Active Directory의 그룹 정책(Group Policy)는 전체 또는 OU 단위로 적용이 가능한데,

여기서 더 들어가면... 컴퓨터 정책과 사용자 정책이 각각 따로 적용된다.


즉, 컴퓨터 개체(Computer Object)에는 컴퓨터 정책이 적용되고,

사용자 개체(User Object)에는 사용자 정책이 적용된다.


당연한 얘기를 왜 굳이 풀어서 쓰냐면,

아래 그림과 같이 컴퓨터 OU와 사용자 OU가 따로 있는 상황에서



컴퓨터 OU에 특정 사용자 정책이 적용되어야 할 경우가 있을 수 있다. "사용자 정책" 말이다.


일단은 말이 안되는 얘기다.

사용자 정책은 적용된 OU 내에 실제 사용자 개체가 있는 경우에만 적용되기 때문에

컴퓨터 OU에 사용자 정책을 적용해봤자 절대 적용되지 않는다. (역의 경우도 마찬가지.)


그런데, 실제의 경우, 특정 컴퓨터 그룹에서는 보안 정책 상 레지스트리 편집기 및 그룹 정책 편집기를 사용하지 못하게 막아야 하는 경우(사용자 정책으로만 가능)가 있을 수 있다. 특정 사용자가 아니라 특정 컴퓨터에서만 말이다. (사용자에게 관리자 권한이 없다면 이런 작업은 당연히 필요가 없다, 원래 못쓰니까.)


즉, 위 그림처럼 해당 특정 컴퓨터들을 묶어서 "OTP Group"이라는 OU에 두고

"PNPeople"이라는 OU에 소속된 사용자들이 해당 컴퓨터를 한 대씩 사용하는 시나리오를 가정해 본다.

(VDI 사용 시나리오가 보통 이렇다)



어떻게 하면 이런 상황에 맞는 정책을 만들 수 있을까?



일단은 사용자 정책을 만들어서 "도메인 전역 정책"으로 적용해야 한다.

그러면 전체 관리자(Administrator)부터 시작해서 모든 사용자가 레지스트리 편집기와 그룹 정책 편집기를 사용할 수 없게 된다. 거기에서부터 시작해야 한다.



먼저, GPO를 통해 레지스트리 편집기를 사용하지 못하게 하는 방법은 아래에 나와 있다.


>> 참조: https://www.howtogeek.com/howto/16909/how-to-disable-access-to-the-registry-in-windows-7/



역시, GPO를 통해 그룹 정책 개체 편집기를 사용하지 못하게 하는 방법은 아래에 나와 있다.


>> 참조: https://social.technet.microsoft.com/Forums/windows/en-US/d3aa10df-8af8-412d-882f-71209b36c532/disable-gpeditmsc-and-control-paneluser-accounts-using-domainwide-gpo?forum=winserverGP




그런데, 위 두 방법을 Active Directory의 그룹 정책 관리 콘솔(GPMC.msc)에서 설정하려고 하면

관련 템플릿이 없어서 직접 설정할 방법이 없다. 그 때는 ADMX 파일을 등록해서 그룹 정책 템플릿을 확장해서 사용하면 된다.


>> 참조: https://msdn.microsoft.com/en-us/library/bb530196.aspx



일단, 한글 버전으로는 그룹 정책 템플릿 내용이 각각 아래 그림처럼 보인다.





그런데, 이 템플릿을 이용해서 정책을 정의하면 "항목 수준 대상" 설정 같은 고급 기능을 사용할 수가 없다. 따라서 그룹 정책 템플릿은 일단 참고용으로만 쓰고, 인터넷 검색 등을 통해 상세 내용을 파악해서 레지스트리 설정으로 대체하는 것이 좋다.



위 두 가지 기능 제한에 대한 레지스트리 설정은 위 참조 URL들에 각각 들어있다.



일단 레지스트리 항목을 설정하고 테스트해서 두 가지 제한 기능이 정상 동작하는지 확인한다.


그 다음에 각 레지스트리 항목 속성 화면에서 "공통" 탭으로 전환해 보면,



"항목 수준 대상"이라는 항목이 보인다. 해당 레지스트리 설정이 적용될 대상 범위를 설정하는 기능이다.




새 항목을 클릭하고 "조직 구성 단위"를 선택하고 대상을 컴퓨터 OU로 선택하면 된다.

(아래 옵션에서는 "OU의 컴퓨터"를 선택)


그러면 전체 도메인에서 해당 사용자 정책(레지스트리 설정)이 적용되는 범위가 

해당 컴퓨터 OU의 구성원인 경우에만 적용되도록 범위가 좁혀진다.


끝이다.



테스트해보면,

컴퓨터 OU에 속해 있는 컴퓨터에서만 위 사용자 정책이 적용되고 

나머지 컴퓨터들에서는 적용되지 않음을 알 수 있다.





Posted by Thermidor™ 떼르미