다음을 통해 공유

Microsoft 고급 그룹 정책 관리 3.0 단계별 가이드

  • 아티클

이 단계별 가이드에서는 GPMC(그룹 정책 Management Console) 및 AGPM(Microsoft Advanced 그룹 정책 Management)을 사용하여 그룹 정책 관리를 위한 고급 기술을 보여 줍니다. AGPM은 GPMC의 기능을 향상하여 다음을 제공합니다.

  • 여러 그룹 정책 관리자에게 그룹 정책 개체(GPO)를 관리하는 권한과 프로덕션 환경에서 GPO에 대한 액세스를 위임하는 기능을 위임하는 표준 역할입니다.

  • 그룹 정책 관리자가 프로덕션 환경에 배포하기 전에 오프라인으로 GPO를 만들고 수정할 수 있도록 하는 보관 파일입니다.

  • 보관에서 이전 버전의 GPO로 롤백하고 보관에 저장된 버전 수를 제한하는 기능입니다.

  • 그룹 정책 관리자가 실수로 서로의 작업을 덮어쓰지 않도록 GPO에 대한 체크 인/검사 기능입니다.

AGPM 시나리오 개요

이 시나리오에서는 AGPM의 각 역할에 대해 별도의 사용자 계정을 사용하여 서로 다른 수준의 권한을 가진 여러 그룹 정책 관리자가 있는 환경에서 그룹 정책 관리하는 방법을 보여 줍니다. 특히 다음 작업을 수행합니다.

  • 도메인 관리자 그룹의 구성원인 계정을 사용하여 AGPM 서버를 설치하고 계정 또는 그룹에 AGPM 관리자 역할을 할당합니다.

  • AGPM 역할을 할당할 계정을 사용하여 AGPM 클라이언트를 설치합니다.

  • AGPM 관리자 역할이 있는 계정을 사용하여 AGPM을 구성하고 다른 계정에 역할을 할당하여 GPO에 대한 액세스를 위임합니다.

  • 편집기 역할이 있는 계정을 사용하여 GPO 만들기를 요청한 다음 승인자 역할의 계정 사용을 승인합니다. 편집기 계정을 사용하여 보관에서 GPO를 검사 GPO를 편집하고 GPO를 보관에 검사 배포를 요청합니다.

  • 승인자 역할이 있는 계정을 사용하여 GPO를 검토하고 프로덕션 환경에 배포합니다.

  • 편집기 역할이 있는 계정을 사용하여 GPO 템플릿을 만들고 시작점으로 사용하여 새 GPO를 만듭니다.

  • 승인자 역할이 있는 계정을 사용하여 GPO를 삭제하고 복원합니다.

그룹 정책 개체 개발 프로세스입니다.

요구 사항

AGPM을 설치하려는 컴퓨터는 다음 요구 사항을 충족해야 하며 이 시나리오에서 사용할 계정을 만들어야 합니다.

참고

AGPM 2.5가 설치되어 있고 Windows Server 2003에서 Windows Server® 2008 또는 Windows Vista®로 업그레이드하는 경우 서비스 팩 1을 사용하여 Windows Vista에 서비스 팩이 설치되지 않은 경우 AGPM 3.0으로 업그레이드하려면 먼저 운영 체제를 업그레이드해야 합니다.

AGPM 서버 요구 사항

AGPM Server 3.0에는 서비스 팩 1과 RSAT(원격 서버 관리 도구)의 GPMC가 설치된 Windows Server 2008 또는 Windows Vista가 필요합니다. 32비트 및 64비트 버전이 모두 지원됩니다.

AGPM 서버를 설치하기 전에 도메인 관리자 그룹의 구성원이어야 하며, 달리 명시되지 않는 한 다음 Windows 기능이 있어야 합니다.

  • Gpmc

    • Windows Server 2008: GPMC가 없는 경우 AGPM에 의해 자동으로 설치됩니다.

  • .NET Framework 3.5

다음 Windows 기능은 AGPM 서버에서 필요하며, 없는 경우 자동으로 설치됩니다.

  • WCF 활성화; 비 HTTP 활성화

  • Windows Process Activation Service

    • 프로세스 모델

    • .NET 환경

    • 구성 API

AGPM 클라이언트 요구 사항

AGPM 클라이언트 3.0에는 서비스 팩 1과 RSAT(원격 서버 관리 도구)의 GPMC가 설치된 Windows Server 2008 또는 Windows Vista가 필요합니다. 32비트 및 64비트 버전이 모두 지원됩니다. AGPM 클라이언트는 AGPM 서버를 실행하는 컴퓨터에 설치할 수 있습니다.

다음 Windows 기능은 AGPM 클라이언트에서 필요하며 달리 명시되지 않은 경우 자동으로 설치됩니다.

  • Gpmc

    • Windows Server 2008: GPMC가 없는 경우 AGPM에 의해 자동으로 설치됩니다.

  • .NET Framework 3.0

시나리오 요구 사항

이 시나리오를 시작하기 전에 4개의 사용자 계정을 만듭니다. 이 시나리오에서는 AGPM 관리자(모든 권한), 승인자, 편집기 및 검토자 등 각 계정에 다음 AGPM 역할 중 하나를 할당합니다. 이러한 계정은 전자 메일 메시지를 보내고 받을 수 있어야 합니다. AGPM 관리자, 승인자 및 (선택 사항) 편집기 역할을 사용하여 계정에 GPO 연결 권한을 할당합니다.

참고

링크 GPO 권한은 기본적으로 도메인 관리자 및 엔터프라이즈 관리자의 구성원에게 할당됩니다. 추가 사용자 또는 그룹(예: AGPM 관리자 또는 승인자의 역할이 있는 계정)에 GPO 연결 권한을 할당하려면 도메인의 노드를 선택한 다음 위임 탭을 선택하고 GPO 연결을 선택하고 추가를 선택한 다음 권한을 할당할 사용자 또는 그룹을 선택합니다.

AGPM 설치 및 구성 단계

AGPM을 설치하고 구성하려면 다음 단계를 완료해야 합니다.

1단계: AGPM 서버 설치

2단계: AGPM 클라이언트 설치

3단계: AGPM 서버 연결 구성

4단계: 전자 메일 알림 구성

5단계: 액세스 위임

1단계: AGPM 서버 설치

이 단계에서는 AGPM 서비스를 실행할 멤버 서버 또는 도메인 컨트롤러에 AGPM 서버를 설치하고 보관을 구성합니다. 모든 AGPM 작업은 이 Windows 서비스를 통해 관리되며 서비스의 자격 증명으로 실행됩니다. AGPM 서버에서 관리하는 보관 파일은 해당 서버 또는 동일한 포리스트의 다른 서버에서 호스트할 수 있습니다.

AGPM 서비스를 호스트할 컴퓨터에 AGPM 서버를 설치하려면

  1. 도메인 관리자 그룹의 구성원인 계정으로 로그온합니다.

  2. Microsoft 데스크톱 최적화 팩 CD를 시작하고 화면의 지침에 따라 고급 그룹 정책 관리 - 서버를 선택합니다.

  3. 시작 대화 상자에서 다음을 선택합니다.

  4. Microsoft 소프트웨어 사용 조건 대화 상자에서 약관에 동의하고 다음을 선택합니다.

  5. 애플리케이션 경로 대화 상자에서 AGPM 서버를 설치할 위치를 선택합니다. AGPM 서버가 설치된 컴퓨터는 AGPM 서비스를 호스트하고 보관을 관리합니다. 다음을 선택합니다.

  6. 보관 경로 대화 상자에서 AGPM 서버를 기준으로 보관할 위치를 선택합니다. 보관 경로는 AGPM 서버 또는 다른 위치의 폴더를 가리킬 수 있지만 이 AGPM 서버에서 관리하는 모든 GPO 및 기록 데이터를 저장할 수 있는 충분한 공간이 있는 위치를 선택해야 합니다. 다음을 선택합니다.

  7. AGPM 서비스 계정 대화 상자에서 AGPM 서비스가 실행될 서비스 계정을 선택한 다음, 다음을 선택합니다.

  8. 보관 소유자 대화 상자에서 처음에 AGPM 관리자(모든 권한) 역할을 할당할 계정 또는 그룹을 선택합니다. 이 AGPM 관리자는 AGPM 역할 및 권한을 다른 그룹 정책 관리자에게 할당할 수 있습니다(AGPM 관리자 역할 포함). 이 시나리오에서는 AGPM 관리자 역할에서 사용할 계정을 선택합니다. 다음을 선택합니다.

  9. 포트 구성 대화 상자에서 AGPM 서비스가 수신 대기해야 하는 포트를 입력합니다. 포트 예외를 수동으로 구성하거나 포트 예외를 구성하는 규칙을 사용하지 않는 한 방화벽 검사 포트 예외 추가 상자를 선택 취소하지 마세요. 다음을 선택합니다.

  10. 언어 대화 상자에서 AGPM 서버에 설치할 하나 이상의 표시 언어를 선택합니다.

  11. 설치를 선택한 다음 마침을 선택하여 설치 마법사를 종료합니다.

    주의

    운영 체제의 관리 도구 및 서비스를 통해 AGPM 서비스에 대한 설정을 수정하지 마세요. 이렇게 하면 AGPM 서비스가 시작되지 않습니다. 서비스의 설정을 수정하는 방법에 대한 자세한 내용은 고급 그룹 정책 관리에 대한 도움말을 참조하세요.

2단계: AGPM 클라이언트 설치

GPO를 생성, 편집, 배포, 검토 또는 삭제하는 모든 그룹 정책 관리자는 GPO를 관리하는 데 사용하는 컴퓨터에 AGPM 클라이언트가 설치되어 있어야 합니다. 이 시나리오에서는 하나 이상의 컴퓨터에 AGPM 클라이언트를 설치합니다. 그룹 정책 관리를 수행하지 않는 최종 사용자의 컴퓨터에 AGPM 클라이언트를 설치할 필요가 없습니다.

그룹 정책 관리자의 컴퓨터에 AGPM 클라이언트를 설치하려면

  1. Microsoft 데스크톱 최적화 팩 CD를 시작하고 화면의 지침에 따라 고급 그룹 정책 관리 - 클라이언트를 선택합니다.

  2. 시작 대화 상자에서 다음을 선택합니다.

  3. Microsoft 소프트웨어 사용 조건 대화 상자에서 약관에 동의하고 다음을 선택합니다.

  4. 애플리케이션 경로 대화 상자에서 AGPM 클라이언트를 설치할 위치를 선택합니다. 다음을 선택합니다.

  5. AGPM 서버 대화 상자에서 AGPM 서버의 정규화된 컴퓨터 이름과 연결할 포트를 입력합니다. AGPM 서비스의 기본 포트는 4600입니다. 포트 예외를 수동으로 구성하거나 포트 예외를 구성하는 규칙을 사용하지 않는 한 방화벽 검사 통해 Microsoft 관리 콘솔 허용 상자를 선택 취소하지 마세요. 다음을 선택합니다.

  6. 언어 대화 상자에서 AGPM 클라이언트에 설치할 하나 이상의 표시 언어를 선택합니다.

  7. 설치를 선택한 다음 마침을 선택하여 설치 마법사를 종료합니다.

3단계: AGPM 서버 연결 구성

AGPM은 AGPM이 변경 제어를 제공하는 GPO인 각 제어된 GPO(그룹 정책 개체)의 모든 버전을 중앙 보관 파일에 저장하므로 그룹 정책 관리자는 배포된 각 GPO 버전에 즉시 영향을 주지 않고 오프라인으로 GPO를 보고 수정할 수 있습니다.

이 단계에서는 AGPM 서버 연결을 구성하고 모든 그룹 정책 관리자가 동일한 AGPM 서버에 연결하도록 합니다. (여러 AGPM 서버를 구성하는 방법에 대한 자세한 내용은 고급 그룹 정책 관리에 대한 도움말을 참조하세요.)

모든 그룹 정책 관리자에 대해 AGPM 서버 연결을 구성하려면

  1. AGPM 클라이언트를 설치한 컴퓨터에서 보관 소유자로 선택한 사용자 계정으로 로그온합니다. 이 사용자는 AGPM 관리자(모든 권한)의 역할을 맡습니다.

  2. 시작을 선택하고 관리 도구를 가리킨 다음 그룹 정책 관리를 선택하여 GPMC를 엽니다.

  3. 모든 그룹 정책 관리자에게 적용되는 GPO를 편집합니다.

  4. 그룹 정책 관리 편집기 창에서 사용자 구성, 정책, 관리 템플릿, Windows 구성 요소AGPM을 두 번 선택합니다.

  5. 세부 정보 창에서 AGPM: 기본 AGPM 서버(모든 도메인)를 두 번 선택합니다.

  6. 속성 창에서 사용을 선택하고 보관 파일을 호스트하는 서버에 대해 정규화된 컴퓨터 이름 및 포트(예: server.contoso.com:4600)를 입력합니다. 기본적으로 AGPM 서비스는 포트 4600을 사용합니다.

  7. 확인을 선택한 다음 그룹 정책 관리 편집기 창을 닫습니다. 그룹 정책 업데이트되면 각 그룹 정책 관리자에 대해 AGPM 서버 연결이 구성됩니다.

4단계: 전자 메일 알림 구성

AGPM 관리자(모든 권한)는 편집기가 GPO를 만들거나 배포하거나 삭제하려고 할 때 요청이 포함된 전자 메일 메시지가 전송되는 승인자 및 AGPM 관리자의 전자 메일 주소를 지정합니다. 또한 이러한 메시지가 전송되는 별칭도 결정합니다.

AGPM에 대한 전자 메일 알림을 구성하려면

  1. 세부 정보 창에서 도메인 위임 탭을 선택합니다.

  2. 보낸 사람 전자 메일 주소 필드에 알림을 보낼 AGPM에 대한 전자 메일 별칭을 입력합니다.

  3. 받는 편지 주소 필드에 승인자 역할을 할당하려는 사용자 계정의 전자 메일 주소를 입력합니다.

  4. SMTP 서버 필드에 유효한 SMTP 메일 서버를 입력합니다.

  5. 사용자 이름암호 필드에 SMTP 서비스에 액세스할 수 있는 사용자의 자격 증명을 입력합니다. 적용을 선택합니다.

5단계: 액세스 위임

AGPM 관리자(모든 권한)는 GPO에 대한 도메인 수준 액세스를 위임하고 각 그룹 정책 관리자의 계정에 역할을 할당합니다.

참고

도메인 수준이 아닌 GPO 수준에서 액세스를 위임할 수도 있습니다. 자세한 내용은 고급 그룹 정책 관리에 대한 도움말을 참조하세요.

중요

그룹 정책 작성자 소유자 그룹의 멤버 자격을 제한해야 하므로 GPO에 대한 AGPM 액세스를 우회하는 데 사용할 수 없습니다. (그룹 정책 관리 콘솔에서 GPO를 관리할 포리스트 및 도메인의 그룹 정책 개체를 선택하고 위임을 선택한 다음 organization 요구 사항에 맞게 설정을 구성합니다.

도메인 전체에서 모든 GPO에 대한 액세스를 위임하려면

  1. 도메인 위임 탭에서 추가 단추를 선택하고 승인자로 사용할 그룹 정책 관리자의 사용자 계정을 선택한 다음 확인을 선택합니다.

  2. 그룹 또는 사용자 추가 대화 상자에서 승인자 역할을 선택하여 해당 역할을 계정에 할당한 다음 확인을 선택합니다. (이 역할에는 검토자 역할이 포함됩니다.)

  3. 추가 단추를 선택하고 편집기로 사용할 그룹 정책 관리자의 사용자 계정을 선택한 다음 확인을 선택합니다.

  4. 그룹 또는 사용자 추가 대화 상자에서 편집기 역할을 선택하여 해당 역할을 계정에 할당한 다음 확인을 선택합니다. (이 역할에는 검토자 역할이 포함됩니다.)

  5. 추가 단추를 선택하고 검토자로 사용할 그룹 정책 관리자의 사용자 계정을 선택한 다음 확인을 선택합니다.

  6. 그룹 또는 사용자 추가 대화 상자에서 검토자 역할을 선택하여 해당 역할만 계정에 할당합니다.

GPO 관리 단계

AGPM을 사용하여 GPO를 만들고, 편집하고, 검토하고, 배포하려면 다음 단계를 완료해야 합니다. 또한 템플릿을 만들고, GPO를 삭제하고, 삭제된 GPO를 복원합니다.

1단계: GPO 만들기

2단계: GPO 편집

3단계: GPO 검토 및 배포

4단계: 템플릿을 사용하여 GPO 만들기

5단계: GPO 삭제 및 복원

1단계: GPO 만들기

여러 그룹 정책 관리자가 있는 환경에서는 편집기 역할이 있는 사용자는 새 GPO 만들기를 요청할 수 있지만 새 GPO를 만들면 프로덕션 환경에 영향을 주므로 승인자 역할을 가진 사람이 이러한 요청을 승인해야 합니다.

이 단계에서는 편집기 역할의 계정을 사용하여 새 GPO 만들기를 요청합니다. 승인자 역할이 있는 계정을 사용하여 이 요청을 승인하고 GPO 만들기를 완료합니다.

AGPM을 통해 관리되는 새 GPO 만들기를 요청하려면

  1. AGPM 클라이언트를 설치한 컴퓨터에서 AGPM에서 편집기 역할이 할당된 사용자 계정으로 로그온합니다.

  2. 그룹 정책 관리 콘솔 트리에서 GPO를 관리할 포리스트 및 도메인에서 제어 변경을 선택합니다.

  3. 제어 변경 노드를 마우스 오른쪽 단추로 선택한 다음, 제어된 새 GPO를 선택합니다.

  4. 새 제어 GPO 대화 상자에서 다음을 수행합니다.

    1. 요청의 복사본을 받으려면 참조 필드에 전자 메일 주소를 입력합니다.

    2. 새 GPO의 이름으로 MyGPO를 입력합니다.

    3. 새 GPO에 대한 주석을 입력합니다.

    4. 새 GPO가 승인 즉시 프로덕션 환경에 배포되도록 라이브 만들기 를 선택합니다. 제출을 선택합니다.

  5. AGPM 진행률 창에서 전체 진행률이 완료되었음을 나타내면 닫기를 선택합니다. 새 GPO가 보류 중 탭에 표시됩니다.

보류 중인 요청을 승인하여 GPO를 만들려면

  1. AGPM 클라이언트를 설치한 컴퓨터에서 AGPM에서 승인자 역할이 할당된 사용자 계정으로 로그온합니다.

  2. 계정의 전자 메일 받은 편지함을 열고 GPO를 만들라는 편집기 요청과 함께 AGPM 별칭에서 전자 메일 메시지를 받았습니다.

  3. 그룹 정책 관리 콘솔 트리에서 GPO를 관리할 포리스트 및 도메인에서 제어 변경을 선택합니다.

  4. 콘텐츠 탭에서 보류 중 탭을 선택하여 보류 중인 GPO를 표시합니다.

  5. MyGPO를 마우스 오른쪽 단추로 선택한 다음 승인을 선택합니다.

  6. 예를 선택하여 GPO 만들기에 대한 승인을 확인합니다. GPO가 제어 탭 으로 이동됩니다.

2단계: GPO 편집

GPO를 사용하여 컴퓨터 또는 사용자 설정을 구성하고 많은 컴퓨터 또는 사용자에게 배포할 수 있습니다. 이 단계에서는 편집기 역할의 계정을 사용하여 보관에서 GPO를 검사 오프라인으로 GPO를 편집하고, 편집된 GPO를 보관으로 검사, 프로덕션 환경에 GPO 배포를 요청합니다. 이 시나리오에서는 GPO에서 암호 길이가 8자 이상이어야 하는 설정을 구성합니다.

편집을 위해 보관에서 GPO를 검사

  1. AGPM 클라이언트를 설치한 컴퓨터에서 AGPM에서 편집기의 역할이 할당된 사용자 계정으로 로그온합니다.

  2. 그룹 정책 관리 콘솔 트리에서 GPO를 관리할 포리스트 및 도메인에서 제어 변경을 선택합니다.

  3. 세부 정보 창의 콘텐츠 탭에서 제어된 탭을 선택하여 제어된 GPO를 표시합니다.

  4. MyGPO를 마우스 오른쪽에 선택한 다음 체크 아웃을 선택합니다.

  5. GPO가 체크 아웃된 동안 GPO 기록에 표시할 주석을 입력한 다음 확인을 선택합니다.

  6. AGPM 진행률 창에서 전체 진행률이 완료되었음을 나타내면 닫기를 선택합니다. 제어 탭에서 GPO의 상태는 체크 아웃으로 식별됩니다.

오프라인으로 GPO를 편집하고 최소 암호 길이를 구성하려면

  1. 제어 탭에서 MyGPO를 마우스 오른쪽 단추로 선택한 다음 편집을 선택하여 그룹 정책 관리 편집기 창을 열고 GPO의 오프라인 복사본을 변경합니다. 이 시나리오의 경우 최소 암호 길이를 구성합니다.

    1. 컴퓨터 구성에서 정책, Windows 설정, 보안 설정, 계정 정책암호 정책을 두 번 선택합니다.

    2. 세부 정보 창에서 최소 암호 길이를 두 번 선택합니다.

    3. 속성 창에서 이 정책 설정 정의 검사 상자를 선택하고 문자 수를 8로 설정한 다음 확인을 선택합니다.

  2. 그룹 정책 관리 편집기 창을 닫습니다.

GPO를 보관에 검사

  1. 제어 탭에서 MyGPO를 마우스 오른쪽 체크 인 선택합니다.

  2. 메모를 입력한 다음 확인을 선택합니다.

  3. AGPM 진행률 창에서 전체 진행률이 완료되었음을 나타내면 닫기를 선택합니다. 제어 탭에서 GPO의 상태는 체크 인으로 식별됩니다.

프로덕션 환경에 GPO 배포를 요청하려면

  1. 제어 탭에서 MyGPO를 마우스 오른쪽에 선택한 다음 배포를 선택합니다.

  2. 이 계정은 승인자 또는 AGPM 관리자가 아니므로 배포 요청을 제출해야 합니다. 요청의 복사본을 받으려면 참조 필드에 전자 메일 주소를 입력합니다. GPO 기록에 표시할 주석을 입력한 다음 제출을 선택합니다.

  3. AGPM 진행률 창에서 전체 진행률이 완료되었음을 나타내면 닫기를 선택합니다. MyGPO보류 중 탭의 GPO 목록에 표시됩니다.

3단계: GPO 검토 및 배포

이 단계에서는 승인자 역할을 수행하여 보고서를 만들고 GPO의 설정 및 변경 내용을 분석하여 승인 여부를 결정합니다. GPO를 평가한 후 프로덕션 환경에 배포하고 도메인 또는 OU(조직 구성 단위)에 연결하여 해당 도메인 또는 OU의 컴퓨터에 대해 그룹 정책 새로 고칠 때 적용됩니다.

GPO에서 설정을 검토하려면

  1. AGPM 클라이언트를 설치한 컴퓨터에서 AGPM에서 승인자 역할이 할당된 사용자 계정으로 로그온합니다. (다른 모든 역할에 포함된 검토자 역할을 가진 모든 그룹 정책 관리자는 GPO의 설정을 검토할 수 있습니다.)

  2. 계정의 전자 메일 받은 편지함을 열고 GPO를 배포하라는 편집기 요청과 함께 AGPM 별칭에서 전자 메일 메시지를 받았다는 점에 유의하세요.

  3. 그룹 정책 관리 콘솔 트리에서 GPO를 관리할 포리스트 및 도메인에서 제어 변경을 선택합니다.

  4. 세부 정보 창의 내용 탭에서 보류 중 탭을 선택합니다.

  5. MyGPO를 두 번 선택하여 기록을 표시합니다.

  6. 최신 버전의 MyGPO에서 설정을 검토합니다.

    1. 기록 창에서 가장 최근 타임스탬프가 있는 GPO 버전을 마우스 오른쪽에 선택하고 설정을 선택한 다음 HTML 보고서를 선택하여 GPO 설정 요약을 표시합니다.

    2. 웹 브라우저에서 모두 표시 를 선택하여 GPO의 모든 설정을 표시합니다. 브라우저를 닫습니다.

  7. MyGPO의 최신 버전을 보관 파일에 체크 인된 첫 번째 버전과 비교합니다.

    1. 기록 창에서 가장 최근 타임스탬프를 사용하는 GPO 버전을 선택합니다. Ctrl 키를 누르고 컴퓨터 버전이 *가 아닌 \가장 오래된 GPO 버전을 선택합니다.

    2. 차이점 단추를 선택합니다. 계정 정책/암호 정책 섹션은 녹색으로 강조 표시되고 이 설정이 후자의 GPO 버전에서만 구성되었음을 나타내는 [+]가 앞에 표시됩니다.

    3. 계정 정책/암호 정책을 선택합니다. 최소 암호 길이 설정도 녹색으로 강조 표시되고 [+]가 앞에 표시되며, 이는 GPO의 후자 버전에서만 구성되었음을 나타냅니다.

    4. 웹 브라우저를 닫습니다.

프로덕션 환경에 GPO를 배포하려면

  1. 보류 중 탭에서 MyGPO를 마우스 오른쪽 단추로 선택한 다음 승인을 선택합니다.

  2. GPO 기록에 포함할 주석을 입력합니다.

  3. 예를 선택합니다. AGPM 진행률 창에서 전체 진행률이 완료되었음을 나타내면 닫기를 선택합니다. GPO는 프로덕션 환경에 배포됩니다.

GPO를 도메인 또는 조직 구성 단위에 연결하려면

  1. GPMC에서 구성한 GPO를 적용할 도메인 또는 OU를 마우스 오른쪽 단추로 선택한 다음 기존 GPO 연결을 선택합니다.

  2. GPO 선택 대화 상자에서 MyGPO를 선택한 다음 확인을 선택합니다.

4단계: 템플릿을 사용하여 GPO 만들기

이 단계에서는 편집기 역할의 계정을 사용하여 새 GPO를 만들기 위한 시작점으로 사용할 GPO의 편집할 수 없는 정적 버전의 템플릿을 만든 다음 해당 템플릿을 기반으로 새 GPO를 만듭니다. 템플릿은 동일한 설정이 많이 포함된 여러 GPO를 빠르게 만드는 데 유용합니다.

기존 GPO를 기반으로 템플릿을 만들려면

  1. AGPM 클라이언트를 설치한 컴퓨터에서 AGPM에서 편집기의 역할이 할당된 사용자 계정으로 로그온합니다.

  2. 그룹 정책 관리 콘솔 트리에서 GPO를 관리할 포리스트 및 도메인에서 제어 변경을 선택합니다.

  3. 세부 정보 창의 내용 탭에서 제어 탭을 선택합니다.

  4. MyGPO를 마우스 오른쪽 단추로 선택한 다음 템플릿으로 저장을 선택하여 현재 MyGPO에 있는 모든 설정을 통합하는 템플릿을 만듭니다.

  5. 템플릿 및 주석의 이름으로 MyTemplate 을 입력한 다음 확인을 선택합니다.

  6. AGPM 진행률 창에서 전체 진행률이 완료되었음을 나타내면 닫기를 선택합니다. 새 템플릿이 템플릿 탭에 나타납니다.

AGPM을 통해 관리되는 새 GPO 만들기를 요청하려면

  1. 제어 탭을 선택합니다.

  2. 제어 변경 노드를 마우스 오른쪽 단추로 선택한 다음, 제어된 새 GPO를 선택합니다.

  3. 새 제어 GPO 대화 상자에서 다음을 수행합니다.

    1. 요청의 복사본을 받으려면 참조 필드에 전자 메일 주소를 입력합니다.

    2. 새 GPO의 이름으로 MyOtherGPO를 입력합니다.

    3. 새 GPO에 대한 주석을 입력합니다.

    4. 라이브 만들기를 선택하면 승인 즉시 새 GPO가 프로덕션 환경에 배포됩니다.

    5. GPO 템플릿에서MyTemplate을 선택합니다. 제출을 선택합니다.

  4. AGPM 진행률 창에서 전체 진행률이 완료되었음을 나타내면 닫기를 선택합니다. 새 GPO가 보류 중 탭에 표시됩니다.

1단계: GPO 만들기에서와 같이 승인자 역할이 할당된 계정을 사용하여 보류 중인 요청을 승인하여 GPO를 만듭니다. MyTemplate은 MyGPO에서 구성한 모든 설정을 통합합니다. MyTemplate을 사용하여 MyOtherGPO를 만들었으므로 처음에는 MyTemplate을 만들 때 MyGPO에 포함된 모든 설정이 포함됩니다. MyOtherGPO와 MyTemplate을 비교하는 차이 보고서를 생성하여 이를 확인할 수 있습니다.

편집을 위해 보관에서 GPO를 검사

  1. AGPM 클라이언트를 설치한 컴퓨터에서 AGPM에서 편집기의 역할이 할당된 사용자 계정으로 로그온합니다.

  2. MyOtherGPO를 마우스 오른쪽에 선택한 다음 체크 아웃을 선택합니다.

  3. GPO가 체크 아웃된 동안 GPO 기록에 표시할 주석을 입력한 다음 확인을 선택합니다.

  4. AGPM 진행률 창에서 전체 진행률이 완료되었음을 나타내면 닫기를 선택합니다. 제어 탭에서 GPO의 상태는 체크 아웃으로 식별됩니다.

GPO를 오프라인으로 편집하고 계정 잠금 기간을 구성하려면

  1. 제어 탭에서 MyOtherGPO를 마우스 오른쪽 단추로 선택한 다음 편집을 선택하여 그룹 정책 관리 편집기 창을 열고 GPO의 오프라인 복사본을 변경합니다. 이 시나리오의 경우 최소 암호 길이를 구성합니다.

    1. 컴퓨터 구성에서 정책, Windows 설정, 보안 설정, 계정 정책계정 잠금 정책을 두 번 선택합니다.

    2. 세부 정보 창에서 계정 잠금 기간을 두 번 선택합니다.

    3. 속성 창에서 이 정책 설정 정의 검사 기간을 30분으로 설정한 다음 확인을 선택합니다.

  2. 그룹 정책 관리 편집기 창을 닫습니다.

2단계: GPO 편집에서 MyGPO에 대해 수행한 것처럼 MyOtherGPO를 보관으로 확인하고 배포를 요청합니다. 차이 보고서를 사용하여 MyOtherGPO를 MyGPO 또는 MyTemplate과 비교할 수 있습니다. 검토자 역할(AGPM 관리자 [모든 권한], 승인자, 편집기 또는 검토자)을 포함하는 모든 계정은 보고서를 생성할 수 있습니다.

GPO를 다른 GPO 및 템플릿과 비교하려면

  1. MyGPO와 MyOtherGPO를 비교하려면 다음을 수행합니다.

    1. 제어 탭에서 MyGPO를 선택합니다. Ctrl 키를 누른 다음 MyOtherGPO를 선택합니다.

    2. MyOtherGPO를 마우스 오른쪽에서 선택하고 차이점을 가리킨 다음 HTML 보고서를 선택합니다.

  2. MyOtherGPO 및 MyTemplate을 비교하려면 다음을 수행합니다.

    1. 제어 탭에서 MyOtherGPO를 선택합니다.

    2. MyOtherGPO를 마우스 오른쪽 단추로 선택하고 차이점을 가리킨 다음 템플릿을 선택합니다.

    3. MyTemplateHTML 보고서를 선택한 다음 확인을 선택합니다.

5단계: GPO 삭제 및 복원

이 단계에서는 GPO를 삭제하는 승인자 역할을 합니다.

GPO를 삭제하려면

  1. AGPM 클라이언트를 설치한 컴퓨터에서 승인자 역할이 할당된 사용자 계정으로 로그온합니다.

  2. 그룹 정책 관리 콘솔 트리에서 GPO를 관리할 포리스트 및 도메인에서 제어 변경을 선택합니다.

  3. 콘텐츠 탭에서 제어된 탭을 선택하여 제어된 GPO를 표시합니다.

  4. MyGPO를 마우스 오른쪽에 선택한 다음 삭제를 선택합니다. 보관 및 프로덕션에서 GPO 삭제를 선택하여 보관의 버전과 프로덕션 환경에서 배포된 GPO 버전을 모두 삭제합니다.

  5. GPO에 대한 감사 내역에 표시할 주석을 입력한 다음 확인을 선택합니다.

  6. AGPM 진행률 창에서 전체 진행률이 완료되었음을 나타내면 닫기를 선택합니다. GPO는 제어된 탭에서 제거되고 휴지통 탭에 표시되며, 여기서 복원하거나 제거할 수 있습니다.

경우에 따라 GPO를 삭제한 후에도 여전히 필요하다는 것을 발견할 수 있습니다. 이 단계에서는 삭제된 GPO를 복원하는 승인자 역할을 합니다.

삭제된 GPO를 복원하려면

  1. 콘텐츠 탭에서 휴지통 탭을 선택하여 삭제된 GPO를 표시합니다.

  2. MyGPO를 마우스 오른쪽에 선택한 다음 복원을 선택합니다.

  3. GPO 기록에 표시할 주석을 입력한 다음 확인을 선택합니다.

  4. AGPM 진행률 창에서 전체 진행률이 완료되었음을 나타내면 닫기를 선택합니다. GPO는 휴지통 탭에서 제거되고 제어 탭 에 표시됩니다.

    참고

    GPO를 보관으로 복원해도 프로덕션 환경에 자동으로 다시 배포되지는 않습니다. GPO를 프로덕션 환경으로 반환하려면 3단계: GPO 검토 및 배포와 같이 GPO를 배포합니다.

GPO를 편집하고 배포한 후 GPO에 대한 최근 변경 내용으로 인해 문제가 발생하는 것을 발견할 수 있습니다. 이 단계에서는 이전 버전의 GPO로 롤백하는 승인자 역할을 합니다. GPO 기록의 모든 버전으로 롤백할 수 있습니다. 주석 및 레이블을 사용하여 알려진 좋은 버전과 특정 변경 사항을 식별할 수 있습니다.

이전 버전의 GPO로 롤백하려면

  1. 콘텐츠 탭에서 제어된 탭을 선택하여 제어된 GPO를 표시합니다.

  2. MyGPO를 두 번 선택하여 기록을 표시합니다.

  3. 배포할 버전을 마우스 오른쪽에 선택하고 배포를 선택한 다음 예를 선택합니다.

  4. 진행률 창에 전체 진행률이 완료되었음을 나타내면 닫기를 선택합니다. 기록 창에서 닫기를 선택합니다.

    참고

    재배포된 버전이 의도된 버전인지 확인하려면 두 버전에 대한 차이점 보고서를 검토합니다. GPO의 기록 창에서 두 버전을 선택하고 마우스 오른쪽 단추를 선택하고 차이를 가리킨 다음 HTML 보고서 또는 XML 보고서를 선택합니다.