GPMC(그룹 정책 관리 콘솔)는 조직의 여러 포리스트에서 그룹 정책의 모든 측면을 통합 관리합니다. GPMC를 사용하면 네트워크에서 모든 GPO(그룹 정책 개체), WMI(Windows Management Instrumentation) 필터 및 그룹 정책 관련 권한을 관리할 수 있습니다. GPMC 인터페이스에서 사용할 수 있는 모든 그룹 정책 관리 도구를 사용하여 GPMC를 그룹 정책에 대한 기본 액세스 지점으로 간주합니다.
GPMC는 그룹 정책 및 MMC 기반 UI(사용자 인터페이스)를 관리하기 위한 스크립팅 가능한 인터페이스 집합으로 구성됩니다. GPMC는 Windows Server 및 원격 서버 관리 도구에 포함되어 있습니다.
GPMC는 다음과 같은 기능을 제공합니다:
- GPO 가져오기 및 내보내기.
- GPO 복사 및 붙여넣기
- GPO 백업 및 복원
- 기존 GPO를 검색.
- Report capabilities.
- 그룹 정책 모델링. 프로덕션 환경에서 구현하기 전에 그룹 정책 배포를 계획하기 위해 RsoP(결과 정책 집합) 데이터를 시뮬레이션할 수 있습니다.
- 그룹 정책 결과. GPO 상호 작용을 보고 그룹 정책 배포 문제를 해결할 수 있습니다.
- 도메인 및 포리스트 간에 GPO를 쉽게 가져오고 복사할 수 있도록 마이그레이션 테이블을 지원합니다. 마이그레이션 테이블은 원본 GPO의 사용자, 그룹, 컴퓨터 및 UNC(Universal Naming Convention) 경로에 대한 참조를 대상 GPO의 새 값에 매핑하는 파일입니다.
- 저장하고 인쇄할 수 있는 HTML 보고서에서 GPO 설정 및 RSoP 데이터를 보고합니다.
- GPMC 내에서 사용할 수 있는 모든 작업을 허용하는 스크립터블 인터페이스입니다. 스크립트를 사용하여 GPO에서 개별 정책 설정을 편집할 수 없습니다.
Prerequisites
GPMC를 사용하려면 다음 사전 요구 사항을 완료해야 합니다.
- Windows Server 또는 Windows 클라이언트 운영 체제를 실행하는 컴퓨터에 그룹 정책 관리 기능을 설치합니다.
- Have Edit settings, delete, and modify security permissions on the GPO.
- To link GPOs, you need the modify permission on that site, domain, or OU. 기본적으로 도메인 관리자와 엔터프라이즈 관리자만이 권한이 있습니다.
- 에 특정 사이트, 도메인 또는 OU Gpo 연결 권한이 있는 사용자 및 그룹 수 Gpo에 연결, 링크 순서 변경 및 해당 사이트, 도메인 또는 OU에 상속 차단을 설정 합니다.
연결되지 않은 GPO 만들기
연결 해제된 GPO를 만들려면 다음 단계를 수행하세요:
- To open the GPMC, select Start, enter Group Policy Management in the search box, and then select Group Policy Management.
- GPMC 콘솔 트리에서 연결되지 않은 새 GPO를 만들려는 포리스트 및 도메인에서 그룹 정책 개체를 마우스 오른쪽 단추로 클릭합니다.
- Select New.
- In the New GPO dialog box, specify a name for the new GPO, and then select OK.
기존 GPO 편집
기존 GPO 내에서 정책 설정을 변경하려면 다음 단계를 수행합니다.
- GPMC 콘솔 트리에서 편집할 GPO가 포함된 포리스트 및 도메인의 그룹 정책 개체를 확장합니다.
- Right-click the GPO that you want to edit, and then select Edit.
- 그룹 정책 관리 편집기의 콘솔 트리에서 필요에 따라 항목을 확장하여 수정하려는 정책 설정이 포함된 정책 항목을 찾습니다. 세부 정보 창에서 관련 정책 설정을 볼 항목을 선택합니다.
- 세부 정보 창에서 편집하려는 정책 설정의 이름을 두 번 클릭합니다.
- In the Properties dialog box, modify policy settings as needed, and then select OK.
- 필요한 수정을 완료한 후 그룹 정책 관리 편집기를 닫습니다.
GPO 연결
GPO의 정책 설정을 사용자 및 컴퓨터에 적용하는 기본 방법은 Active Directory의 컨테이너에 GPO를 연결하는 것입니다. GPO는 Active Directory에서 사이트, 도메인 및 OU(조직 구성 단위)의 세 가지 유형의 컨테이너에 연결할 수 있습니다. GPO는 여러 Active Directory 컨테이너에 연결할 수 있습니다.
GPO는 도메인별로 저장됩니다. 예를 들어 GPO를 OU에 연결하는 경우 GPO는 해당 OU에 저장되지 않습니다. GPO는 포리스트의 아무 곳이나 연결할 수 있는 도메인별 개체입니다. GPMC의 UI는 링크와 실제 GPO 간의 구별을 명확히 하는 데 도움이 됩니다.
GPMC에서 다음 방법 중 하나를 사용하여 기존 GPO를 Active Directory 컨테이너에 연결할 수 있습니다.
- 사이트, 도메인 또는 OU 항목을 마우스 오른쪽 단추로 클릭한 다음 기존 GPO 연결을 선택합니다. 이 절차를 수행하려면 GPO가 도메인에 이미 있어야 합니다.
- GPO를 그룹 정책 개체 항목 아래에서 GPO를 연결할 OU로 끌어옵니다. 이 끌어서 놓기 기능은 동일한 도메인 내에서만 작동합니다.
GPO 링크 순서 변경
각 사이트, 도메인 및 OU 내에서 링크 순서는 GPO가 적용되는 순서를 제어합니다. 링크의 우선 순위를 변경하려면 링크 순서를 변경하여 목록의 각 링크를 적절한 위치로 위 또는 아래로 이동할 수 있습니다. 숫자가 가장 낮은 링크는 지정된 사이트, 도메인 또는 OU보다 우선 순위가 높습니다.
예를 들어 추가한 마지막 GPO의 우선 순위가 가장 높은 것이 좋습니다. GPO의 링크 순서를 링크 순서 1로 조정하여 가장 높게 만들 수 있습니다. 사이트, 도메인 또는 OU에 대한 GPO 링크의 링크 순서를 변경하려면 GPMC를 사용합니다.
사이트, 도메인 또는 OU에서 GPO 연결 해제
GPO 연결을 해제하면 연결된 GPO가 원래 연결된 위치에 더 이상 적용되지 않습니다. GPO 연결을 해제하려면:
- GPMC 콘솔 트리에서 연결을 해제할 GPO가 포함된 포리스트 및 도메인에서 그룹 정책 개체를 확장합니다.
- 연결을 해제할 GPO를 선택합니다.
- In the details pane, select the Scope tab.
- In the Links section, right-click the Active Directory object with the link you want to delete, and then select Delete Link(s).
GPO에 대한 링크를 삭제하는 것은 GPO를 삭제하는 것과 다릅니다. GPO 링크가 있으면 GPO를 계속 사용할 수 있습니다. 다른 도메인에서 해당 GPO로의 다른 링크도 그대로 유지됩니다. GPO를 삭제하면 선택한 도메인에서 GPO 및 GPO에 대한 모든 링크를 삭제하라는 메시지가 표시됩니다. GPO 및 모든 링크를 수행해도 다른 도메인에서 GPO에 대한 링크가 삭제되지는 않습니다. 이 도메인에서 이 GPO를 삭제하기 전에 다른 도메인의 GPO에 대한 링크를 제거해야 합니다.
GPO에서 사용자 구성 또는 컴퓨터 구성 설정 사용 안 함
사용자 관련 정책 설정만 설정하는 GPO를 만들려면 GPO에서 컴퓨터 구성 설정을 사용하지 않도록 설정합니다. 컴퓨터 구성을 사용하지 않도록 설정하면 GPO의 컴퓨터 구성 설정을 평가할 필요가 없으므로 컴퓨터 시작 시간이 약간 줄어듭니다. 컴퓨터 관련 정책 설정만 구성하는 경우 GPO에서 사용자 구성 설정을 사용하지 않도록 설정합니다. 사용자 구성 또는 컴퓨터 구성을 비활성화하려면:
- GPMC 콘솔 트리에서 사용하지 않도록 설정할 정책 설정이 포함된 GPO가 포함된 포리스트 및 도메인의 그룹 정책 개체를 확장합니다.
- 사용하지 않도록 설정할 정책 설정이 포함된 GPO를 마우스 오른쪽 단추로 클릭합니다.
- GPO 상태 목록에서 다음 옵션 중 하나를 선택합니다.
- 모든 정책 설정 사용 안 함
- 컴퓨터 구성 설정 사용 안 함
- Enabled (default)
- 사용자 구성 설정 사용 안 함