그룹 정책 개체 적용

  • 3분

GPO는 사용자 또는 컴퓨터에 적용되는 GPO에서 충돌하는 설정이 있을 때 어떤 설정이 효과적인지 예측할 수 있는 일관된 순서로 적용됩니다. 프로세스의 뒷부분에서 적용되는 GPO는 이전에 적용된 충돌하는 정책 설정을 덮어씁 수 있습니다.

그룹 정책 관리 콘솔의 스크린샷

GPO는 다음 순서로 적용합니다.

  1. 로컬 GPO: Windows Vista 이상을 실행하는 각 운영 체제에는 로컬 GPO가 이미 구성되어 있는 것일 수 있습니다.
  2. 사이트 GPO: 다음에 사이트 프로세스에 연결되는 정책입니다.
  3. 도메인 GPO: 다음에 도메인 프로세스에 연결되는 정책입니다. 도메인 수준에서 여러 정책이 있는 경우가 많습니다. 이러한 정책은 기본 설정 순서대로 처리됩니다.
  4. OU GPO: 다음으로 OU 프로세스에 연결된 정책입니다. 이러한 정책에는 해당 OU의 개체에 고유한 설정이 포함되어 있습니다. 예를 들어 영업 사용자에게 필요한 고유한 설정이 있을 수 있습니다. Sales OU에 정책을 연결하여 이러한 설정을 제공할 수 있습니다.
  5. 자식 OU 정책: 자식 OU 프로세스에 연결하는 모든 정책.

컨테이너의 AD DS 개체는 처리 순서에서 모든 정책의 누적 효과를 받습니다. 설정 간에 충돌이 발생하면 적용된 마지막 정책이 적용됩니다. 예를 들어 도메인 수준 정책은 레지스트리 편집 도구에 대한 액세스를 제한할 수 있습니다. 그러나 OU 수준 정책을 구성하고 IT(정보 기술) OU에 연결하여 해당 정책을 되돌릴 수 있습니다. OU 수준 정책은 나중에 적용되므로 IT OU의 사용자가 레지스트리 도구에 액세스할 수 있습니다.

관리자는 여러 정책이 동시에 적용되는 경우 처리 순서를 제어하는 기본 설정 값을 할당할 수 있습니다. 기본 기본 설정 순서는 정책이 연결된 순서입니다. GPO의 사용자 또는 컴퓨터 구성을 사용하지 않도록 설정할 수도 있습니다.

로컬 GPO

각 Windows 기반 컴퓨터에는 컴퓨터가 AD DS 환경의 일부인지 여부에 관계없이 기본 컴퓨터 및 사용자 설정을 포함하는 하나의 로컬 GPO가 있습니다. 이 기본 로컬 GPO 외에도 사용자 지정 로컬 사용자 GPO를 만들 수 있습니다.

사이트, 도메인 및 OU와 연결된 GPO는 설정을 덮어쓸 수 있으므로 로컬 GPO는 AD DS 환경에서 가장 영향력이 적은 개체입니다. 네트워크로 연결되어 있지 않은 환경이나 도메인 컨트롤러가 없는 네트워크 환경에서는 다른 GPO가 덮어쓰지 않으므로 로컬 GPO 설정이 중요합니다. 독립 실행형 컴퓨터는 로컬 GPO만 사용하여 환경을 제어합니다.

Windows Vista 및 최신 Windows 클라이언트 운영 체제 및 Windows Server 2008 및 최신 Windows Server 운영 체제에는 여러 로컬 GPO라는 추가 기능이 있습니다. Windows 8 및 Windows Server 2012 다른 로컬 사용자에 대해 다른 사용자 설정을 가질 수도 있지만 그룹 정책 사용자의 구성에만 사용할 수 있습니다. 모든 컴퓨터 사용자에게 영향을 주는 하나의 컴퓨터 구성 집합만 사용할 수 있습니다.

Windows 7 이상 버전을 실행하는 컴퓨터는 다음과 같은 세 가지 로컬 GPO 계층으로 이 기능을 제공합니다.

  • 로컬 그룹 정책(컴퓨터 구성 설정 포함)
  • 관리자 및 비관리자 로컬 그룹 정책
  • 사용자별 로컬 그룹 정책

도메인 GPO

AD DS 환경에서 그룹 정책 사용하여 중앙 집중식 구성 관리를 제공할 수 있습니다. 도메인 GPO는 AD DS 인프라 내의 개체에 만들어지고 연결됩니다. GPO의 설정은 해당 개체 내의 컴퓨터 및 사용자에게 영향을 미칩니다. 이러한 효과는 GPO를 구성하는 방법에 따라 결정됩니다.

그룹 정책 처리를 수정하는 옵션

다음을 사용하여 GPO의 기본 처리를 수정할 수 있습니다.

  • 보안 필터링: 보안 필터링을 사용하여 GPO를 처리할 수 있거나 처리할 수 없는 사용자, 컴퓨터 또는 그룹을 지정할 수 있습니다. 예를 들어 기술 지원 그룹 구성원에게 고유한 보안 설정이 있도록 지정할 수 있습니다.
  • 집행: 적용을 사용하여 일반적으로 이 GPO를 재정의하는 하위 수준 GPO에 관계없이 특정 GPO의 설정이 적용되도록 할 수 있습니다. 예를 들어 도메인 수준에서 표준화된 보안 설정을 지정할 수 있습니다.
  • 블록 상속: 블록 상속을 사용하여 하위 수준 OU가 상위 수준 OU에서 설정을 상속하지 못하도록 할 수 있습니다. 예를 들어 도메인 수준에서 적용된 설정이 IT OU의 사용자에게 영향을 주지 않도록 차단할 수 있습니다.

참고

링크가 적용되고 하위 수준 OU가 상속을 차단하면 적용된 GPO의 설정이 적용됩니다.