Active Directory 16. AD 그룹정책 2

2024. 1. 31. 21:34Window Server

이전 시간엔 사용자 별로

개인 바탕화면을 정책으로 지정해 주었다.

 

이번 시간엔 

일반 사용자들이 

제어판을 사용하지 못하게 

정책을 지정해보자

 

 

그룹 정책 관리에서 

새 GPO를 만들어 정책을 편집해주자

사용자 구성 > 정책 > 관리 템플릿 > 제어판 >  prohibit access to control ...

선택해주자

사용으로 저장해주자

그럼 제어판 엑세스를 금지했으니

GPO를 연결 시켜줄 차례다

연결 완료

 

바탕화면에 대한 정책은 세션과 관련이 있어서

로그인을 다시 해줘야 적용 됐지만

제어판은 세션과 관련 없어서

gpupdate 후 바로 적용 된다.

gpupdate 후 바로 제어판 접근이 차단 됐다.

 

 

 

 

 

 

 

정책에서 재밌는 부분이 있는데.

사용 설정이

세가지로 나뉜다.

 

구성되지 않음, 사용안함 

이 두가지에는 차이점이 존재한다.

차이점을 알아보자!

control admin disable 정책을 만들어

사용 안함으로 설정했다!

 

정책 연결까지 완료했다.

 

두 제어판 설정이 충돌하는 상황이다.

이 상태에선 제어판이 어떻게 될까?

a계정 gpupdate 후 알아보자

그대로 사용 불가하다.

 

왜그럴까?

제한하는 정책마다 등급이 있는걸까?

AD가 그것을 구분해 적용 시키는 건가?

아니다

 

답은 적용 순서에 있다.

DC에서 admin 그룹 정책을 클릭해보자

 

확인 해보면 링크 순서가 나뉘어 있는 것을 볼  수 있다.

 

 

모든 ACL은 위에서 아래로 내려오는 순서다

하지만 윈도우는 반대다.

 

링크 순서 가 높은 것 부터 적용이 된다

= 3 부터 적용

 

제어판 설정이 막힌 것을 순서대로 보자면

 

control_disable_admin = 제어판 사용 가능 정책 적용 

control_admin = 제어판 사용 불가 정책 덮어쓰기 적용

desk_admin 적용

 

 

위와 같은 원리로

제어판 사용 불가 정책이

그대로 적용 된 것이다.

 

 

 

그렇다면 순서가 바뀌면 

다시 제어판 사용이 가능할 것이다.

위처럼 사용 가능해졌다!!

 

 

또한,

순서에 상관없이 강제 적용도 가능하다!

 

연결된 개체 목록에서 > 오른쪽 클릭 > 적용

 

위 사진 처럼 적용에 '예'가 표시되고

GPO 아이콘에 자물쇠가 잠겨 있게 바뀌었다.

 

다시  gpupdate 후 제어판을 열어보자

또 잠겨버렸다

 

 

이 처럼 

구성되지 않음 설정은 정책에 영향을 미치지 않는다.

사용 안함 설정은 정책에 영향을 미친다.

정책의 순서가 정책의 적용에 영향을 미친다.

 

 

 

 

 

상속

우리가 설정해온 admin 정책을 눌러서

그룹 정책 상속을 확인해보자

우리가 만든 적 없는 GPO가

상속되어 있는 것이 보인다.

 

 

윈도우는 상위에서 설정을 하면

하위에게 반드시 상속이 된다.

그래서 상위 도메인 정책이 상속되어 있는 것이다.

 

상속을 끊어 보자

상위 단의 상속을 차단하자 

상속 목록에서 사라지고

admin 컨테이너의 아이콘에 ! 느낌표가 표시 된다.

다시 상속 시켜주면 사라진다.

 

스타터 GPO

예를 들자면

회사내에서 공통적으로 적용되는 정책을

스타터 GPO로 만들어 두고

 

각 컨테이너에 개인 정책을 적용 시킬때

스타터 GPO를 사용하여 

공동 정책은 빠르고 간편하게 설정한 뒤

개별적인 정책 설정하면 된다!

스타터 GPO를 만들어 편집해둔다음

새 GPO를 만들어보자

이제 원본 스타터를 baseline으로 설정하면

GPO 설정시에 0에서 부터 시작하는 것이 아닌

baseline의 설정부터 시작 하는 것이다!

 

WMI 필터

GPO를 특정 윈도우에만 적용 시킬 수 있다. ( 윈7,10,11등 )

 

 

WMI 필터링 설정을 해보자

 select * from win32_operatingSystem where Version LIKE "10.%" AND (ProductType = "1" ) 

위 같은 쿼리를 필터에 적용 시켜두면

 

 

그럼 내가 원하는 정책이 W10에서만

적용되게 필터링 할 수 있는 것이다.

 

 

 

 

소프트웨어 제한 정책

DC에서

사용자가 사용하는 프로그램을

제한할 수도 있다.

 

Default Domain Policy 그룹 정책 관리 편집기에서

 

컴퓨터 구성 > Windows 설정 > 보안설정 > 소프트웨어 제하 정책 > 추가 규칙

> 우클릭 후 새 경로 규칙 만들기

 

 

새 경로 규칙 만들기에서 

사용을 제한할 프로그램 경로를 설정할 수 있다.

 

인터넷 브라우저

엣지를 제한해 보겠다.

 

먼저 엣지의 속성에서 대상의 위치를 복사해주자!

복사 후 새 경로 규칙에 붙여넣기 한 다음, 확인을 눌러주자

 

gpupdate /force 후 엣지를 실행해보면 

차단 알림이 뜨면서 실행이 불가능 해졌다.

 

그룹정책은 아주 많은 정책이 있고

이를 응용하면 정말 다양하게 사용자를 제어할 수 있을 것이다!