그룹 정책

"오늘의AI위키"는 AI 기술로 일관성 있고 체계적인 최신 지식을 제공하는 혁신 플랫폼입니다.
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.

1. 개요
2. 역사
3. 작동 방식
- 3.1. 로컬 그룹 정책 (LGP)
- 3.2. 그룹 정책 기본 설정
4. 관리 도구
5. 보안
6. 유닉스 계열 시스템에서의 그룹 정책
7. 한국에서의 활용
참조

1. 개요

그룹 정책은 윈도우 운영 체제에서 사용자 및 컴퓨터의 설정을 중앙에서 관리하기 위한 기능이다. 윈도우 2000에서 처음 도입된 이래로, 로컬, 사이트, 도메인, 조직 구성 단위(OU) 순서로 정책이 적용되며, 상속, 차단, WMI 필터링을 통해 적용 범위를 조정할 수 있다. 그룹 정책 개체(GPO)를 통해 설정이 적용되며, 90분 간격으로 갱신된다. 로컬 그룹 정책은 액티브 디렉터리 환경이 없는 단일 컴퓨터에 적용되며, 윈도우 비스타 이후부터는 개별 사용자 및 그룹에 대한 정책 설정도 지원한다. 관리 도구로는 그룹 정책 편집기, 그룹 정책 관리 콘솔(GPMC), 고급 그룹 정책 관리(AGPM) 등이 있다.

더 읽어볼만한 페이지

윈도우 구성 요소 - 인터넷 익스플로러
마이크로소프트가 개발한 웹 브라우저인 인터넷 익스플로러는 윈도우 운영 체제와의 통합으로 높은 시장 점유율을 유지했으나, 웹 표준 문제와 보안 취약점으로 비판받으며 2015년 엣지에 자리를 내주고 2022년 지원이 종료되었지만, 엣지의 IE 모드로 레거시 호환성을 유지하고 있다.
윈도우 구성 요소 - 원격 데스크톱 서비스
원격 데스크톱 서비스(RDS)는 네트워크를 통해 원격으로 컴퓨터의 데스크톱 환경에 접근할 수 있게 해주는 기술이며, 클라이언트 소프트웨어, 서버 구성 요소, 다양한 역할을 수행하는 구성 요소로 구성된다.

그룹 정책
개요
종류	마이크로소프트 윈도우 NT 제품군의 기능
설명	중앙 집중식으로 사용자 및 컴퓨터 설정을 관리하는 기능
기술적 세부 사항
구성 요소	그룹 정책 개체 (GPO) 그룹 정책 관리 콘솔 (GPMC) 로컬 그룹 정책 편집기 (gpedit.msc)
적용 대상	사용자 계정 컴퓨터 계정
설정 종류	레지스트리 기반 정책 보안 설정 소프트웨어 설치 폴더 리디렉션 스크립트 (로그온/로그오프, 시작/종료)
적용 방식	계층 구조 (로컬, 사이트, 도메인, OU)
갱신 주기	기본 90분 (변경 가능)
명령어	`gpupdate` (정책 갱신) `gpresult` (정책 결과 확인)
활용
주요 사용 목적	보안 강화 사용자 환경 표준화 소프트웨어 배포 업데이트 관리
적용 대상	기업 네트워크 학교 네트워크 공공 기관 네트워크
이점	관리 효율성 향상 보안 일관성 유지 사용자 생산성 향상
주의 사항
정책 충돌	여러 정책 간 충돌 발생 가능
복잡성	복잡한 정책 설정은 오류 발생 위험 증가
성능 영향	과도한 정책 적용은 시스템 성능 저하 유발 가능
참고 사항
관련 기술	Active Directory Windows Server
타사 도구	그룹 정책 관리를 위한 다양한 타사 도구 존재

2. 역사

윈도우 2000에서 처음 도입된 그룹 정책은 이후 여러 기능이 향상되었다.^[22] 윈도우 XP에서는 `secedit` 명령어를 대체하는 그룹 정책 업데이트 기능이 추가되었다.^[22] 이 기능을 통해 관리자는 특정 조직 구성 단위 계정이 있는 모든 컴퓨터에 그룹 정책 업데이트를 강제로 적용할 수 있다. 이는 도메인 컨트롤러 과부하를 방지하기 위해 무작위 오프셋으로 조정된 90분 내에 `gpupdate` 명령어를 실행하는 컴퓨터의 기본 예약 작업을 재정의한다.^[23]

그룹 정책 인프라 상태를 통해 도메인 컨트롤러 간에 그룹 정책 개체가 올바르게 복제되지 않은 경우를 보고할 수 있게 되었다.^[24]

그룹 정책 결과 보고서에는 그룹 정책 업데이트 시 개별 구성 요소의 실행 시간을 측정하는 새로운 기능이 추가되었다.^[25]

3. 작동 방식

그룹 정책은 그룹 정책 개체(GPO)라는 구성 집합을 통해 사용자 및 컴퓨터에 적용된다. GPO는 로컬, 사이트, 도메인, 조직 구성 단위(OU) 순서로 처리되며, 상위 수준의 정책 설정은 하위 수준에 상속된다.

'''로컬''' - 컴퓨터의 로컬 정책에 있는 모든 설정. 윈도우 비스타 이전에는 컴퓨터당 하나의 로컬 그룹 정책만 저장되었다. 윈도우 비스타 및 이후 Windows 버전에서는 사용자 계정별로 개별 그룹 정책을 허용한다.^[5]
'''사이트''' - 컴퓨터가 속한 ''Active Directory 사이트''와 연결된 모든 그룹 정책. 여러 정책이 사이트에 연결된 경우 관리자가 설정한 순서대로 처리된다.
'''도메인''' - 컴퓨터가 속한 Windows 도메인과 연결된 모든 그룹 정책. 여러 정책이 도메인에 연결된 경우 관리자가 설정한 순서대로 처리된다.
'''조직 구성 단위''' - 컴퓨터 또는 사용자가 배치된 ''Active Directory 조직 구성 단위(OU)''에 할당된 그룹 정책. 여러 정책이 OU에 연결된 경우 관리자가 설정한 순서대로 처리된다.

주어진 컴퓨터 또는 사용자에 적용된 결과 그룹 정책 설정을 결과 정책 집합(RSoP)이라고 한다. RSoP 정보는 `gpresult` 명령을 사용하여 컴퓨터와 사용자 모두에 대해 표시할 수 있다.^[6]

관리자는 상속을 차단하거나 강제 적용할 수 있으며, WMI 필터링을 사용하여 GPO 적용 범위를 세밀하게 조정할 수 있다. 상위 관리자(엔터프라이즈 관리자)가 하위 관리자(도메인 관리자)에 의해 상속이 차단된 정책을 생성하는 경우에도 이 정책은 여전히 처리된다. WMI(Windows Management Instrumentation) 필터를 선택하여 GPO(그룹 정책 개체)의 범위를 사용자 지정할 수 있다. 이러한 필터를 사용하면 관리자는 특정 모델, RAM, 설치된 소프트웨어 또는 WMI 쿼리를 통해 사용할 수 있는 모든 요소를 갖춘 컴퓨터에만 GPO를 적용할 수 있다.

그룹 정책 설정은 기본적으로 90분 간격(도메인 컨트롤러는 5분)으로 갱신되며, `gpupdate` 명령어를 사용하여 수동으로 갱신할 수 있다.^[3] 새로 고침하는 동안 컴퓨터와 로그온한 사용자에게 적용되는 모든 GPO를 검색하고 가져와서 적용한다. 자동화된 소프트웨어 설치, 드라이브 매핑, 시작 스크립트 또는 로그온 스크립트와 같은 일부 설정은 시작 또는 사용자 로그온 시에만 적용된다.

3. 1. 로컬 그룹 정책 (LGP)

로컬 그룹 정책(LGP)은 액티브 디렉터리 환경 없이 단일 컴퓨터에 적용되는 기본적인 그룹 정책 버전이다.^[29]^[7]^[27] 윈도우 XP부터 존재해 왔으며, 도메인 환경에 참여하지 않은 컴퓨터에서도 로컬 그룹 정책을 설정할 수 있다.^[1]

윈도우 비스타 이전에는 LGP가 단일 로컬 컴퓨터에 대한 그룹 정책만 구성할 수 있었고, 개별 사용자나 그룹에 대한 정책 구성은 불가능했다.^[29]^[7] 하지만, 레지스트리 편집기를 이용하여 HKCU(HKEY_CURRENT_USER) 및 HKU(HKEY_USERS) 키를 변경하여 특정 사용자를 제한하는 것은 가능했다.^[29]^[27] 로컬 그룹 정책은 HKLM(HKEY_LOCAL_MACHINE) 키를 변경하여 모든 사용자에게 영향을 미치는 방식이었다.^[29]^[27] 테크넷에서는 레지스트리 편집기를 이용한 그룹 정책 구성에 대한 자세한 정보를 제공하고 있다.^[29]^[27]

윈도우 비스타 이후 버전에서는 다중 로컬 그룹 정책 객체(MLGPO)를 지원하여 개별 사용자 및 그룹에 대한 정책 설정도 지원한다.^[30]^[7]^[28] 또한, "GPO Pack"을 통해 독립형 머신 간의 정책 백업, 가져오기 및 내보내기가 가능하다.^[1]

3. 2. 그룹 정책 기본 설정

그룹 정책 기본 설정은 관리자가 사용자 또는 컴퓨터에 대해 필수가 아닌 선택적 정책을 설정하는 방법이다.

이전에는 PolicyMaker로 알려졌던 그룹 정책 설정 확장 세트가 있다. 마이크로소프트는 PolicyMaker를 인수한 후 윈도우 서버 2008에 통합했다.^[8] 이후 마이크로소프트는 사용자가 PolicyMaker 항목을 그룹 정책 기본 설정으로 마이그레이션할 수 있는 마이그레이션 도구를 출시했다.

그룹 정책 기본 설정은 여러 가지 새로운 구성 항목을 추가한다. 이러한 항목에는 이러한 설정 항목의 적용을 세분화하여 제어하는 데 사용할 수 있는 여러 추가 대상 지정 옵션도 있다.

그룹 정책 기본 설정은 클라이언트측 확장(Client Side Extensions)(CSE)을 추가하면 윈도우 XP, 윈도우 서버 2003 및 윈도우 비스타의 x86 및 x64 버전과 호환된다.^[9]^[10]^[11]^[12]^[13]^[14]

클라이언트측 확장은 윈도우 서버 2008, 윈도우 7 및 윈도우 서버 2008 R2에 포함되어 있다.

4. 관리 도구

초기에는 그룹 정책을 Active Directory 사용자 및 컴퓨터 Microsoft Management Console(MMC) 스냅인에 통합된 그룹 정책 편집 도구를 사용하여 수정했지만, 나중에 그룹 정책 관리 콘솔(GPMC)이라는 별도의 MMC 스냅인으로 분리되었다. GPMC는 현재 Windows Server 2008 및 Windows Server 2008 R2의 사용자 구성 요소이며, Windows Vista 및 Windows 7용 Remote Server Administration Tools의 일부로 다운로드하여 제공된다.^[15]^[16]^[17]^[18]

마이크로소프트는 그룹 정책 변경을 위한 도구인 고급 그룹 정책 관리(Advanced Group Policy Management, AGPM)를 출시했다.^[19] 이 도구는 Microsoft Desktop Optimization Pack(MDOP) 라이선스를 보유한 모든 조직에서 사용할 수 있다. AGPM은 서버와 클라이언트 두 부분으로 구성된다. 서버는 Windows 서비스이며, 동일한 컴퓨터 또는 네트워크 공유에 있는 보관소에 그룹 정책 개체를 저장한다. 클라이언트는 그룹 정책 관리 콘솔에 대한 스냅인이며, AGPM 서버에 연결된다.

GPO(그룹 정책 개체)의 생성과 편집은 그룹 정책 개체 편집기(GPEdit)와 그룹 정책 관리 콘솔([http://www.microsoft.com/windowsserver2003/gpmc/default.mspx GPMC])을 사용하여 수행한다. GPMC는 GPO 관리를 단순화하고 여러 그룹 정책을 통합하여 관리할 수 있게 해준다. GPOTool.exe를 사용하면 GPO의 GUID를 지정하여 별칭을 확인할 수 있다.

5. 보안

그룹 정책 설정은 대상 애플리케이션의 자발적인 준수를 전제로 한다.^[20] 많은 경우, 이는 특정 기능에 대한 사용자 인터페이스를 비활성화하는 것으로만 구성된다.^[20]

악의적인 사용자는 애플리케이션을 수정하거나 방해하여 그룹 정책 설정을 성공적으로 읽을 수 없도록 만들 수 있다.^[21] 이는 잠재적으로 낮은 보안 기본값을 적용하거나 임의의 값을 반환하도록 할 수 있다.^[21]^[31] 또한, 사용자는 쓰기 가능한 장소에 응용 프로그램의 복사본을 만들어 설정을 무시하게끔 수정할 수도 있다.^[31]

6. 유닉스 계열 시스템에서의 그룹 정책

7. 한국에서의 활용

참조

_[1] 웹사이트 SCM v2 Beta: LocalGPO Rocks! http://blogs.technet[...] Microsoft 2018-11-24
_[2] 웹사이트 [MS-GPOD]: Group Policy Protocols Overview https://docs.microso[...] Microsoft 2020-02-22
_[3] 웹사이트 Gpupdate https://technet.micr[...]
_[4] 웹사이트 Group Policy processing and precedence https://technet.micr[...] Microsoft Corporation 2012-04-22
_[5] 웹사이트 Group Policy - Apply to a Specific User or Group - Windows 7 Help Forums http://www.sevenforu[...]
_[6] 웹사이트 Gpresult https://technet.micr[...] 2012-04-18
_[7] 웹사이트 Step-by-Step Guide to Managing Multiple Local Group Policy Objects http://go.microsoft.[...] 2008-07-25
_[8] 웹사이트 Group Policy Preference Migration Tool (GPPMIG) http://www.microsoft[...]
_[9] 웹사이트 Group Policy Preference Client Side Extensions for Windows XP (KB943729) http://www.microsoft[...]
_[10] 웹사이트 Group Policy Preference Client Side Extensions for Windows XP x64 Edition (KB943729) http://www.microsoft[...]
_[11] 웹사이트 Group Policy Preference Client Side Extensions for Windows Vista (KB943729) http://www.microsoft[...]
_[12] 웹사이트 Group Policy Preference Client Side Extensions for Windows Vista x64 Edition (KB943729) http://www.microsoft[...]
_[13] 웹사이트 Group Policy Preference Client Side Extensions for Windows Server 2003 (KB943729) http://www.microsoft[...]
_[14] 웹사이트 Group Policy Preference Client Side Extensions for Windows Server 2003 x64 Edition (KB943729) http://www.microsoft[...]
_[15] 웹사이트 How to Install GPMC on Server 2008, 2008 R2, and Windows 7 (via RSAT) https://web.archive.[...] 2010-03-12
_[16] 웹사이트 Microsoft Remote Server Administration Tools for Windows Vista http://www.microsoft[...]
_[17] 웹사이트 Microsoft Remote Server Administration Tools for Windows Vista for x64-based Systems http://www.microsoft[...]
_[18] 웹사이트 Remote Server Administration Tools for Windows 7 http://www.microsoft[...]
_[19] 웹사이트 Windows - Official Site for Microsoft Windows 10 Home & Pro OS, laptops, PCs, tablets & more http://www.microsoft[...]
_[20] 웹사이트 Shell policy is not the same as security https://devblogs.mic[...]
_[21] 웹사이트 Circumventing Group Policy as a Limited User https://techcommunit[...] Microsoft 2019-06-26
_[22] 웹사이트 How to Force Group Policy Update in Windows 2000, XP, Vista, 8 and 10 https://helpdeskgeek[...] 2009-06-16
_[23] 웹사이트 Why your Windows group policy doesn't take effect immediately - IUKB https://servicenow.i[...]
_[24] 웹사이트 Updated: What's new with Group Policy in Windows 8 http://www.grouppoli[...] 2011-10-17
_[25] 웹사이트 Windows 8 Group Policy Performance Troubleshooting Feature http://www.grouppoli[...] 2012-01-23
_[26] 웹사이트 "Yes of course you can assign Group Policies to Security Groups!" http://heidelbergit.[...] Blogspot.com 2009-06-14
_[27] 웹사이트 Group Policy Settings Reference http://www.microsoft[...]
_[28] 웹사이트 Step-by-Step Guide to Managing Multiple Local Group Policy Objects http://technet2.micr[...]
_[29] 웹사이트 Download details: Group Policy Settings Reference for Windows and Windows Server http://go.microsoft.[...]
_[30] 웹사이트 Step-by-Step Guide to Managing Multiple Local Group Policy Objects http://go.microsoft.[...]
_[31] 웹인용 Shell policy is not the same as security - The Old New Thing - Site Home - MSDN Blogs https://web.archive.[...] 2010-08-21

본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.

문의하기 : help@durumis.com