[윈도우서버] Active Directory (2)

1. 그룹 정책이란

AD를 사용하는 주된 목적 중 하나가 그룹 정책이다. AD상의 수많은 컴퓨터와 사용자에 대한 환경을 그룹정책 으로 일관되게 관리할 수 있다. 예를 들어, 사용자가 접근 가능한 프로그램들, 로그온시 보여지는 초기 화면 등을 설정하여 적용할 수 있다.

2. 그룹 정책 개체 (Group Policy Object, GPO)

그룹 정책 관리 편집기를 실행시키면 수많은 종류의 그룹 정책이 존재한다. 이들 중 원하는 정책들을 골라 묶은 것이 그룹 정책 개체 (GPO) 이다. GPO는 도메인 단위에 저장되며, GC에 해당 정보가 저장된다.

GPO를 생성하여 각 OU에 적용할 수 있다. 만약 부모 컨테이너 밑에 하위 자식 컨테이너가 있다면, 기본적으로 그룹 정책은 부모에서 자식으로 상속된다. 기본 우선순위는 로컬 -> 사이트 -> 도메인 -> OU 순이다. 즉, 더 하위에서 걸어준 그룹정책이 우선순위가 더 높다.

예를 들면 다음과 같다.

상위OU 밑에 하위OU를 두었다. 상위OU에는 상위GPO를, 하위OU에는 하위GPO를 적용시켰다. 하위OU의 그룹 정책 상속 결과를 보면 자기 자신에게 걸린 하위GPO의 우선순위가 가장 높으며, 부모OU로부터 상속받은 상위GPO가 그 다음, 그리고 도메인의 그룹 정책이 가장 낮은 우선순위를 가졌다.

필요할 경우 상속을 재정의하거나 차단할 수 있다.