 

- GPO와 개체의 연결을 삭제할 경우 GPO는 삭제되지 x

- GPO를 적용받은 개체를 삭제해도 GPO는 삭제되지 x

- GPO를 삭제할 경우에야 연결된 모든 연결이 해제됨

 

<정책 상속>

- 상속은 거부, 강제상속 o (강제상속이 우선순위가 더 높다)

- 강제 상속되는 GPO는 자물쇠 GPO아이콘이 overlap 된다

- 상속을 거부하면 컨테이너의 아이콘에 파란색 느낌표 추가

 

<스타터 GPO>

- 그룹 정책 개체에 대한 기본 템플릿

- 자주 사용하는 정책들을 미리 구성하고 필요한 부분만 편집하여 추가할때 사용

- 관리 템플릿 영역의 정책에 대해서만 기본틀을 구성

(컴퓨터 구성의 관리 템플릿 / 사용자 구성의 관리 템플릿)       >> 꼭 다시와서 이해하기!

---

<계정 정책>

- 암호 정책, 계정 잠금 정책, kerberos 정책등은 도메인, 루트와 연결되는 정책만 설정 가능

- 기본 도메인 정책, 도메인이 연결되는 새로 만든 정책에서만 설정

- 도메인 계정 정책은 해당 도메인의 모든 구성원 컴퓨터들의 기본 계정 정책이 됨

 

정책 적용 시기

          - 사용자 컴퓨터 시작/종료 또는 로그온/로그오프

          - DC: 5분에 한번씩 적용

          - member: 기본 90분 (정책에서 수정가능)

          - gpupdate /force: 정책 수동 적용

---

<다음 계정으로 실행> : Secondary Logon

보안상 안전

- GUI

- CLI

 

<Runas 명령어 예제>

로컬 보안 정책

Runas/user:itbank\administrator "mmc %windir%\system32\secpol.msc"

액티브 디렉터리

Runas/user:itbank\administrator "mmc %windir%\system32\dsa.msc"

컴퓨터 관리

Runas/user:itbank\administrator "mmc %windir%\system32\compmgmt.msc"

디스크 관리

Runas/user:itbank\administrator "mmc %windir%\system32\diskmgmt.msc"

 

* .msc 파일 앞에는 꼭 mmc가 붙어있어야한다

* " " : 띄어쓰기가 있는 경우에는 옵션으로 보일수있기 때문에

* wind% 이런 경로를 다 안써도 되는 경우가 있다  >>>>??????