본문 바로가기

STUDY/ㄴ WINDOWS

그룹 정책 문제 해결을 위한 안내


At a Glance:
  • 일반 GPO 문제
  • 그룹 정책 규칙
  • GPO 문제 해결
  • 문제 해결 도구

Microsoft Active Directory는 수많은 IT 인프라의 중요한 구성 요소가 되어 왔습니다. Active Directory의 가장 중요한 기능 중 하나는 그룹 정책으로, 이를 통해 관리자는 도메인 컨트롤러, 구성원 서버 및 데스크톱을 중앙 집중 방식으로 관리할 수 있습니다.

그룹 정책은 분명히 여러 가지 장점을 제공하지만 한 가지 작은 단점도 있습니다. 대규모 조직에서 설계 및 구현이 복잡할 수 있으며 문제가 발생할 경우 이를 해결하기 어렵습니다. 이 문서에서는 그룹 정책 구성 방법과 그룹 정책 문제를 해결하는 방법을 살펴보겠습니다. 이 문서를 읽고 나면 거의 모든 그룹 정책 문제를 해결하는 데 필요한 방법을 모두 알게 될 것입니다.


문제가 되는 설정

그룹 정책에는 가변적인 요소가 많이 있으며, 특히 전체 Active Directory® 설계 및 구현과 상호 작용하는 방식과 관련해서는 더욱 그러합니다. 여러 가지 유형의 액세스 및 네트워크 문제를 해결하기 위한 방법을 찾을 때 Active Directory와 그룹 정책 구현의 기본 사항을 항상 염두에 두어야 합니다. 그룹 정책 문제 해결을 위해 잘못 구성되었을 수 있는 그룹 정책 설정부터 살펴본 다음 그룹 정책 오작동을 일으킬 수 있는 보다 복잡한 문제를 검토해 보겠습니다.

그룹 정책 설정은 Active Directory 관리자가 관리 템플릿 파일(ADM 또는 ADMX 파일) 및 그룹 정책 개체 편집기나 GPEdit(gpedit.msc를 실행하여 시작됨)를 사용하여 확인할 수 있습니다. 관리자는 GPEdit를 사용하여 GPO(그룹 정책 개체) 파일 또는 GPO를 만듭니다. GPO는 Active Directory 구조 내에서 컴퓨터와 사용자에게 적용되거나 적용되지 않도록 구성됩니다. 제대로 작동하기 위해 GPO가 따라야 할 몇 가지 규칙이 있는데 지금부터 이 규칙을 살펴보겠습니다.

GPO를 연결해야 함  GPO를 새로 만들 경우 이 GPO가 Active Directory 내의 노드에 연결되지 않을 수 있습니다. GPO를 편집하거나 수정해도 이 GPO가 노드에 연결될 때까지는 개체에 영향을 주지 않습니다. GPO가 제대로 연결되었는지 확인하려면 그림 1에 나와 있는 GPMC(그룹 정책 관리 콘솔) 정보 창을 확인하십시오.

그림 1 명확하게 표시된 GPO 링크
그림 1 명확하게 표시된 GPO 링크 (Click the image for a smaller view)

GPO는 올바른 개체를 대상으로 해야 함  이미 알고 있듯이 그룹 정책은 Active Directory의 올바른 개체를 대상으로 해야 합니다. 그러나 문제 해결 과정에서 이 사항을 간과하는 경우가 종종 있습니다. GPO 내에는 컴퓨터와 사용자라는 두 개의 주요 범주가 있습니다. GPO를 구성할 때는 GPO가 컴퓨터 개체용인지, 아니면 사용자 개체용인지 주의해야 합니다. 그래야 GPO가 연결된 OU(조직 구성 단위)에 올바른 개체 유형이 배치되었는지 확인할 수 있습니다.

GPO는 그룹에 적용되지 않음  GPO는 Active Directory 보안 그룹 개체에 적용할 수 없습니다. GPO 설정에서 구성할 수 있는 단 두 가지 개체는 컴퓨터와 사용자입니다. GPO는 그룹 구성원을 통해 개체를 구성할 수 없습니다. 예를 들어 그림 2와 같이 GPO가 Finance OU에 연결되어 있는 경우 이 설정의 영향을 받게 되는 유일한 개체는 Derek과 Frank뿐입니다. GPO의 설정은 Marketing 그룹의 구성원 자격이 누구에게 있든 이 그룹의 구성원에게는 영향을 주지 않습니다.

그림 2 Finance OU와 그 내부 개체
그림 2 Finance OU와 그 내부 개체 (Click the image for a smaller view)

대상 개체는 GPO 경로에 있어야 함  GPO 설정이 개체에 영향을 주지 않는다는 점과 더불어 염두에 두어야 할 다른 중요 설정 하나는 개체가 GPO의 SOM(관리 범위) 내에 있어야 한다는 것입니다. 즉, 개체는 GPO가 연결된 노드나 자식 노드에 있어야 합니다. 예를 들어 그림 3처럼 Marketing OU의 어떠한 개체도 Finance OU에 연결된 GPO의 영향을 받지 않습니다. GPO의 SOM은 GPO가 연결된 노드에서 시작하여 Active Directory 구조 전체에 적용됩니다.

그림 3 OU가 같은 수준에 있을 경우 GPO는 연결되어 있는 OU에만 적용됨
그림 3 OU가 같은 수준에 있을 경우 GPO는 연결되어 있는 OU에만 적용됨 (Click the image for a smaller view)

GPO를 활성화해야 함  GPO를 생성할 때 GPO는 대상 개체를 수정하도록 구성되지 않습니다. 그러나 컴퓨터와 사용자 부분 모두에 대해 활성화되어 있습니다. 이러한 부분 중 하나가 비활성화된 경우 이를 추적하기가 어려울 수 있습니다. 따라서 적용되지 않는 GPO 문제를 해결할 경우에는 GPO의 일부 또는 전체가 비활성화되었는지 확인하는 것이 좋습니다. 이를 위해서는 GPMC의 그룹 정책 개체 | 계정 정책에서 GPO 상태를 확인하면 됩니다.

일부 설정을 적용하려면 다시 부팅해야 함  GPO 설정이 제대로 작동하지 않을 경우 이는 GPO의 고유한 처리 방식 때문일 수 있습니다. GPO 백그라운드 새로 고침이 정기적으로 트리거될 경우 GPO 설정 전체가 아닌 일부만 처리될 수 있습니다. 따라서 설정을 만들었어도 해당 설정이 아직 적용되지 않았을 수 있습니다. 포그라운드 정책으로 분류되는 몇 가지 설정이 있는데, 이러한 설정은 컴퓨터를 다시 부팅하거나 사용자가 로그 오프한 후 다시 로그인하는 경우에만 적용됩니다. 이와 같은 방식으로 작동하는 설정으로는 소프트웨어 설치, 폴더 리디렉션 및 스크립트 응용 프로그램이 있습니다.


설정의 동기식 및 비동기식 적용

GPO 내에서 부팅할 때와 로그온할 때 정책이 적용되는 방식을 구성할 수 있습니다. 정책이 적용되고 있는 동안에 데스크톱에 즉시 액세스하도록 하거나 모든 정책이 적용된 후 데스크톱에 액세스하도록 변경할 수 있습니다. 그림 4는 각 운영 체제의 기본 동작을 보여 줍니다. 이 동작을 변경하려는 경우 다음과 같은 정책 설정을 수정할 수 있습니다.

Computer Configuration | Administrative Templates | 
System | Logon | Always wait for the network at computer startup and logon 

대부분의 관리자는 모든 정책이 적용된 후 사용자가 데스크톱에 액세스할 수 있도록 정책을 동기식으로 적용하는 것을 선호합니다. 이 경우 사용자가 작업을 수행하기 전에 모든 보안 및 구성 설정이 적용됩니다. 그러나 이것은 로그온 속도 향상을 위해 최적화된 Windows® XP Professional의 기본 상태가 아닙니다.


기본 상속 변경

GPO 처리의 기본 상속을 변경하는 데 사용할 수 방법에는 네 가지가 있습니다. 이러한 옵션은 그 영향력이 강력하고 그룹 정책 처리 동작을 크게 변경할 수 있으므로 가급적 사용을 자제해야 합니다. 이러한 옵션은 문제를 해결하기도 매우 어렵습니다. 기본 상속을 변경하는 옵션에는 다음 네 가지 설정과 구성이 포함됩니다.

  • 정책의 상속을 금지
  • GPO 적용
  • ACL(액세스 제어 목록)에 대한 GPO 필터링
  • WMI(Windows Management Instrumentation) 필터

이러한 설정은 제한적으로 사용해야 하므로 언제 사용되는지 쉽게 문서화할 수 있습니다. 이러한 옵션의 사용 여부는 GPMC에서 확인할 수 있습니다. 상속 금지는 GPMC의 도메인 또는 OU(조직 구성 단위) 노드에서 수행되고, GPO 적용, ACL 필터링 및 WMI 필터링은 각 GPO에서 설정됩니다.

또는 대상 컴퓨터에서 Gpresult 명령을 실행하여 이러한 설정이 정책 적용을 금지하고 있는지 알 수 있습니다. 정책 적용 결과를 보다 자세히 표시하려면 Gpresult 명령에 /v 스위치를 추가하십시오. 그러면 결과가 자세히 표시됩니다.


ADM 템플릿 문제

관리 템플릿 섹션에서 GPO 설정을 구성하려고 하는 경우 ADM 템플릿을 사용하고 있는 것입니다. 운영 체제와 함께 제공되는 ADM 템플릿 외에도 GPO에 사용할 고유한 템플릿을 사용자 지정할 수 있습니다. ADM 템플릿의 코드는 그룹 개체 편집기의 관리 템플릿 노드 아래에 폴더와 정책을 만듭니다. 그러나 ADM 템플릿이 손상 또는 누락되거나 제대로 구성되지 않은 경우 편집기에 설정의 일부 또는 전체가 표시되지 않을 수 있습니다. 다음은 ADM 템플릿을 사용할 때 주의해야 할 몇 가지 다른 문제입니다.

ADM 템플릿 누락  GPO를 편집할 때 사용자 지정 ADM 템플릿의 일부 설정이 편집기에 표시되지 않을 경우 ADM 템플릿을 GPO로 가져와야 합니다. 이를 위해서는 편집기에서 관리 템플릿 노드를 마우스 오른쪽 단추로 클릭하고 템플릿 추가/제거를 선택하면 됩니다.

기본 설정 누락  사용자 지정 GPO에서 만들 수 있는 두 가지 설정 유형에는 기본 설정과 정책이 있습니다. 정책은 레지스트리에서 네 개의 하위 키 중 하나로 분류되는 기본 Microsoft 설정으로, "Policies"라는 텍스트로 끝납니다. 기본 설정은 네 개의 하위 키 중 하나로 분류되지 않는 "이전 스타일"의 레지스트리 수정 사항으로 한 번 구성되면 되돌리기 어렵습니다. 이러한 기본 설정은 기본적으로 편집기에 표시되지 않습니다. 따라서 도구 모음의 보기 메뉴를 사용하여 기본 설정이 표시되도록 해야 합니다. 이 메뉴에서 필터링을 선택한 다음 "완전히 관리가 가능한 정책 설정만 표시" 확인란을 선택하십시오. 그러면 가져온 사용자 지정 ADM 템플릿에 구성되어 있는 기본 설정이 즉시 표시됩니다.


편리한 도구

그룹 정책 문제를 추적하는 데 도움이 되는 여러 가지 도구가 있습니다. 운영 체제에 포함되어 있는 도구도 있고 다운로드하여 설치할 수 있는 도구도 있습니다. 다음으로 자신의 작업에 알맞은 도구를 선택할 수 있도록 적절한 도구에 대해 설명하겠습니다.

Dcgpofix  두 개의 기본 GPO인 기본 도메인 정책과 기본 도메인 컨트롤러 정책 중 하나에서 문제가 발생할 수 있습니다. 이 중 하나 둘 모두 손상되었는데 구성이 어려워 이를 해결할 수 없거나 다른 알 수 없는 문제가 발생한 경우 dcgpofix 도구를 사용하여 GPO를 기본 상태로 되돌릴 수 있습니다. 이 도구는 Windows Server® 2003에 포함되어 있으며 Windows 2000 도메인 컨트롤러에서는 이 도구 대신 Recreatedefpol을 사용해야 합니다. 이 도구를 사용하면 사용자 지정된 설정은 모두 손실됩니다.

Recreatedefpol  이 도구는 Dcgpofix와 비슷하지만 Windows 2000 서버용이며 두 개의 기본 GPO를 새로 설치된 상태로 되돌릴 수 있습니다. 이 도구는 일상적인 GPO 유지 관리용이 아니라 재해 복구용으로만 사용해야 하며, 다운로드(영문) 가능합니다.

이벤트 뷰어  이벤트 뷰어에는 그룹 정책과 관련된 다양한 정보가 포함되어 있습니다. 그러나 그룹 정책에 대한 항목을 찾으려면 여러 로그 파일을 모두 살펴봐야 합니다. 이벤트 뷰어에서는 정책 적용, 정책 복제, 정책 새로 고침과 관련된 모든 항목을 찾을 수 있으며 이러한 항목은 모두 문제를 추적할 때 도움이 됩니다. 이벤트 로그에 있는 특정 그룹 정책 오류에 대한 정보가 충분하지 않을 수 있으며 이 경우 식별할 수 없는 오류가 나타나면 언제든지 TechNet을 검색할 수 있습니다.

Gpresult  이 도구는 대상 컴퓨터에서 로컬로만 실행할 수 있으며 RSOP(정책 결과 집합), 차단된 GPO, GPO 권한 등에 대한 정보를 제공합니다. /v 스위치와 함께 이 명령을 사용하면 컴퓨터에 영향을 주는 GPO 및 현재 로그온 세션에 연결된 사용자 계정에 대한 자세한 정보가 표시됩니다.

Gpupdate  새로운 GPO 설정을 구현하고 있거나 모든 GPO 처리가 이루어지도록 하려는 경우 Gpupdate 도구를 사용할 수 있습니다. 이 도구는 운영 체제(Windows XP 이상)와 함께 제공되는 명령줄 도구로서, 실행하면 백그라운드 새로 고침이 트리거되어 이 유형의 새로 고침에 영향을 받는 모든 GPO 설정이 적용됩니다. /force 스위치를 추가하면 마지막 새로 고침 이후로 GPO가 변경되지 않은 경우에도 모든 GPO 설정이 다시 적용됩니다. Gpresult 명령을 실행하기 전에 이 명령을 실행하면 GPO 문제를 추적하는 데 크게 도움이 됩니다.

Gpotool  GPO는 GPO가 처음으로 변경된 도메인 컨트롤러에서 다른 모든 도메인 컨트롤러로 복제되므로 복제가 실패하거나 효율적으로 수렴되지 않을 수 있습니다. 그 결과 변경 사항이 대상 컴퓨터에 일관성 없게 적용되거나 잘못 적용될 수 있습니다. Gpresult 및 RSOP와 같은 도구는 어떤 GPO가 적용되었는지 확인하는 데 도움이 되고 Gpotool은 각 도메인 컨트롤러의 GPO가 일관성이 있는지 확인하는 데 도움이 됩니다. 이 도구는 Windows Server 2003 Resource Kit(go.microsoft.com/fwlink/?LinkId=77613)에 포함되어 있습니다.

Replmon  한 도메인 컨트롤러에서 다른 도메인 컨트롤러로 수행되는 GPO 복제 문제를 해결할 때는 복제 작업을 파악하는 데 사용할 수 있는 도구를 아는 것이 중요합니다. 복제해야 할 GPO 부분이 두 개이므로 해결해야 할 부분도 두 개입니다. 첫 번째 부분은 각 도메인 컨트롤러의 SYSVOL 내용으로, 이것은 FRS(파일 복제 서비스)에 의해 제어됩니다. 복제 간격을 트리거할 수 있도록 서비스를 설정하고 해제하는 것을 제외하고는 이러한 복제를 제어하기 위해 수행할 수 있는 작업이 많지 않습니다. GPO의 두 번째 부분은 Active Directory에 저장되며 Active Directory 복제에 의해 제어됩니다. 이 복제는 Active Directory 사이트 및 서비스를 사용하여 같은 Active Directory 사이트에 있는 도메인 컨트롤러 간에 제어할 수 있습니다. 그러나 다른 Active Directory 사이트에 있는 도메인 컨트롤러 간에 복제를 트리거해야 하는 경우에는 Replmon과 같은 도구를 사용해야 합니다. Replmon은 사이트 간에 Active Directory 데이터베이스를 강제로 복제할 수 있지만 Active Directory 사이트 및 서비스는 그럴 수 없습니다. 따라서 Active Directory에 저장된 그룹 정책 정보에 일치하지 않는 부분이 있을 경우 Replmon으로 복제 프로세스를 트리거하여 해당 정보를 각 도메인 컨트롤러에 가져올 수 있습니다. Replmon은 Resource Kit 및 Windows XP 지원 도구에 포함되어 있으며 go.microsoft.com/fwlink/?LinkId=77614에서 다운로드할 수 있습니다.

RSOP  명령줄 도구 Gpresult와 매우 유사한 RSOP는 모든 GPO에 의해 적용된 설정을 확인할 수 있는 그래픽 인터페이스를 제공합니다. RSOP.MSC는 Windows XP Professional 및 Windows Server 2003에서 기본적으로 제공되는 도구로서, 그림 5와 같이 적용된 모든 정책 설정의 결과를 그룹 정책 개체 편집기와 비슷한 형식으로 제공합니다.

그림 5 정책 결과 집합 도구
그림 5 정책 결과 집합 도구


요약

그룹 정책 문제를 해결하는 것은 결코 만만한 작업이 아닙니다. 실제로 이 문서에서 설명한 것처럼 그룹 정책은 상당히 복잡할 수 있습니다. 문제 해결을 위해 그룹 정책에 접근할 경우 그룹 정책의 핵심 구조와 전반적인 프로세싱을 이해해야 합니다. 또한 GPO의 업데이트, 복제, 처리 및 적용 방식도 이해해야 합니다. 이러한 개념을 잘 알고 있다면 특정 그룹 정책 문제를 해결하는 것이 한결 쉬워질 수 있습니다. 이 문서에 설명된 지침에 따라 도구를 적절하게 사용하면 발생할 수 있는 모든 그룹 정책 문제를 해결할 수 있습니다.



Derek Melber는 Microsoft 자회사인 DesktopStandard의 교육, 인증 및 컴플라이언스 솔루션 담당 이사이자 Microsoft Windows Group Policy Guide(Microsoft Press, 2005)의 공동 저자로서, Windows 보안 감사에 대한 여러 권의 책을 저술했습니다(www.theiia.org). 문의 사항이 있으면 derekm@desktopstandard.com으로 연락하시면 됩니다.

'STUDY > ㄴ WINDOWS' 카테고리의 다른 글

보안 관련  (0) 2007.06.21
원도우서버 바로알기  (0) 2007.02.27
MOM을 사용하여 Active Directory 모니터링  (0) 2007.02.14
Active Directory에서 권한 위임  (0) 2007.02.14
Windows Vista의 새 그룹 정책 템플릿 검토  (0) 2007.02.13