🤔로컬 GPOs
도메인 기반의 GPOs 설정이 적용되기 전에 적용된다.
윈도우 비스타 이후의 버전은 다수의 로컬 GPO 설정을 갖고 있다.
- 로컬 GPO : 컴퓨터 설정과 모든 사용자 설정
- 관리자 그룹 GPO : 관리자 그룹에 있는 사용자들의 설정
- 관리자 그룹이 아닌 사용자 : 관리자가 아닌 사용자 설정
- 개인 사용자 GPO : 특별한 사용자 설정
😑도메인 기반 GPOs
도메인 컨트롤러에 저장되어 있는 액티브 디렉터리 안에서 생성
두 개의 기본 GPO 설정
- 기본 도메인 정책
- 도메인 계정 정책 정의 : 암호, 계정 잠금 설정, kerberos 정책
- 기본 도메인 컨트롤러 정책
- 도메인 컨트롤러와 액티브 디렉터리의 감사 정책 정의
🤨GPO 저장소
- Group Policy Object(GPO)는 실제로 두 개이고 두 장소에 저장되어 있다.
- Group Policy Container(GPC)는 AD DS에 Friendly Name, GUID, 버전 등을 저장한다.
- Group Policy Template(GPT)는 도메인 컨트롤러의 SYSVOL 폴더에 저장된다. 설정 적용에 요구되는 모든 파일을 포함하고. ini 파일에 있는 버전을 저장한다.
😮GPO 링크
- 컨테이너 안에 있는 사용자 및 컴퓨터에 적용시키기 위하여 사용한다.
- 사이트, 도메인, 조직 구성단위에 GPO 링크
- GPM 콘솔에서 사이트 사용
- GPO는 다수의 사이트 또는 조직 구성단위에 링크 가능
- 링크는 존재할 수 있지만 비활성화 상태여야 한다.
- 링크는 삭제 가능 하지만, 링크를 삭제해도 GPO는 삭제되지 않는다.
각 컨테이너에 링크된 GPO 결과의 중첩 효과를 상속이라고 부른다.
기본 우선순위는 로컬 -> 사이트 -> 도메인 -> OU -> OU ->... -> LSDOU
그룹 정책 상속 탭에서 확인이 가능하다.
링크 순서(GPO 링크 속성)는 낮은 숫자 -> 목록에서 높은 숫자 -> 이전 설정 순서이다.
상속 해제(OU 속성) 기능은 상위의 GPOs를 상속 해제한다.
GPOs는 모두 상속하던가 안 하던가 이다. 선택적으로 상속을 하려면 강제를 사용해야 한다.
강제(GPO 링크 속성) 기능은 강제로 상속 해제가 가능하다. 서로 모순되는 GPO 설정에서 강제로 적용이 가능하다.
차단 속성이 설정되어야 있어야 의미가 있고 차단이 되어있더라도 차단을 무시한다.
😪그룹 정책 처리 순서
컴퓨터를 시작 하면 우너격 프로시저 호출 시스템 서비스(RPCSS) 및 여러 범용 명명 컨벤션 공급자(MUP)가 사직된다.
그룹 정책은 GPO 영역 안에 있는 컴퓨터 목록에 따라 클라이언에 적용되고 순서는 다음과 같다.
로컬 -> 사이트 -> 도메인 -> OU -> 강제 적용 GPOs
GPC는 GPO 순서에 따라 처리된다.
컴퓨터 시작 후 90~120분 마다 컴퓨터 설정 업데이트, 사용자 로그온 후 90~120분 마다 사용자 설정 업데이트가 실행된다.
'OS & Server > 윈도우 서버' 카테고리의 다른 글
| Active Directory (0) | 2020.02.09 |
|---|---|
| Active Directory 개체에 대한 관리 액세스 권한 위임 (0) | 2020.02.09 |
| 그룹 정책 (1) (0) | 2020.02.09 |
| RAID (Redundant Arrays of Independent Disks) (0) | 2020.02.09 |
| Disk 관리 (0) | 2020.02.08 |
