Microsoft Advanced Group Policy Management 4.0 용작업가이드 Microsoft Corporation 발행일 : 2009 년 9 월 요약 본가이드는 Microsoft 고급그룹정책관리 (AGPM) 4.0 을사용하여작업을수행할수있는단계별지침을제공합니다. 여기에는 AGPM 용도움말에대한모든정보도포함됩니다.
저작권 URL 및다른인터넷웹사이트참조를포함한이설명서의내용은예고없이변경될수있습니다. 다른설명이없는한, 용례에사용된회사, 기관, 제품, 도메인이름, 전자메일주소, 로고, 사람, 위치및이벤트등은실제데이터가아닙니다. 어떠한실제회사, 기관, 제품, 도메인이름, 전자메일주소, 로고, 사람, 위치또는이벤트와도연관시킬의도가없으며그렇게유추해서도안됩니다. 해당저작권법을준수하는것은사용자의책임입니다. 저작권에서의권리와는별도로, 이설명서의어떠한부분도 Microsoft Corporation 의명시적인서면승인없이는어떠한형식이나수단 ( 전기적, 기계적, 복사기에의한복사, 디스크복사또는다른방법 ) 또는목적으로도복제되거나, 검색시스템에저장또는도입되거나, 전송될수없습니다. Microsoft 가이설명서본안에관련된특허권, 상표권, 저작권또는기타지적재산권등을보유할수도있습니다. 서면사용권계약에따라 Microsoft 로부터귀하에게명시적으로제공된권리이외에, 이설명서의제공은귀하에게이러한특허권, 사용권, 저작권또는기타지적소유권등에대한어떠한사용권도허여하지않습니다. 2009 Microsoft Corporation. All rights reserved. Microsoft, Windows 및 Windows Server 는미국, 대한민국및 / 또는기타국가에서의 Microsoft Corporation 등록상표또는상표입니다. 다른모든상표는해당소유자의재산입니다.
콘텐트 Microsoft Advanced Group Policy Management 4.0 용작업가이드... 5 Advanced Group Policy Management 개요... 6 버전제어모범사례... 7 검사목록 : AGPM 서버및아카이브관리... 8 검사목록 : GPO 만들기, 편집및배포... 8 GPO 목록검색및필터링... 9 AGPM 관리자작업수행... 11 Advanced Group Policy Management 구성... 12 AGPM 서버연결구성... 13 전자메일알림구성... 15 AGPM 의전자메일보안구성... 15 프로덕션환경에대한액세스권한위임... 17 로깅및추적구성... 18 아카이브관리... 19 아카이브에도메인수준액세스권한위임... 20 아카이브의개별 GPO 에대한액세스권한위임... 21 저장되는 GPO 버전제한... 22 파일에서 GPO 가져오기... 22 아카이브백업... 24 백업에서아카이브복원... 24 AGPM 서비스관리... 25 AGPM 서비스시작및중지... 25 AGPM 서비스수정... 26 AGPM 서버및아카이브이동... 28 편집자작업수행... 29 GPO 만들기또는제어... 30 제어되지않은 GPO 의제어요청... 30 제어된새 GPO 만들기요청... 31 프로덕션에서 GPO 가져오기... 32 GPO 편집... 32 오프라인으로 GPO 편집... 33 현재버전의 GPO 에레이블지정... 34 GPO 또는템플릿이름바꾸기... 35 테스트환경사용... 36 파일로 GPO 내보내기... 36 파일에서 GPO 가져오기... 37 별도의조직구성단위에서 GPO 테스트... 37 GPO 배포요청... 38 템플릿만들기및기본템플릿설정... 39
템플릿만들기... 39 기본템플릿설정... 40 GPO 삭제또는복원... 41 GPO 삭제요청... 41 삭제된 GPO 의복원요청... 42 승인자작업수행... 43 보류중인작업승인또는거부... 43 GPO 만들기또는제어... 44 제어되지않은 GPO 제어... 44 제어된새 GPO 만들기... 45 제어된 GPO 의관리위임... 46 프로덕션에서 GPO 가져오기... 47 GPO 체크인... 47 GPO 배포... 48 이전버전의 GPO 로롤백... 49 GPO 삭제, 복원또는소멸... 50 제어된 GPO 삭제... 50 삭제된 GPO 복원... 51 GPO 소멸... 51 검토자작업수행... 52 AGPM 서버연결구성... 52 GPO 설정검토... 53 GPO 링크검토... 53 GPO, GPO 버전또는템플릿간의차이점확인... 54 AGPM 문제해결... 56 사용자인터페이스 : Advanced Group Policy Management... 59 내용탭... 60 내용탭기능... 60 기록창... 62 제어된 GPO 명령... 64 제어되지않은 GPO 명령... 67 보류중인 GPO 명령... 68 템플릿명령... 70 휴지통명령... 71 도메인위임탭... 73 AGPM 서버탭... 74 프로덕션위임탭... 75 관리템플릿폴더... 75 로깅및추적설정... 76 AGPM 서버연결설정... 76 기능표시여부설정... 77
Microsoft Advanced Group Policy Management 4.0 용작업가이드 Microsoft 고급그룹정책관리 (AGPM) 를사용하면 GPMC( 그룹정책관리콘솔 ) 의기능을확장할수있습니다. AGPM 은포괄적인변경제어와향상된그룹정책개체 (GPO) 관리를제공합니다. AGPM 을사용하면다음작업을수행할수있습니다. GPO 를프로덕션환경으로배포하기전에만들고테스트할수있도록오프라인으로 GPO 를편집합니다. 문제가발생하는경우롤백할수있도록여러버전의 GPO 를중앙아카이브에보관합니다. 역할기반위임을사용하여여러사용자간에 GPO 편집, 승인및검토작업을공유합니다. GPO 체크인및체크아웃기능을사용하여여러그룹정책관리자가서로의작업을덮어쓰게되는위험을제거합니다. GPO 에대한변경내용을분석하고차이점보고를통해다른 GPO 나동일한 GPO 의다른버전과비교합니다. GPO 템플릿을사용하여공통정책설정과기본설정을저장해두고새 GPO 를만들때시작지점으로사용하여새 GPO 만들기작업을단순화합니다. 프로덕션환경에대한액세스권한을위임합니다. 특정특성을가진 GPO 를검색하고표시된 GPO 목록을필터링합니다. 테스트포리스트의도메인에서프로덕션포리스트의도메인으로 GPO 를복사할수있도록 GPO 를파일로내보냅니다. AGPM 은 GPMC 에표시되는각도메인아래에변경제어폴더를추가하고, GPMC 에표시되는각 GPO 및그룹정책링크에대해기록탭도추가합니다. Advanced Group Policy Management 개요 버전제어모범사례 검사목록 : AGPM 서버및아카이브관리 검사목록 : GPO 만들기, 편집및배포 GPO 목록검색및필터링 AGPM 관리자작업수행 편집자작업수행 승인자작업수행 검토자작업수행 AGPM 문제해결 사용자인터페이스 : Advanced Group Policy Management 5
Advanced Group Policy Management 개요 고급그룹정책관리 (AGPM) 를사용하면 GPMC( 그룹정책관리콘솔 ) 의기능을확장하여그룹정책개체 (GPO) 에대해포괄적인변경제어및고급관리기능을제공할수있습니다. 변경제어기능을포함한그룹정책개체개발 AGPM 을사용하면각 GPO 의복사본을중앙아카이브에저장할수있으므로, GPO 의배포된버전에바로영향을주지않고그룹정책관리자가오프라인으로 GPO 를보고변경할수있습니다. 또한 AGPM 은제어된각 GPO 의버전복사본을아카이브에저장하므로필요한경우이전버전으로롤백할수있습니다. " 체크인 " 및 " 체크아웃 " 이라는용어는도서관 ( 또는프로그래밍개발을위한변경제어, 버전제어또는소스코드제어기능을제공하는응용프로그램 ) 에서사용되는뜻과동일하게사용됩니다. 즉, 도서관에있는책을사용하려면도서관에서책을 ' 체크아웃 ' 해야합니다. 체크아웃된책은다른사람이사용할수없습니다. 책을다사용한후에도서관으로다시체크인하면다른사람이그책을사용할수있습니다. AGPM 을사용하여 GPO 를개발할때는다음단계를수행합니다. 1. 제어된새 GPO 를만들거나이전에제어되지않은 GPO 를제어합니다. 2. 자신만이변경할수있도록 GPO 를체크아웃합니다. 3. GPO 를편집합니다. 4. 편집한 GPO 를다른사람이변경하거나배포할수있도록체크인합니다. 5. 변경내용을검토합니다. 6. GPO 를프로덕션환경으로배포합니다. 역할기반위임 AGPM 은아카이브의 GPO 에대한액세스권한을관리할수있는포괄적이고사용하기쉬운역할기반위임을제공합니다. 도메인수준권한을사용하면 AGPM 관리자는다른도메인에액세스권한을제공하지않고개별도메인에만액세스권한을제공할수있습니다. GPO 기반위임을사용하면 AGPM 관리자는도메인전체액세스권한을제공하지않고특정 GPO 에만액세스권한을제공할수있습니다. AGPM 에는 AGPM 관리자 ( 모든권한 ), 승인자, 편집자및검토자라는구체적으로정의된역할이있습니다. AGPM 관리자역할에는다른모든역할에대한권한이포함됩니다. 기본적으로승인자만이 GPO 를도메인의프로덕션환경으로배포할수있는권한이있으므로경험이부족한편집자의실수로부터환경을보호할수있습니다. 또한기본적으로모든역할에는검토자역할, 즉, 보고서의 GPO 설정을볼수있는권한이포함됩니다. 단, AGPM 에서는 AGPM 관리자가조직의요구사항에맞도록 GPO 액세스를유동적으로사용자지정할수있습니다. 6
여러명의그룹정책관리자가있는환경에서의위임 여러사용자가 GPO 를변경하는환경에서는 AGPM 관리자가편집자, 승인자및검토자에게그룹으로또는개인으로권한을위임합니다. 편집자및승인자가수행하는일반적인 GPO 개발프로세스에대한자세한내용은검사목록 : GPO 만들기, 편집및배포를참조하십시오. Microsoft Advanced Group Policy Management 4.0 용작업가이드 버전제어모범사례 Microsoft Visual SourceSafe 가소스코드에대해버전제어를제공하는것처럼 Microsoft 고급그룹정책관리 (AGPM) 은그룹정책개체 (GPO) 에대해버전제어를제공합니다. 개발자는 Visual SourceSafe 를사용하여각소스파일의여러버전을관리할수있고, 그룹정책관리자는 AGPM 을사용하여 GPO 에대해동일한작업을수행할수있습니다. AGPM 을사용할때그룹정책관리자는버전제어시스템에적용되는모범사례를인식하고있어야합니다. 날짜및시간 : AGPM 은날짜와시간으로 GPO 의각버전에스탬프를찍습니다. 특히두대이상의컴퓨터에서 GPO 를편집할때기록이정확한지확인하려면각컴퓨터의시계를믿을만한시간소스로동기화해야합니다. 편집작업을마치면 GPO 체크인 : 편집자들은 GPO 를체크아웃한후아카이브에다시체크인하는것을자주잊습니다. 하지만이경우다른그룹정책관리자가 GPO 를변경할수없게됩니다. 편집작업을마치면항상 GPO 를 AGPM 에바로체크인하십시오. 변경내용자주저장 : GPO 를편집할때변경내용을자주저장하십시오. 대부분의편집자는 GPO 를체크아웃하고여러가지를변경한다음 GPO 를아카이브로체크인합니다. 대신 GPO 를정기적으로체크인한다음다시체크아웃하십시오. 세부정보는모든설정을변경한후 GPO 에체크인 ( 권하지않음 ) 하거나관련그룹을변경한후 GPO 에체크인하는것처럼작을수있습니다. 하지만자주저장하면문제를해결할때도움이되도록각 GPO 에대해잘문서화된기록이남습니다. GPO 자주배포 : 아직배포되지않은많은양의새 GPO 및편집된 GPO 를아카이브에쌓아두지마십시오. 대신프로덕션환경에최소한영향을주도록새 GPO 및편집된 GPO 를가능한한빨리배포하십시오. 새 GPO 또는편집된 GPO 를동시에많이배포하면프로덕션환경이위험할수있습니다. GPO 에체크인할때변경목적문서화 : 검토자는두 GPO 버전간의특정변경내용을확인하기위해 GPO 버전을비교할수있습니다. 이러한특정변경내용을문서화하는것은아무소용이없습니다. 검토자가차이점보고서를보고확인할수있는내용을문서화하는대신변경목적을문서화하십시오. 버전설명은비교보고서에가치를부여하여편집자가 GPO 를변경한이유를검토자가이해하는데도움이되어야합니다. 테스트환경에서 GPO 테스트 : GPO 를테스트하지않고프로덕션환경에배포하는것은위험합니다. 대신테스트포리스트의도메인의 GPO 를테스트한후 GPO 를파일로내보내고프로덕션포리스트의도메인으로가져오십시오. 또한 GPO 를테스트컴퓨터및사용자가포함된조직구성단위에연결할수있습니다. 테스트환경에서각 GPO 기능이올바로작동하는지확인한후 GPO 를프로덕션환경에배포하십시오. 7
Microsoft Advanced Group Policy Management 4.0 용작업가이드 검사목록 : AGPM 서버및아카이브관리 고급그룹정책관리 (AGPM) 에서 AGPM 서비스와아카이브는둘다 AGPM 관리자 ( 모든권한 ) 가관리합니다. 다음은 AGPM 관리자의일반적인작업입니다. 빈번한작업 아카이브에그룹정책개체 (GPO) 액세스권한위임 아카이브를백업하여문제를복구할수있습니다. 참조항목 아카이브에도메인수준액세스권한위임 아카이브의개별 GPO 에대한액세스권한위임 아카이브백업 드문작업 백업에서아카이브를복원하여문제를복구합니다. AGPM 서비스, 아카이브또는둘다를다른서버로옮깁니다. 아카이브경로, AGPM 서비스계정또는 AGPM 서비스가수신대기하는포트를변경합니다. AGPM 서버관련일반적인문제를해결합니다. 참조항목백업에서아카이브복원 AGPM 서버및아카이브이동 AGPM 서비스수정 AGPM 문제해결로깅및추적구성 Microsoft Advanced Group Policy Management 4.0 용작업가이드 검사목록 : GPO 만들기, 편집및배포 여러사용자가고급그룹정책관리 (AGPM) 를사용하여그룹정책개체 (GPO) 를변경하는환경에서는 AGPM 관리자 ( 모든권한 ) 가편집자, 승인자및검토자에게그룹으로또는개인으로권한을위임합니다. 다음은편집자및승인자가일반적으로수행하는 GPO 개발프로세스입니다. 작업 편집자가새 GPO 를만들도록요청하거나 참조항목 제어된새 GPO 만들기요청 8
작업 승인자가새 GPO 를만듭니다. 편집자가요청한경우승인자가 GPO 만들기를승인합니다. 다른사람이 GPO 를수정할수없도록편집자가아카이브에서 GPO 복사본을체크아웃합니다. 편집자가 GPO 를변경한다음수정된 GPO 를아카이브로체크인합니다. 테스트포리스트에서개발할경우편집자가 GPO 를파일로내보내고, 프로덕션포리스트로파일을전송하고, 파일을가져옵니다. 또한편집자는 GPO 를테스트컴퓨터및사용자가포함된조직구성단위에연결할수있습니다. 편집자가도메인의프로덕션환경에대한 GPO 배포를요청합니다. 검토자 ( 승인자또는편집자 ) 가 GPO 를분석합니다. 승인자가 GPO 를승인하여도메인의프로덕션환경에배포하거나 GPO 를거부합니다. 참조항목제어된새 GPO 만들기보류중인작업승인또는거부오프라인으로 GPO 편집테스트환경사용 GPO 배포요청검토자작업수행보류중인작업승인또는거부 Microsoft Advanced Group Policy Management 4.0 용작업가이드 GPO 목록검색및필터링 고급그룹정책관리 (AGPM) 에서는그룹정책개체 (GPO) 목록과그특성을검색하여표시된 GPO 목록을필터링할수있습니다. 예를들어, 특정이름, 상태또는설명별로 GPO 를검색할수있습니다. 특정그룹정책관리자가마지막으로변경한 GPO 를검색하거나특정날짜에마지막으로변경한 GPO 를검색할수도있습니다. 복합검색수행 GPO 특성 1: 검색문자열 1 GPO 특성 2: 검색문자열 2 모든열검색문자열형식을사용하여복합검색을수행할수있습니다. 대 / 소문자를구분하여검색하지않습니다. GPO 특성 : 컴퓨터버전또는사용자버전을제외한 AGPM 의 GPO 목록의열머리글. GPO 특성에는 GPO 이름, 상태, 가장최근에 GPO 를변경한사용자, 가장최근에 GPO 가변경된날짜와시간, 설명, GPO 상태및 GPO 에적용된 WMI 필터가포함됩니다. 9
검색문자열 : 지정한열에서검색할텍스트. 문자열에공백이있을경우문자열을따옴표로묶어야합니다. 모든열검색문자열 : 컴퓨터버전및사용자버전을제외한 AGPM 의 GPO 목록의모든열에서검색할텍스트. 공백으로구분된문자열을여러개포함할수있습니다. 문자열에공백이있을경우문자열을따옴표로묶어야합니다. 각 GPO 특성과검색문자열쌍및모든열검색문자열은논리 AND 연산을사용하여조합됩니다. 결과는지정된각특성에지정된검색문자열이포함되고모든열검색문자열이적어도하나이상의열에표시되는모든 GPO 목록입니다. 검색결과부분적으로일치하는문자열을모두반환하므로 GPO 이름또는사용자이름의일부를입력하고해당이름에서해당텍스트가포함된모든 GPO 목록을볼수있습니다. 검색예는다음과같습니다. 검색결과설명 이름에 security 와 North America 라는텍스트가포함된모든 GPO. 검색쿼리 name: security name: "North America" 체크아웃된모든 GPO. 상태 : " 체크아웃됨 " 이름이 Administrator 인사용자가가장최근에변경한 GPO 와지난달중가장최근에변경된모든 GPO. 가장최근의설명에 firewall 이라는단어가포함되고 security 라는단어가모든열에표시되는모든 GPO. 모든설정사용안함상태의모든 GPO. 이름이 My WMI Filter 인 WMI 필터가적용되고사용자구성설정사용안함상태의모든 GPO. changed by: Administrator change date: lastmonth comment: firewall security GPO 상태 : 모두 wmi filter: "My WMI Filter" gpo status: user 날짜지정 Windows 에서검색할때사용가능한동일한특수용어를사용하여특정날짜, 특정시간또는시간범위동안변경된 GPO 를검색할수있습니다. 특정날짜나시간을입력할경우날짜변경열에사용되는형식을사용해야합니다. 다음은날짜변경열의검색예입니다. change date: 10/10/2009 change date: 10/10/2009 9:00:00 AM change date: thisweek 날짜변경열을검색할때대 / 소문자를구분하지않는다음특수용어를사용할수있습니다. Today Yesterday 10
ThisWeek LastWeek ThisMonth LastMonth TwoMonths ThreeMonths ThisYear LastYear 기본적으로이절차를수행하려면검토자, 편집자, 승인자또는 AGPM 관리자 ( 모든권한 ) 여야합니다. 구체적으로, 도메인에대한내용나열권한이있어야합니다. GPO 특성에대한자세한내용은내용탭기능을참조하십시오. Microsoft Advanced Group Policy Management 4.0 용작업가이드 AGPM 관리자작업수행 고급그룹정책관리 (AGPM) 를사용하면 AGPM 관리자 ( 모든권한 ) 는도메인전체옵션을구성하고승인자, 편집자, 검토자및 AGPM 관리자에게권한을위임할수있습니다. 기본적으로 AGPM 관리자는모든권한 ( 모든 AGPM 권한 ) 을가진사람이므로모든역할과연결된작업을수행할수있습니다. 여러사람이그룹정책개체 (GPO) 를개발하는환경에서모든그룹정책관리자가동일한작업을수행하고동일한수준의액세스를갖도록선택할수있습니다. 또는 AGPM 관리자가 GPO 를변경할수있는편집자와 GPO 를프로덕션환경에배포하는승인자에게권한을위임하도록선택할수있습니다. AGPM 관리자는조직의요구에맞도록권한을구성할수있습니다. Advanced Group Policy Management 구성 : AGPM 서버연결및전자메일알림을구성하고, 프로덕션환경의 GPO 에대한액세스권한을위임하고, 문제해결로깅및추적을구성합니다. 아카이브관리 : 아카이브의 GPO 에대한액세스권한을위임하고, 저장된각 GPO 의버전수를제한하고, 다른도메인에서 GPO 를가져오고, 아카이브를백업및복원합니다. AGPM 서비스관리 : AGPM 서비스를중지및시작하거나아카이브경로, AGPM 서비스계정또는 AGPM 서비스에서수신대기하는포트를변경합니다. AGPM 서버및아카이브이동 : AGPM 서비스, 아카이브또는둘다를다른서버로옮깁니다. 참고 AGPM 관리자역할에는다른모든역할의권한이포함되어있으므로 AGPM 관리자는일반적으로다른역할과연결된작업을수행할수있습니다. GPO 만들기, 배포, 삭제등의승인자작업수행 11
GPO 편집, 이름바꾸기, 레이블지정또는가져오기, 템플릿만들기, 기본템플릿설정등의편집자작업수행 GPO 설정검토및비교등의검토자작업수행 기본적으로 AGPM 관리자역할에는모든권한 ( 모든 AGPM 권한 ) 이있습니다. 내용나열 설정읽기 설정편집 GPO 만들기 GPO 배포 GPO 삭제 GPO 내보내기 GPO 가져오기 템플릿만들기 옵션수정 보안수정 옵션수정및보안수정권한은 AGPM 관리자역할에만제공됩니다. Advanced Group Policy Management 구성 고급그룹정책관리 (AGPM) 에서 AGPM 관리자 ( 모든권한 ) 는그룹정책관리자에대해 AGPM 서버연결을중심에서구성하고, AGPM 에대해전자메일알림을구성하고, 필요한경우 AGPM 에대해전자메일보안을구성하며, 도메인의프로덕션환경에서그룹정책개체 (GPO) 에대한액세스권한을위임하고, 문제해결에대한로깅및추적을구성할수있습니다. AGPM 서버연결구성 전자메일알림구성 AGPM 의전자메일보안구성 프로덕션환경에대한액세스권한위임 로깅및추적구성 아카이브의 GPO 에대한액세스권한위임에대한자세한내용은아카이브관리를참조하십시오. 아카이브에저장된각 GPO 의버전수를제한하는방법에대한자세한내용은저장되는 GPO 버전제한을참조하십시오. AGPM 관리자작업수행 12
AGPM 서버연결구성 제어된각그룹정책개체 (GPO) 의모든버전은중앙아카이브에저장되므로, 각 GPO 의배포된버전에직접적으로영향을주지않은채그룹정책관리자가오프라인으로 GPO 를보고수정할수있습니다. AGPM 관리자 ( 모든권한 ) 역할이있는사용자계정, 이절차에서사용되는 GPO 를만든승인자의사용자계정또는고급그룹정책관리 (AGPM) 의필수권한이있는사용자계정이있어야모든그룹정책관리자에대해아카이브위치를중앙에서구성하는절차를완료할수있습니다. 이항목의 " " 에있는세부내용을검토하십시오. AGPM 서버연결구성 AGPM 관리자는연결된설정을중앙에서구성하여모든그룹정책관리자가동일한 AGPM 서버에연결하도록할수있습니다. 작업환경의일부또는모든도메인에별도의 AGPM 서버가필요한경우에는추가 AGPM 서버를기본값이아닌예외항목으로구성하십시오. AGPM 서버연결을중앙에서구성하지않으면각그룹정책관리자가각도메인에표시할 AGPM 서버를수동으로구성해야합니다. 모든그룹정책관리자에대해 AGPM 서버연결구성 모든그룹정책관리자에대해추가 AGPM 서버연결구성 계정에사용할 AGPM 서버연결수동구성 모든그룹정책관리자에대해 AGPM 서버연결을구성하려면다음을수행하십시오. 1. 그룹정책관리콘솔트리에서모든그룹정책관리자에게적용되는 GPO 를편집합니다. 자세한내용은 GPO 편집을참조하십시오. 2. 그룹정책관리편집기창에서사용자구성, 정책, 관리템플릿, Windows 구성요소및 AGPM 을차례로클릭합니다. 3. 세부정보창에서 AGPM: 기본 AGPM 서버지정 ( 모든도메인 ) 을두번클릭합니다. 4. 속성창에서사용확인란을선택하고정규화된컴퓨터이름및포트 ( 예 : server.contoso.com:4600) 를입력합니다. 5. 확인을클릭합니다. AGPM 서버연결을추가로구성하려는경우가아니면그룹정책관리편집기창을닫고 GPO 를배포합니다. 자세한내용은 GPO 배포를참조하십시오. 그룹정책을업데이트하면모든그룹정책관리자에대해 AGPM 서버연결이구성됩니다. 모든그룹정책관리자에대해추가 AGPM 서버연결을구성하려면다음을수행하십시오. 1. 아직 AGPM 서버연결을구성하지않은경우에는앞서설명한절차에따라모든도메인에대한기본 AGPM 서버를구성하십시오. 2. 일부또는전체도메인에대해별도의 AGPM 서버를구성하여기본 AGPM 서버를다시정의하려면그룹정책관리콘솔트리에서모든그룹정책관리자에게적용되는 GPO 를편집합니다. 자세한내용은 GPO 편집을참조하십시오. 3. 그룹정책관리편집기창에서사용자구성, 정책, 관리템플릿, Windows 구성요소및 13
AGPM 을차례로클릭합니다. 4. 세부정보창에서 AGPM: AGPM 서버지정을두번클릭합니다. 5. 속성창에서사용확인란을선택하고표시를클릭합니다. 6. 내용표시창에서다음을수행합니다. a. 추가를클릭합니다. b. 값이름에도메인이름 ( 예 : server1.contoso.com) 을입력합니다. c. 값에는해당도메인에사용할 AGPM 서버이름및포트 ( 예 : server2.contoso.com:4600) 를입력하고확인을클릭합니다. 기본적으로 AGPM 서비스는포트 4600 을수신대기합니다. 다른포트를사용하려면 AGPM 서비스수정을참조하십시오. d. 기본 AGPM 서버를사용하지않도록지정할각도메인에대해위단계를반복합니다. 7. 확인을클릭하여내용표시및속성창을닫습니다. 8. 그룹정책관리편집기창을닫습니다. 자세한내용은 GPO 배포를참조하십시오. 그룹정책을업데이트하면모든그룹정책관리자에대해새 AGPM 서버연결이구성됩니다. AGPM 서버연결을중앙에서구성한경우에는모든그룹정책관리자에대해해당서버를수동으로구성하는옵션은사용할수없습니다. 1. 그룹정책관리콘솔트리에서포리스트와도메인에서관리하려는 GPO 가속한컨트롤변경을클릭합니다. 2. 세부정보창에서 AGPM 서버탭을클릭합니다. 3. 해당도메인에사용되는아카이브를관리하는 AGPM 서버의정규화된컴퓨터이름 ( 예 : server.contoso.com) 과 AGPM 서비스가수신대기하는포트 ( 기본적으로포트 4600) 를입력합니다. 4. 적용을클릭하고예를클릭하여확인합니다. 계정에대해표시할 AGPM 서버를수동으로구성하려면다음을수행하십시오. 모든그룹정책관리자에대해 AGPM 서버연결을중앙에서구성하는절차를수행하려면 GPO 를편집및배포할수있어야합니다. 자세한내용은 GPO 편집및 GPO 배포를참조하십시오. 선택한 AGPM 서버에따라내용탭에표시되는 GPO 와도메인위임탭설정이적용되는위치가결정됩니다. 관리템플릿을통해중앙에서관리하지않는경우에는각그룹정책관리자가도메인의 AGPM 서버를가리키도록이설정을구성해야합니다. Group Policy Creator Owners 그룹의구성원은 GPO 에대한액세스시 AGPM 관리를피하는데사용되지않도록제한해야합니다. ( 그룹정책관리콘솔의경우 GPO 를관리하려는포리스트와도메인에서그룹정책개체를클릭하고위임을클릭한다음조직의필요에따라설정을구성합니다.) 14
Advanced Group Policy Management 구성 전자메일알림구성 편집자또는검토자가그룹정책개체 (GPO) 를만들거나배포또는삭제하려고하면승인자가해당요청을평가하여작업을구현하거나거부할수있도록해당작업에대한요청이하나이상의지정된전자메일주소로발송됩니다. 알림을받을전자메일주소및알림을보내는별칭을결정합니다. 이절차를완료하려면 AGPM 관리자 ( 모든권한 ) 역할이나고급그룹정책관리 (AGPM) 의필수권한이있는사용자계정이있어야합니다. 이항목의 " " 에있는세부내용을검토하십시오. 1. 그룹정책관리콘솔트리에서포리스트와도메인에서관리하려는 GPO 가속한컨트롤변경을클릭합니다. 2. 세부정보창에서도메인위임탭을클릭합니다. 3. 보낸사람전자메일주소필드에알림을보내는 AGPM 의전자메일별칭을입력합니다. 4. 받는사람전자메일주소필드에승인요청을받아야하는승인자의전자메일주소목록을쉼표로구분하여입력합니다. 5. SMTP 서버필드에유효한 SMTP 메일서버를입력합니다. 6. 사용자이름및암호필드에 SMTP 서비스에대한액세스권한이있는사용자의자격증명을입력합니다. 7. 적용을클릭합니다. 기본적으로이절차를수행하려면 AGPM 관리자 ( 모든권한 ) 여야합니다. 구체적으로, 도메인에대한내용나열및옵션수정권한이있어야합니다. AGPM 에대한전자메일알림은도메인수준설정입니다. 각도메인의도메인위임탭에서각각다른승인자전자메일주소나 AGPM 전자메일별칭을입력할수도있고, 전체환경에서동일한전자메일주소를사용할수도있습니다. 기본적으로고급그룹정책관리 (AGPM) 작업의결과로발송되는전자메일메시지는암호화되지않습니다. 그러나레지스트리설정을사용하여 SSL(Secure Sockets Layer) 암호화사용여부및사용할 SMTP 포트를지정하면 AGPM 에대해전자메일보안을구성할수있습니다. 자세한내용은 AGPM 의전자메일보안구성을참조하십시오. AGPM 에대한전자메일알림을구성하려면다음을수행하십시오. Advanced Group Policy Management 구성 AGPM 의전자메일보안구성 기본적으로고급그룹정책관리 (AGPM) 에서의작업때문에발송되는전자메일알림은암호화되지않으며 SMTP 포트 25 를통해발송됩니다. 그러나레지스트리설정을사용하여 15
SSL(Secure Sockets Layer) 암호화사용여부및사용할 SMTP 포트를지정하면 AGPM 에대해전자메일보안을구성할수있습니다. AGPM 전자메일알림을암호화하면조직의보안관련중요정보를드러낼수있는암호를더잘보호할수있습니다. 원격메일서버를통해릴레이되거나일부규정준수규칙에필요할때전자메일알림을암호화하는것이좋습니다. 주의레지스트리를잘못편집하면시스템에심각한손상을줄수있으므로레지스트리를변경하기전에컴퓨터의중요한데이터를반드시백업해야합니다. 이절차를완료하려면 AGPM 관리자 ( 모든권한 ) 역할이있는사용자계정, 이절차에서사용되는그룹정책개체 (GPO) 를만든승인자의사용자계정또는 AGPM 의필수권한이있는사용자계정이있어야합니다. 이항목의 " " 에있는세부내용을검토하십시오. 그룹정책기본설정을사용하여 AGPM 에대해전자메일보안을구성하려면다음을수행하십시오. 1. 그룹정책관리콘솔트리에서전자메일보안을구성하려는모든 AGPM 서버에적용되는 GPO 를편집합니다. 자세한내용은 GPO 편집을참조하십시오. 2. 그룹정책관리편집기창에서컴퓨터구성, 기본설정, Windows 설정및레지스트리폴더를확장합니다. 3. 콘솔트리에서레지스트리를마우스오른쪽단추로클릭하고새로만들기를가리킨다음모음항목을클릭하고 AGPM 전자메일보안을입력합니다. 4. 레지스트리기본설정항목을만들어암호화를설정하려면다음을수행합니다. a. 콘솔트리에서 AGPM 전자메일보안을마우스오른쪽단추로클릭하고새로만들기를가리킨다음레지스트리항목을클릭합니다. b. 새레지스트리속성대화상자에서업데이트작업을선택합니다. c. 하이브에대해 HKEY_LOCAL_MACHINE 을선택합니다. d. 키경로에대해 SOFTWARE\Microsoft\AGPM 을입력합니다. e. 값이름에대해 EncryptSmtp 를입력합니다. f. 값종류에대해 REG_DWORD 를선택합니다. g. 기준에대해 10 진수를선택한다음, 값데이터에대해 SSL 암호화를사용하려면 1 을입력하고암호화없이전자메일을전송하려면 0 을입력합니다. 기본적으로전자메일은암호화없이발송됩니다. 확인을클릭합니다. 5. 레지스트리기본설정항목을만들어 SMTP 포트를지정하려면다음을수행합니다. a. 콘솔트리에서 AGPM 전자메일보안을마우스오른쪽단추로클릭하고새로만들기를가리킨다음레지스트리항목을클릭합니다. b. 새레지스트리속성대화상자에서업데이트작업을선택합니다. c. 하이브에대해 HKEY_LOCAL_MACHINE 을선택합니다. d. 키경로대화상자에 SOFTWARE\Microsoft\AGPM 을입력합니다. e. 값이름에대해 SmtpPort 를입력합니다. 16
f. 값종류에대해 REG_DWORD 를선택합니다. g. 기준에대해 10 진수를선택하고값데이터에대해 SMTP 포트의포트번호를입력합니다. 기본적으로암호화를사용하지않는경우의 SMTP 포트는포트 25 이며, SSL 암호화를사용하는경우의 SMTP 포트는포트 587 입니다. 확인을클릭합니다. 6. 그룹정책관리편집기창을닫고 GPO 를체크인하고배포합니다. 자세한내용은 GPO 배포를참조하십시오. 그룹정책기본설정을사용하여레지스트리설정을구성하려면 GPO 를편집및배포할수있어야합니다. 자세한내용은 GPO 편집및 GPO 배포를참조하십시오. Advanced Group Policy Management 구성 프로덕션환경에대한액세스권한위임 고급그룹정책관리 (AGPM) 에서는도메인의프로덕션환경에서그룹정책개체 (GPO) 에대한액세스권한을변경하여해당 GPO 에대한모든기존권한을바꿀수있습니다. GPO 에서 GPMC( 그룹정책관리콘솔 ) 의변경제어폴더를사용하지않을경우사용자가프로덕션환경에서 GPO 의보안을편집, 삭제또는수정하거나수정할수없도록도메인수준에서권한을구성할수있습니다. 참고프로덕션환경에대한액세스권한이위임되는방법을변경해도 GPO에연결할수있는사용자의기능에는영향을주지않습니다. GPO 를제어하거나배포하면읽기및적용권한이있는계정을제외한다른모든계정의액세스권한이제거됩니다. 이절차를완료하려면 AGPM 관리자 ( 모든권한 ) 의역할이나고급그룹정책관리 (AGPM) 의필수권한이있는사용자계정이있어야합니다. 이항목의 " " 에있는세부내용을검토하십시오. 도메인의프로덕션환경에서 GPO 에대한액세스권한을변경하려면다음을수행하십시오. 1. 그룹정책관리콘솔트리에서포리스트와도메인에서관리하려는 GPO 가속한컨트롤변경을클릭합니다. 2. 프로덕션위임탭을클릭합니다. 3. 프로덕션환경에대한액세스권한이없는사용자또는그룹에권한을추가하거나액세스권한이있는사용자또는그룹의권한을바꾸려면다음을수행하십시오. a. 추가를클릭하고사용자또는그룹을선택한다음확인을클릭합니다. b. 프로덕션환경에대해해당사용자또는그룹에위임할권한을선택한다음확인을클릭합니다. 4. 프로덕션환경에대한사용자또는그룹의모든권한을제거하려면사용자또는그룹을선택하고제거를클릭한다음확인을클릭합니다. 17
기본적으로이절차를수행하려면 AGPM 관리자 ( 모든권한 ) 여야합니다. 구체적으로, 도메인에대한보안수정권한이있어야합니다. AGPM 서비스계정에대한권한은프로덕션위임탭에서변경할수없습니다. 기본적으로다음계정에는프로덕션환경의 GPO 에대한권한이있습니다. 계정 <AGPM 서비스계정 > Authenticated Users Domain Admins Enterprise Admins Enterprise Domain Controllers System GPO에대한기본권한설정편집, 삭제, 보안수정읽기, 적용설정편집, 삭제, 보안수정설정편집, 삭제, 보안수정읽기설정편집, 삭제, 보안수정 Group Policy Creator Owners 그룹의구성원은 GPO 에대한액세스시 AGPM 관리를피하는데사용되지않도록제한해야합니다. ( 그룹정책관리콘솔의경우 GPO 를관리하려는포리스트와도메인에서그룹정책개체를클릭하고위임을클릭한다음조직의필요에따라설정을구성합니다.) Advanced Group Policy Management 구성 로깅및추적구성 관리템플릿을사용하면선택적로깅및추적기능을중앙에서구성할수있습니다. 관리템플릿은고급그룹정책관리 (AGPM) 관련문제를진단할때유용합니다. AGPM 관리자 ( 모든권한 ) 역할이있는사용자계정, 이절차에서사용되는그룹정책개체 (GPO) 를만든승인자의사용자계정또는 AGPM 의필수권한이있는사용자계정이있어야이절차를완료할수있습니다. 또한 AGPM 서버에서로깅을시작하려면 AGPM 서버에대한액세스권한이있는사용자계정이필요합니다. 이항목의 " " 에있는세부내용을검토하십시오. AGPM 에대해로깅및추적을구성하려면다음을수행하십시오. 1. 그룹정책관리콘솔트리에서로깅및추적을설정하려는모든그룹정책관리자에게적용되는 GPO 를편집합니다. 자세한내용은 GPO 편집을참조하십시오. 2. 그룹정책관리편집기창에서컴퓨터구성, 정책, 관리템플릿, Windows 구성요소및 AGPM 을차례로클릭합니다. 3. 세부정보창에서 AGPM: 로깅구성을두번클릭합니다. 18
4. 속성창에서사용을클릭하고로그에기록할세부정보수준을구성합니다. 5. 확인을클릭합니다. 6. 그룹정책관리편집기창을닫습니다. 자세한내용은 GPO 배포를참조하십시오. 그룹정책을업데이트한후에 AGPM 서버에서로깅을시작, 수정또는중지하려면 AGPM 서비스를다시시작해야합니다. 그룹정책관리자가자신의컴퓨터에서로깅을시작, 수정또는중지하려면 GPMC 를닫았다가다시시작해야합니다. 추적파일위치 : 클라이언트 : %LocalAppData%\Microsoft\AGPM\agpm.log 서버 : %ProgramData%\Microsoft\AGPM\agpmserv.log AGPM 로깅및추적을구성하려면 GPO 를편집하고배포할수있어야합니다. 자세한내용은 GPO 편집및 GPO 배포를참조하십시오. Advanced Group Policy Management 구성 아카이브관리 고급그룹정책관리 (AGPM) 에서 AGPM 관리자 ( 모든권한 ) 는아카이브에대한액세스권한을관리하고아카이브에저장된각그룹정책개체 (GPO) 의버전수를제한할수있습니다. 도메인수준또는 GPO 수준에서아카이브의 GPO 에대한액세스권한을위임할수도있습니다. 문제가발생할경우아카이브를복구할수있도록백업할수도있습니다. AGPM 관리자는 GPO 를파일로내보내고, 해당파일을다른포리스트에복사한후해당포리스트의도메인으로 GPO 를가져올수있습니다. 편집자와달리 GPO 를만들때 GPO 백업에서제어된새 GPO 로정책설정을직접가져올수있습니다. GPO 를내보내는방법에대한자세한내용은파일로 GPO 내보내기를참조하십시오. 아카이브에도메인수준액세스권한위임 아카이브의개별 GPO 에대한액세스권한위임 저장되는 GPO 버전제한 파일에서 GPO 가져오기 아카이브백업 백업에서아카이브복원 프로덕션환경에서 GPO 에대한액세스권한을위임하는방법에대한자세한내용은프로덕션환경에대한액세스권한위임을참조하십시오. 아카이브를옮기는방법에대한자세한내용은 AGPM 서버및아카이브이동을참조하십시오. AGPM 관리자작업수행 19
아카이브에도메인수준액세스권한위임 사용중인환경에위임을설정하면그룹정책관리자에게아카이브의그룹정책개체 (GPO) 에대한적절한액세스및제어권한이부여됩니다. 이러한권한은작업을보다효율적으로수행하기위해적용할수있는기본적인권한입니다. 권한은조직의요구사항에맞는방식으로부여할수있습니다. 이절차를완료하려면 AGPM 관리자 ( 모든권한 ) 역할이나고급그룹정책관리 (AGPM) 의필수권한이있는사용자계정이있어야합니다. 이항목의 " " 에있는세부내용을검토하십시오. 1. 그룹정책관리콘솔트리에서포리스트와도메인에서관리하려는 GPO 가속한컨트롤변경을클릭합니다. 2. 도메인위임탭을클릭하고도메인의모든 GPO 에대한액세스권한을구성합니다. a. 사용자또는그룹에대한액세스권한을추가하려면추가단추를클릭하고사용자나그룹을선택한다음확인을클릭합니다. 그룹또는사용자추가대화상자에서역할을선택하고확인을클릭합니다. b. 사용자또는그룹에대한액세스권한을제거하려면사용자나그룹을선택하고제거단추를클릭합니다. c. 사용자또는그룹에위임된역할및권한을수정하려면고급단추를클릭합니다. 권한대화상자에서사용자또는그룹을선택하고해당사용자또는그룹에할당할각역할의확인란을선택한다음확인을클릭합니다. 참고 편집자및승인자에게는검토자권한이있습니다. 기본적으로이절차를수행하려면 AGPM 관리자 ( 모든권한 ) 여야합니다. 구체적으로, 도메인에대한보안수정권한이있어야합니다. AGPM 을사용하는그룹정책관리자에게읽기권한을위임하려면내용나열권한과설정읽기권한을부여해야합니다. 이렇게하면해당관리자가 AGPM 의내용탭에서 GPO 를볼수있습니다. 다른권한은명시적으로위임해야합니다. 편집자는배포된 GPO 복사본에대한읽기권한이있어야그룹정책소프트웨어설치를완벽하게활용할수있습니다. Group Policy Creator Owners 그룹의구성원은 GPO 에대한액세스시 AGPM 관리를피하는데사용되지않도록제한해야합니다. ( 그룹정책관리콘솔의경우 GPO 를관리하려는포리스트와도메인에서그룹정책개체를클릭하고위임을클릭한다음조직의필요에따라설정을구성합니다.) 사용자및그룹이도메인전체의모든 GPO 에대한적절한권한을가질수있도록액세스권한을위임하려면다음을수행하십시오. 아카이브관리 20
아카이브의개별 GPO 에대한액세스권한위임 AGPM 관리자 ( 모든권한 ) 는아카이브에서제어된그룹정책개체 (GPO) 의관리를위임하여선택된그룹및편집자가이를편집하고, 검토자가검토하고, 승인자가승인하도록할수있습니다. AGPM 관리자 ( 모든권한 ) 역할이있는사용자계정, GPO 를만든승인자의사용자계정또는고급그룹정책관리 (AGPM) 의필수권한이있는사용자계정이있어야이절차를완료할수있습니다. 이항목의 " " 에있는세부내용을검토하십시오. 제어된 GPO 관리를위임하려면다음을수행하십시오. 1. 그룹정책관리콘솔트리에서포리스트와도메인에서관리하려는 GPO 가속한컨트롤변경을클릭합니다. 2. 세부정보창의내용탭에서제어됨탭을클릭하여제어된 GPO 를표시한다음위임할 GPO 를클릭합니다. a. 사용자또는그룹에대한액세스권한을추가하려면추가단추를클릭하고사용자나그룹을선택한다음확인을클릭합니다. 그룹또는사용자추가대화상자에서역할을선택하고확인을클릭합니다. b. 사용자또는그룹에대한액세스권한을제거하려면사용자나그룹을선택하고제거단추를클릭합니다. 참고사용자또는그룹이전체도메인액세스권한을상속하는경우에는제거단추를사용할수없습니다. 도메인전체액세스권한은도메인위임탭에서수정할수있습니다. c. 사용자또는그룹에위임된역할및권한을수정하려면고급단추를클릭합니다. 권한대화상자에서사용자또는그룹을선택하고해당사용자또는그룹에할당할각역할의확인란을선택한다음확인을클릭합니다. 참고 편집자및승인자에게는검토자권한이있습니다. 기본적으로이절차를수행하려면 GPO 를만들거나제어한승인자이거나 AGPM 관리자 ( 모든권한 ) 여야합니다. 구체적으로도메인에대한내용나열권한과 GPO 에대한보안수정권한이있어야합니다. AGPM 을사용하는그룹정책관리자에게읽기권한을위임하려면내용나열권한과설정읽기권한을부여해야합니다. 이렇게하면해당관리자가 AGPM 의내용탭에서 GPO 를볼수있습니다. 다른권한은명시적으로위임해야합니다. 편집자는배포된 GPO 복사본에대한읽기권한이있어야그룹정책소프트웨어설치를완벽하게활용할수있습니다. Group Policy Creator Owners 그룹의구성원은 GPO 에대한액세스시 AGPM 관리를피하는데사용되지않도록제한해야합니다. ( 그룹정책관리콘솔의경우 GPO 를 21
관리하려는포리스트와도메인에서그룹정책개체를클릭하고위임을클릭한다음조직의필요에따라설정을구성합니다.) 아카이브관리 저장되는 GPO 버전제한 기본적으로제어된각그룹정책개체 (GPO) 의모든버전은 AGPM 서버의아카이브에보관됩니다. 그러나각 GPO 에대해보관되는버전수를제한하고해당제한수가초과되면오래된버전을삭제할수있습니다. GPO 버전을삭제해도해당버전의레코드는 GPO 기록에남지만, GPO 버전자체는아카이브에서삭제됩니다. 이절차를완료하려면 AGPM 관리자 ( 모든권한 ) 역할이나고급그룹정책관리 (AGPM) 의필수권한이있는사용자계정이있어야합니다. 이항목의 " " 에있는세부내용을검토하십시오. 1. 그룹정책관리콘솔트리에서포리스트와도메인에서관리하려는 GPO 가속한컨트롤변경을클릭합니다. 2. 세부정보창에서 AGPM 서버탭을클릭합니다. 3. 아카이브에서각 GPO 의이전버전삭제확인란을선택하고각 GPO 에대해저장할최대 GPO 버전수 ( 현재버전은제외 ) 를입력합니다. 현재버전만보관하려면 0 을입력하십시오. 최대버전수는 999 이하여야합니다. 중요기록창의고유버전탭에표시되는 GPO 버전만이제한수계산에포함됩니다. 4. 적용단추를클릭합니다. 기본적으로이절차를수행하려면 AGPM 관리자 ( 모든권한 ) 여야합니다. 구체적으로, 도메인에대한내용나열및옵션수정권한이있어야합니다. 기록에서 GPO 버전을삭제할수없도록표시하면해당 GPO 버전이삭제되지않도록할수있습니다. 이렇게하려면 GPO 기록에서버전을마우스오른쪽단추로클릭하고삭제하지않기를클릭하십시오. 저장되는 GPO 버전수를제한하려면다음을수행하십시오. 아카이브관리 파일에서 GPO 가져오기 고급그룹정책관리 (AGPM) 에서 AGPM 관리자 ( 모든권한 ) 이고그룹정책개체 (GPO) 를 CAB 파일로내보낸경우해당 GPO 의정책설정을다른포리스트의도메인에있는새 GPO 또는기존 22
GPO 로가져올수있습니다. GPO 설정을 CAB 파일로내보내는방법에대한자세한내용은파일로 GPO 내보내기를참조하십시오. 제어된새 GPO 로정책설정을가져오려면 AGPM 관리자역할이나 AGPM 의필수권한이있는사용자계정이있어야합니다. 기존 GPO 로정책설정을가져오려면편집자또는 AGPM 관리자역할이나 AGPM 의필수권한이있는사용자계정이있어야합니다. 이항목의 " " 에있는세부내용을검토하십시오. 파일에서정책설정가져오기 파일에서정책설정을가져올때새 GPO 또는기존 GPO 로가져올수있습니다. 하지만기존 GPO 로정책설정을가져올경우기존 GPO 의모든정책이교체됩니다. 제어된새 GPO 로정책설정가져오기 기존 GPO 로정책설정가져오기 제어된새 GPO 로정책설정을가져오려면다음을수행하십시오. 1. 그룹정책관리콘솔트리에서정책설정을가져올도메인에서변경제어를클릭합니다. 2. 내용탭에서제어됨탭을클릭하여제어된 GPO 를표시합니다. 3. 제어된새 GPO 를만듭니다. 제어된새 GPO 대화상자에서가져오기를클릭한다음마법사실행을클릭합니다. GPO 를만드는방법에대한자세한내용은제어된새 GPO 만들기를참조하십시오. 4. 설정가져오기마법사의지침에따라 GPO 백업을선택하고, 여기에서새 GPO 에대한정책설정을가져오고, 새 GPO 의감사내역에표시할설명을입력합니다. 1. 그룹정책관리콘솔트리에서정책설정을가져올도메인에서변경제어를클릭합니다. 2. 내용탭에서제어됨탭을클릭하여제어된 GPO 를표시합니다. 3. 정책설정을가져올대상 GPO 를체크아웃합니다. 4. 대상 GPO 를마우스오른쪽단추로클릭하고가져올위치를가리킨다음파일을클릭합니다. 5. 설정가져오기마법사의지침에따라 GPO 백업을선택하고, 해당정책설정을가져와대상 GPO 의정책설정을교체하고, 대상 GPO 의감사내역에표시할설명을입력합니다. 기본적으로마법사를마치면대상 GPO 가체크인됩니다. 정책설정을제어된새 GPO 로가져오려면도메인에대한내용나열, GPO 가져오기및 GPO 만들기권한이있어야합니다. 기본적으로이절차를수행하려면 AGPM 관리자여야합니다. 정책설정을기존 GPO 로가져오려면도메인에대해내용나열, 설정편집및 GPO 가져오기권한이있어야하며사용자가 GPO 를체크아웃해야합니다. 이절차를수행하려면기본적으로편집자또는 AGPM 관리자 ( 모든권한 ) 여야합니다. 기존 GPO 로정책설정을가져오려면다음을수행하십시오. 아카이브관리 23
아카이브백업 문제가있을경우고급그룹정책관리 (AGPM) 의아카이브복구에도움이되도록 AGPM 관리자 ( 모든권한 ) 는아카이브를자주백업해야합니다. 기본적으로아카이브는 %ProgramData%\Microsoft\AGPM 에만들어집니다. 하지만 Microsoft Advanced Group Policy Management 서버를설치하는동안다른경로를지정할수있습니다. 이절차를완료하려면 AGPM 서버 (AGPM 서비스가설치된컴퓨터 ) 와아카이브가포함된폴더에대한액세스권한이있는사용자계정이있어야합니다. 1. AGPM 서비스를중지합니다. 자세한내용은 AGPM 서비스시작및중지를참조하십시오. 2. Windows 탐색기, Xcopy, Windows Server 백업또는다른백업도구를사용하여아카이브폴더를백업합니다. 숨겨진파일, 시스템파일및읽기전용파일을백업해야합니다. 3. 안전한위치에아카이브백업을저장합니다. 4. AGPM 서비스를다시시작합니다. 자세한내용은 AGPM 서비스시작및중지를참조하십시오. AGPM 관리자이아카이브를자주백업하지않으면아카이브백업의그룹정책개체 (GPO) 가사용되지않습니다. 아카이브백업을사용하려면아카이브를조직의매일백업전략의일부로백업하십시오. 아카이브를백업하려면다음을수행하십시오. 참고 백업에서아카이브복원 AGPM 서버및아카이브이동 아카이브관리 백업에서아카이브복원 문제가발생하여고급그룹정책관리 (AGPM) 의아카이브가손상되거나소실되면그룹정책개체 (GPO) 가아카이브에없거나프로덕션중인버전이아카이브에있는버전보다최신인경우 AGPM 관리자 ( 모든권한 ) 는미리준비된백업복사본에서아카이브를복원한후도메인의프로덕션환경에서가져올수있습니다. 아카이브백업을다른서버로복원하는방법에대한자세한내용은 AGPM 서버및아카이브이동을참조하십시오. 이절차를완료하려면 AGPM 서버 (AGPM 서비스가설치된컴퓨터 ) 와아카이브가포함된폴더에대한액세스권한이있는사용자계정이있어야합니다. 백업에서아카이브를복원하려면다음을수행하십시오. 1. AGPM 서비스를중지합니다. 자세한내용은 AGPM 서비스시작및중지를참조하십시오. 24
2. 기존아카이브를제거합니다. 기본적으로아카이브폴더는 %ProgramData%\Microsoft\AGPM 이지만 Microsoft Advanced Group Policy Management 서버를설치한 AGPM 관리자가설치하는동안다른위치를입력했을수있습니다. 3. 아카이브경로, AGPM 서비스계정, 아카이브소유자및수신포트를구성하여아카이브폴더를다시만듭니다. 원본설치중사용된것과같은값을사용할필요는없습니다. 자세한내용은 AGPM 서비스수정을참조하십시오. 4. 각하위폴더와파일에서아카이브폴더의권한을상속하도록하위폴더와파일을복사하여아카이브백업내용을아카이브폴더에복사합니다. 아카이브폴더를덮어쓰지않도록주의하십시오. 5. 아카이브백업의 GPO 가프로덕션중인 GPO 복사본보다최신인지잘알지못할경우차이점보고서를생성하여설정을비교합니다. 자세한내용은 GPO, GPO 버전또는템플릿간의차이점확인을참조하십시오. 6. AGPM 서비스를다시시작합니다. 자세한내용은 AGPM 서비스시작및중지를참조하십시오. 아카이브백업 AGPM 서버및아카이브이동 아카이브관리 AGPM 서비스관리 AGPM 서비스는보안프록시역할을하는 Windows 서비스로서, 도메인의아카이브및프로덕션환경에서그룹정책개체 (GPO) 에대한클라이언트액세스를관리합니다. 또한고급그룹정책관리 (AGPM) 위임을적용하고향상된보안수준을제공합니다. AGPM 서비스는 Microsoft Advanced Group Policy Management 서버가설치되어있는서버에서호스팅됩니다. 주의운영체제에서관리도구및서비스를사용하여 AGPM 서비스에대한설정을수정하지마십시오. 설정을수정하면시작할때 AGPM 서비스를사용하지못할수도있습니다. AGPM 서비스시작및중지 AGPM 서비스수정 AGPM 서버및아카이브이동 AGPM 관리자작업수행 AGPM 서비스시작및중지 AGPM 서비스는보안프록시역할을하는 Windows 서비스로서, 아카이브및프로덕션환경에서그룹정책개체 (GPO) 에대한클라이언트액세스를관리합니다. 25
중요 AGPM 서비스를중지하거나사용하지않도록설정하면 AGPM 클라이언트가서버를통해 GPO 나열또는편집등의작업을수행할수없게됩니다. 이절차를완료하려면 AGPM 서버 (AGPM 서비스가설치된컴퓨터 ) 에대한액세스권한이있는사용자계정이있어야합니다. 1. Microsoft Advanced Group Policy Management 서버 (AGPM 서비스 ) 가설치되어있는컴퓨터에서시작, 제어판, 관리도구, 서비스를차례로클릭합니다. 2. 서비스목록에서 AGPM 서비스를마우스오른쪽단추로클릭하고시작, 다시시작또는중지를선택합니다. AGPM 서비스를시작하거나중지하려면다음을수행하십시오. 주의 AGPM 서비스관리 운영체제에서관리도구및서비스를사용하여 AGPM 서비스에대한설정을수정하지마십시오. 설정을수정하면시작할때 AGPM 서비스를사용하지못할수도있습니다. AGPM 서비스수정 AGPM 서비스는보안프록시역할을하는 Windows 서비스로서, 도메인의아카이브및프로덕션환경에서그룹정책개체 (GPO) 에대한클라이언트액세스를관리합니다. 이서비스를중지하거나사용하지않도록설정하면 AGPM 클라이언트가서버를통해작업을수행할수없습니다. 아카이브경로, AGPM 서비스계정및 AGPM 서비스가수신대기하는포트를수정할수있습니다. 주의운영체제에서관리도구및서비스를사용하여 AGPM 서비스에대한설정을수정하지마십시오. 설정을수정하면시작할때 AGPM 서비스를사용하지못할수도있습니다. 이절차를완료하려면 Domain Admins 그룹의구성원이고 AGPM 서버 (Microsoft Advanced Group Policy Management 서버가설치되어있는컴퓨터 ) 에대한액세스권한이있는사용자계정이있어야합니다. 또한이절차를완료하려면 AGPM 서비스계정에대한자격증명을제공해야합니다. AGPM 서비스를수정하려면다음을수행하십시오. 1. Microsoft Advanced Group Policy Management 서버가설치되어있는컴퓨터에서시작, 제어판, 프로그램, 프로그램및기능을차례로클릭합니다. 2. Microsoft Advanced Group Policy Management 서버를마우스오른쪽단추로클릭하고변경을클릭합니다. 26
3. 다음을클릭한후수정을클릭합니다. 4. 다음지침에따라 AGPM 서비스를구성합니다. a. 아카이브경로대화상자에서 AGPM 서버를기준으로아카이브의새위치를입력하거나현재아카이브경로를확인한후에다음을클릭합니다. 중요아카이브경로로 AGPM 서버의폴더또는다른위치를지정할수있지만, 해당 AGPM 서버가관리하는모든 GPO 및기록데이터를저장할수있는충분한공간이있는위치를선택해야합니다. b. AGPM 서비스계정대화상자에서 AGPM 서비스를실행하는데사용할서비스계정의자격증명을입력하고다음을클릭합니다. 중요설치를수정하면 AGPM 서비스계정의자격증명이지워집니다. 이경우자격증명을다시입력해야하며, 원래설치중에사용한것과다른자격증명을입력해도됩니다. AGPM 서비스계정에는관리할 GPO 에대한전체권한이있어야하며, 서비스로로그온권한이부여됩니다. 단일도메인에서 GPO 를관리할경우에는주도메인컨트롤러에대한로컬시스템계정을 AGPM 서비스계정으로지정할수있습니다. GPO 를여러도메인에서관리하거나 AGPM 서버를구성원서버로사용할경우에는특정도메인컨트롤러의로컬시스템계정으로는다른도메인의 GPO 에액세스할수없기때문에다른계정을 AGPM 서비스계정으로구성해야합니다. c. 아카이브소유자대화상자에서 AGPM 관리자 ( 모든권한 ) 의사용자이름또는 AGPM 관리자의그룹을입력하고다음을클릭합니다. 참고설치를수정하면아카이브소유자의자격증명이지워집니다. 이경우자격증명을다시입력해야하며, 원래설치중에사용한것과다른자격증명을입력해도됩니다. d. 포트구성대화상자에 AGPM 서비스가수신대기해야하는새포트를입력하거나현재선택되어있는포트를확인하고다음을클릭합니다. 참고기본적으로 AGPM 서비스는포트 4600 을수신대기합니다. 포트예외를수동으로구성하거나포트예외구성규칙이있는경우에는방화벽에포트예외추가확인란선택을취소할수있습니다. 5. 변경을클릭하고설치가완료되면마침을클릭합니다. 6. AGPM 서비스가수신대기하는포트를변경한경우에는각그룹정책관리자에대한 AGPM 서버연결의포트를수정하십시오. 자세한내용은 AGPM 서버연결구성을참조하십시오. 27
7. 구성변경내용을적용할각 AGPM 서버에대해위단계를반복합니다. AGPM 서비스관리 AGPM 서버및아카이브이동 AGPM 서버와아카이브가호스팅되는서버를교체할경우 AGPM 서비스와아카이브를옮겨야합니다. 원한다면 AGPM 서비스와아카이브를따로옮길수있습니다. 참고 AGPM 서버는 AGPM 서비스를호스팅하고 Microsoft Advanced Group Policy Management 서버가설치되어있는컴퓨터입니다. 기본적으로아카이브는 AGPM 서버에서호스팅되지만아카이브경로를지정하여다른서버에서아카이브를호스팅할수있습니다. 이절차를완료하려면 Domain Admins 그룹의구성원이고이전 AGPM 서버및새 AGPM 서버에대한액세스권한이있는사용자계정이있어야합니다. 또한이절차를완료하려면새 AGPM 서버에서사용되는 AGPM 서비스계정에대한자격증명을제공해야합니다. AGPM 서비스와아카이브를다른서버로옮기려면다음을수행하십시오. 1. 아카이브를백업합니다. 자세한내용은아카이브백업을참조하십시오. 2. AGPM 서비스를옮깁니다. a. AGPM 서비스를중지합니다. 자세한내용은 AGPM 서비스시작및중지를참조하십시오. b. AGPM 서비스를호스팅할새서버에 Microsoft Advanced Group Policy Management 서버를설치합니다. 이과정에서 AGPM 서버와관련된아카이브의위치인새아카이브경로를지정합니다. 자세한내용은 Microsoft Advanced Group Policy Management 4.0 용단계별가이드 (http://go.microsoft.com/fwlink/?linkid=153505) 와 Microsoft Advanced Group Policy Management 용계획가이드 (http://go.microsoft.com/fwlink/?linkid=156883) 를참조하십시오. c. AGPM 관리자 ( 모든권한 ) 는새 AGPM 서버를사용할모든그룹정책관리자에대해 AGPM 서버연결을구성하고기존 AGPM 서버에대한연결을제거해야하고각그룹정책관리자는새 AGPM 서버연결을수동으로구성하고컴퓨터에서 AGPM 스냅인에대해기존 AGPM 서버연결을제거해야합니다. 자세한내용은 AGPM 서버연결구성을참조하십시오. 참고모범사례로기존 AGPM 서버에서 Microsoft Advanced Group Policy Management 서버를제거해야합니다. 이렇게하면해당서버에서 AGPM 서비스가의도하지않게다시시작될수없으며해당서버에대한 AGPM 서버연결이남아있을경우혼란을초래하지않을수있습니다. 28
3. 백업에서아카이브를호스팅할새서버로아카이브를복사합니다. 자세한내용은백업에서아카이브복원을참조하십시오. 중요동시에 AGPM 서비스를옮기지않고아카이브를옮긴경우다음을수행하십시오. a. 아카이브경로가 AGPM 서버와관련된아카이브의새위치를가리키도록변경해야합니다. 자세한내용은 AGPM 서비스수정을참조하십시오. b. 도메인위임탭에서암호를다시입력하고확인해야합니다. 자세한내용은전자메일알림구성을참조하십시오. 아카이브백업 백업에서아카이브복원 AGPM 서버연결구성 AGPM 서비스수정 Microsoft Advanced Group Policy Management 4.0 용단계별가이드 (http://go.microsoft.com/fwlink/?linkid=153505) Microsoft Advanced Group Policy Management 용계획가이드 (http://go.microsoft.com/fwlink/?linkid=156883) AGPM 관리자작업수행 편집자작업수행 고급그룹정책관리 (AGPM) 에서편집자는 AGPM 관리자 ( 모든권한 ) 가그룹정책개체 (GPO) 를변경하고 GPO 템플릿을만들수있는권한을부여한사람입니다. 또한편집자는 GPO 만들기, 삭제또는복원을요청할수있습니다. 승인자는 GPO 에대한요청을승인해야합니다. 편집자는다른포리스트의도메인으로복사할수있도록 GPO 를파일로내보낼수있으며다른도메인에서복사된 GPO 를가져올수있습니다. 중요 GPO의중앙아카이브에연결되어있는지확인하십시오. 자세한내용은 AGPM 서버연결구성을참조하십시오. GPO 만들기또는제어 GPO 편집 테스트환경사용 GPO 배포요청 템플릿만들기및기본템플릿설정 GPO 삭제또는복원 29
참고편집자역할에는검토자역할의권한도포함되므로편집자는설정검토및 GPO 비교작업도수행할수있습니다. 자세한내용은검토자작업수행을참조하십시오. 기본적으로편집자역할에는다음과같은권한이제공됩니다. 내용나열 설정읽기 설정편집 GPO 내보내기 GPO 가져오기 템플릿만들기 GPO 만들기또는제어 고급그룹정책관리 (AGPM) 를사용하여그룹정책개체 (GPO) 에대한변경제어를제공하려면먼저 AGPM 을사용하여 GPO 를제어해야합니다. 변경제어폴더를통해만든새 GPO 는자동으로제어됩니다. 편집자에게는 GPO 제어, 만들기또는삭제를완료할권한이없을수도있습니다. 그러나프로세스를시작하여요청을승인자에게제출하는데필요한권한은있습니다. 제어되지않은 GPO 의제어요청 제어된새 GPO 만들기요청 프로덕션에서 GPO 가져오기 제어되지않은 GPO 의제어요청 기존그룹정책개체 (GPO) 에대해변경제어기능을제공하려면 GPO 를제어해야합니다. 승인자나 AGPM 관리자 ( 모든권한 ) 가아닌경우에는 GPO 제어를요청해야합니다. 이절차를완료하려면편집자또는검토자역할이나고급그룹정책관리 (AGPM) 의필수권한이있는사용자계정이있어야합니다. 이항목의 " " 에있는세부내용을검토하십시오. 제어되지않은 GPO 를제어하려면다음을수행하십시오. 1. 그룹정책관리콘솔트리에서포리스트와도메인에서관리하려는 GPO 가속한컨트롤변경을클릭합니다. 2. 세부정보창의내용탭에서제어되지않음탭을클릭하여제어되지않은 GPO 를표시합니다. 3. AGPM 으로제어할 GPO 를마우스오른쪽단추로클릭한다음제어를클릭합니다. 4. GPO 를제어할수있는특별권한이없으면제어요청을제출해야합니다. 요청복사본을받으려면자신의전자메일주소를참조필드에입력합니다. GPO 의기록에표시할설명을입력하고제출을클릭합니다. 30
5. 진행률창에전체진행이완료된것으로나타나면닫기를클릭합니다. GPO 가제어되지않음탭의목록에서제거되며보류중탭에추가됩니다. 승인자가요청을승인하면 GPO 는제어됨탭으로이동됩니다. 기본적으로이절차를수행하려면편집자또는검토자여야합니다. 구체적으로, 도메인에대한내용나열및설정읽기권한이있어야합니다. 요청을승인전에취소하려면보류중탭을클릭합니다. 마우스오른쪽단추로 GPO 를클릭한다음취소를클릭합니다. 그러면 GPO 가제어되지않음탭으로돌아갑니다. GPO 만들기또는제어 제어된새 GPO 만들기요청 승인자나 AGPM 관리자 ( 모든권한 ) 가아닌경우에는새그룹정책개체 (GPO) 만들기를요청해야합니다. 이절차를완료하려면편집자또는검토자역할이나고급그룹정책관리 (AGPM) 의필수권한이있는사용자계정이있어야합니다. 이항목의 " " 에있는세부내용을검토하십시오. 1. 그룹정책관리콘솔트리에서포리스트와도메인에서관리하려는 GPO 가속한컨트롤변경을클릭합니다. 2. 변경제어를마우스오른쪽단추로클릭하고제어된새 GPO 를클릭합니다. 3. GPO 를만들수있는특별권한이없으면만들기요청을제출해야합니다. 제어된새 GPO 대화상자에서다음을수행합니다. a. 요청복사본을받으려면자신의전자메일주소를참조필드에입력합니다. b. 새 GPO 의이름을입력합니다. c. 옵션 : 새 GPO 의설명을입력합니다. d. 승인되는즉시새 GPO 를도메인의프로덕션환경으로배포하려면라이브로만들기를클릭합니다. 오프라인으로새 GPO 를만들고승인직후에배포하지않으려면오프라인으로만들기를클릭합니다. e. 새 GPO 를만들때시작지점으로사용할 GPO 템플릿을선택합니다. f. 제출을클릭합니다. 4. 진행률창에전체진행이완료된것으로나타나면닫기를클릭합니다. 새 GPO 가보류중탭의 GPO 목록에표시됩니다. 승인자가요청을승인하면 GPO 는제어됨탭으로이동됩니다. AGPM 을통해변경제어를관리하는새 GPO 를만들려면다음을수행하십시오. 기본적으로이절차를수행하려면편집자또는검토자여야합니다. 구체적으로, 도메인에대한내용나열권한이있어야합니다. 31
요청을승인전에취소하려면보류중탭을클릭합니다. 마우스오른쪽단추로 GPO 를클릭한다음취소를클릭합니다. GPO 가소멸됩니다. GPO 만들기또는제어 프로덕션에서 GPO 가져오기 고급그룹정책관리 (AGPM) 외부에서제어된그룹정책개체 (GPO) 를변경하는경우 GPO 의복사본을도메인의프로덕션환경에서가져와아카이브에저장하면아카이브와프로덕션환경을일관된상태로유지할수있습니다. 제어되지않은 GPO 를가져오려는경우에는먼저 GPO 를제어하십시오. 제어되지않은 GPO 의제어요청을참조하십시오. 이절차를완료하려면편집자, 승인자또는 AGPM 관리자 ( 모든권한 ) 역할이나 AGPM 의필요한권한을가진사용자계정이있어야합니다. 이항목의 " " 에있는세부내용을검토하십시오. 1. 그룹정책관리콘솔트리에서포리스트와도메인에서관리하려는 GPO 가속한컨트롤변경을클릭합니다. 2. 내용탭에서제어됨탭을클릭하여제어된 GPO 를표시합니다. 3. GPO 를마우스오른쪽단추로클릭한다음프로덕션에서가져오기를클릭합니다. 4. GPO 의감사내역에대한설명을입력하고확인을클릭합니다. 기본적으로이절차를수행하려면편집자, 승인자또는 AGPM 관리자 ( 모든권한 ) 여야합니다. 구체적으로, GPO 에대한내용나열및설정편집, GPO 배포또는 GPO 삭제권한이있어야합니다. 도메인의프로덕션환경에서 GPO 를가져오려면다음을수행하십시오. GPO 만들기또는제어 GPO 편집 그룹정책개체 (GPO) 는고급그룹정책관리 (AGPM) 으로제어해야편집할수있습니다. GPO 제어에대한자세한내용은 GPO 만들기또는제어를참조하십시오. 프로덕션환경에있는 GPO 의배포된복사본에직접적으로영향을주지않은채오프라인으로 GPO 를변경하려면아카이브에서 GPO 복사본을체크아웃합니다. 변경이완료되면 GPO 를아카이브로다시체크인하고테스트한다음프로덕션환경으로 GPO 를배포하도록요청하십시오. 오프라인으로 GPO 편집 현재버전의 GPO 에레이블지정 GPO 또는템플릿이름바꾸기 32
오프라인으로 GPO 편집 제어된그룹정책개체 (GPO) 를변경하려면먼저 GPO 복사본을아카이브에서체크아웃해야합니다. 그러면다시체크인할때까지다른사용자가해당 GPO 를수정할수없으므로, 여러그룹정책관리자의동시변경으로인한충돌이발생하지않습니다. GPO 수정이끝나면 GPO 를검토하고프로덕션환경으로배포할수있도록아카이브로체크인합니다. 편집자또는 AGPM 관리자 ( 모든권한 ) 역할이있는사용자계정, GPO 를만든승인자의사용자계정또는고급그룹정책관리 (AGPM) 에필수권한이있는사용자계정이있어야이절차를완료할수있습니다. 이항목의 " " 에있는세부내용을검토하십시오. 오프라인으로 GPO 편집 GPO 를편집하려면아카이브에서 GPO 를체크아웃하여오프라인으로편집한다음, GPO 를검토및배포하고다른편집자가수정할수있도록아카이브로다시체크인합니다. 편집을위해아카이브에서 GPO 체크아웃 오프라인으로 GPO 편집 아카이브로 GPO 체크인 편집을위해아카이브에서 GPO 를체크아웃하려면다음을수행하십시오. 1. 그룹정책관리콘솔트리에서포리스트와도메인에서관리하려는 GPO 가속한컨트롤변경을클릭합니다. 2. 내용탭에서제어됨탭을클릭하여제어된 GPO 를표시합니다. 3. 편집할 GPO 를마우스오른쪽단추로클릭한다음체크아웃을클릭합니다. 4. GPO 가체크아웃된상태에서 GPO 기록에표시할설명을입력하고확인을클릭합니다. 5. 진행률창에전체작업이완료되었다고표시되면닫기를클릭합니다. 제어됨탭에서 GPO 의상태가체크아웃됨으로표시됩니다. 오프라인으로 GPO 를편집하려면다음을수행하십시오. 1. 제어됨탭에서편집할 GPO 를마우스오른쪽단추로클릭하고편집을클릭합니다. 2. I 그룹정책관리편집기창에서오프라인 GPO 복사본을변경합니다. 참고모든컴퓨터구성설정또는모든사용자구성설정을사용하지않도록설정하려면그룹정책관리편집기창에서 GPO 를마우스오른쪽단추로클릭하고속성을클릭합니다. 컴퓨터구성설정사용안함이나사용자구성설정사용안함중해당하는항목을클릭합니다. 3. GPO 수정이끝나면그룹정책관리편집기창을닫습니다. 아카이브로 GPO를체크인하려면다음을수행하십시오. 1. 제어됨탭에서다음을수행합니다. GPO를변경하지않은경우 GPO를마우스오른쪽단추로클릭하고체크아웃 33
취소를클릭한다음예를클릭하여확인합니다. GPO 를변경한경우에는 GPO 를마우스오른쪽단추로클릭하고체크인을클릭합니다. 2. GPO 감사내역에표시할설명을입력하고확인을클릭합니다. 3. 진행률창에전체진행이완료된것으로나타나면닫기를클릭합니다. 제어됨탭에서 GPO 의상태가체크인됨으로표시됩니다. GPO 를체크아웃및편집하려면기본적으로 GPO 를만들거나제어한승인자, 편집자또는 AGPM 관리자 ( 모든권한 ) 여야합니다. 구체적으로, GPO 에대한내용나열및설정편집권한이있어야합니다. 또한 GPO 를체크아웃한사람만 GPO 를편집할수있습니다. GPO 를체크인하려면기본적으로편집자, 승인자또는 AGPM 관리자 ( 모든권한 ) 여야합니다. 구체적으로, GPO 에대한내용나열및설정편집이나 GPO 배포권한이있어야합니다. 승인자나 AGPM 관리자또는 GPO 배포권한이있는기타그룹정책관리자가아닌경우에는 GPO 를체크아웃한편집자여야합니다. GPO 를편집할때는다른 GPO 의패키지그룹정책소프트웨어설치업그레이드가체크아웃된복사본이아닌배포된 GPO 를참조해야합니다. GPO 편집 GPO 검토 GPO 설정검토 GPO 링크검토 GPO, GPO 버전또는템플릿간의차이점확인 GPO 배포 GPO 배포요청 GPO 배포 현재버전의 GPO 에레이블지정 그룹정책개체 (GPO) 를해당기록에서쉽게식별할수있도록현재버전의 GPO 에레이블을지정할수있습니다. 레이블을사용하면문제가발생했을때롤백할수있는알려진정상버전을확인할수있습니다. 또한동일한레이블을여러 GPO 에동시에지정할수있으므로, 나중에롤백이필요한경우에동일한지점으로롤백해야하는관련 GPO 를표시할수있습니다. 이절차를완료하려면편집자, 승인자또는 AGPM 관리자 ( 모든권한 ) 역할이나고급그룹정책관리 (AGPM) 의필요한권한을가진사용자계정이있어야합니다. 이항목의 " " 에있는세부내용을검토하십시오. GPO 기록에서현재버전의 GPO 에레이블을지정하려면다음을수행하십시오. 1. 그룹정책관리콘솔트리에서포리스트와도메인에서관리하려는 GPO 가속한컨트롤변경을클릭합니다. 34
2. 내용탭에서제어됨탭을클릭하여제어된 GPO 를표시합니다. 3. 현재버전에레이블을지정할 GPO 를클릭합니다. 여러 GPO 를선택하려면 Shift 키를누르고연속하는 GPO 그룹에서마지막 GPO 를클릭하거나, Ctrl 키를누르고개별 GPO 를클릭합니다. 선택한 GPO 를마우스오른쪽단추로클릭한다음레이블을클릭합니다. 4. 선택한각 GPO 의기록에표시할레이블및설명을입력하고확인을클릭합니다. 5. 진행률창에전체진행이완료된것으로나타나면닫기를클릭합니다. 이절차를수행하려면기본적으로편집자, 승인자또는 AGPM 관리자 ( 모든권한 ) 여야합니다. 구체적으로, GPO 에대한내용나열및설정편집이나 GPO 배포권한이있어야합니다. GPO 편집 GPO 또는템플릿이름바꾸기 제어된그룹정책개체 (GPO) 또는템플릿의이름을바꿀수있습니다. 편집자또는 AGPM 관리자 ( 모든권한 ) 역할이있는사용자계정, GPO 를만든승인자의사용자계정또는고급그룹정책관리 (AGPM) 에필수권한이있는사용자계정이있어야이절차를완료할수있습니다. 이항목의 " " 에있는세부내용을검토하십시오. 1. 그룹정책관리콘솔트리에서포리스트와도메인에서관리하려는 GPO 가속한컨트롤변경을클릭합니다. 2. 내용탭에서제어됨또는템플릿탭을클릭하여이름을바꿀항목을표시합니다. 3. 이름을바꿀 GPO 또는템플릿을마우스오른쪽단추로클릭하고이름바꾸기를클릭합니다. 4. GPO 또는템플릿의새이름과설명을입력하고확인을클릭합니다. 5. 진행률창에전체진행이완료된것으로나타나면닫기를클릭합니다. 해당 GPO 또는템플릿이내용탭의새이름아래에표시됩니다. GPO 또는템플릿의이름을바꾸려면다음을수행하십시오. 기본적으로이절차를수행하려면 GPO 를만들거나제어한승인자, 편집자또는 AGPM 관리자 ( 모든권한 ) 여야합니다. 구체적으로, GPO 에대한내용나열및설정편집권한이있어야합니다. 배포된 GPO 의이름을바꾸면아카이브에서는해당이름이즉시변경되며, 프로덕션환경에서는 GPO 를다시배포하는경우에만해당이름이변경됩니다. GPO 를다시배포하거나프로덕션복사본을삭제하기전까지는이전이름이프로덕션환경에서계속사용되므로, 다른 GPO 에해당이름을사용할수없습니다. 마찬가지로, GPO 를배포하여 35
프로덕션복사본의이름을변경하거나프로덕션복사본을삭제하기전까지는아카이브의 GPO 이름을원래대로다시바꿀수없습니다. GPO 편집 테스트환경사용 그룹정책개체 (GPO) 가프로덕션환경에배포되도록요청하기전에테스트환경에서 GPO 를테스트해야합니다. 테스트포리스트의도메인에서 GPO 를개발하는경우 GPO 를파일로내보낸후프로덕션포리스트의도메인으로가져올수있습니다. 그런다음 GPO 를테스트컴퓨터및사용자가포함된 OU( 조직구성단위 ) 에연결하여테스트할수있습니다. 파일로 GPO 내보내기 파일에서 GPO 가져오기 별도의조직구성단위에서 GPO 테스트 참고도메인의프로덕션환경에서 GPO를가져올수도있습니다. 자세한내용은프로덕션에서 GPO 가져오기를참조하십시오. 파일로 GPO 내보내기 제어된그룹정책개체 (GPO) 를 CAB 파일로내보내다른포리스트의도메인에복사한후해당도메인의고급그룹정책관리 (AGPM) 으로 GPO 를가져올수있습니다. GPO 설정을새 GPO 또는기존 GPO 로가져오는방법에대한자세한내용은파일에서 GPO 가져오기를참조하십시오. 이절차를완료하려면편집자또는 AGPM 관리자 ( 모든권한 ) 역할이나고급그룹정책관리 (AGPM) 의필요한권한을가진사용자계정이있어야합니다. 이항목의 " " 에있는세부내용을검토하십시오. 파일로 GPO 를내보내려면다음을수행하십시오. 1. 그룹정책관리콘솔트리에서포리스트와도메인에서관리하려는 GPO 가속한컨트롤변경을클릭합니다. 2. 내용탭에서제어됨탭을클릭하여제어된 GPO 를표시합니다. 3. GPO 를마우스오른쪽단추로클릭한다음내보낼위치를클릭합니다. 4. GPO 를내보낼파일이름을입력한후내보내기를클릭합니다. 파일이없으면해당파일이생성됩니다. 파일이이미있으면해당파일이교체됩니다. 이절차를수행하려면기본적으로편집자또는 AGPM 관리자 ( 모든권한 ) 여야합니다. 구체적으로 GPO 에대한내용나열, 설정읽기및 GPO 내보내기권한이있어야합니다. 36
테스트환경사용 파일에서 GPO 가져오기 고급그룹정책관리 (AGPM) 에서그룹정책개체 (GPO) 를 CAB 파일로내보낸경우해당 GPO 의정책설정을다른포리스트의도메인에있는기존 GPO 로가져올수있습니다. 정책설정을기존 GPO 로가져오면해당 GPO 의모든정책설정이교체됩니다. GPO 설정을 CAB 파일로내보내는방법에대한자세한내용은파일로 GPO 내보내기를참조하십시오. 이절차를완료하려면편집자또는 AGPM 관리자 ( 모든권한 ) 역할이나고급그룹정책관리 (AGPM) 의필요한권한을가진사용자계정이있어야합니다. 이항목의 " " 에있는세부내용을검토하십시오. 1. 그룹정책관리콘솔트리에서정책설정을가져올도메인에서변경제어를클릭합니다. 2. 내용탭에서제어됨탭을클릭하여제어된 GPO 를표시합니다. 3. 정책설정을가져올대상 GPO 를체크아웃합니다. 4. 대상 GPO 를마우스오른쪽단추로클릭하고가져올위치를가리킨다음파일을클릭합니다. 5. 설정가져오기마법사의지침에따라 GPO 백업을선택하고, 해당정책설정을가져와대상 GPO 의정책설정을교체하고, 대상 GPO 의감사내역에표시할설명을입력합니다. 기본적으로마법사를마치면대상 GPO 가체크인됩니다. 이절차를수행하려면기본적으로편집자또는 AGPM 관리자 ( 모든권한 ) 여야합니다. 특히도메인에대해내용나열, 설정편집및 GPO 가져오기권한이있어야하며사용자가 GPO 를체크아웃해야합니다. 편집자가새 GPO 를만드는동안에는새 GPO 로정책설정을가져올수없지만새 GPO 만들기를요청한후새 GPO 가만들어지면새 GPO 로정책설정을가져올수있습니다. 기존 GPO 로정책설정을가져오려면다음을수행하십시오. 테스트환경사용 별도의조직구성단위에서 GPO 테스트 프로덕션환경으로배포하기전에동일한도메인에서테스트 OU( 조직구성단위 ) 를사용하여그룹정책개체 (GPO) 를테스트할경우테스트 OU 에액세스할수있는필수권한이있어야합니다. 테스트 OU 를사용하는것은선택사항입니다. 테스트 OU 를사용하려면다음을수행하십시오. 1. 편집을위해 GPO 를체크아웃한상태에서도그룹정책관리콘솔에서 GPO 를관리하는포리스트및도메인의그룹정책개체를클릭합니다. 2. 테스트할 GPO 의체크아웃된복사본을클릭합니다. 이름앞에 [AGPM] 이붙습니다. 37
해당 GPO 가목록에없으면작업을클릭한다음새로고침을클릭합니다. 이름을사전순으로정리하면 [AGPM] GPO 가보통목록맨위에표시됩니다. 3. GPO 를테스트 OU 에끌어서놓습니다. 4. 테스트 OU 에 GPO 링크를만들것인지묻는대화상자에서확인을클릭합니다. 테스트가완료된후 GPO 를체크인하면체크아웃된 GPO 복사본링크는자동으로삭제됩니다. 테스트환경사용 GPO 배포요청 그룹정책개체 (GPO) 를수정하고체크인한후에는프로덕션환경에서수정내용이적용되도록 GPO 를배포해야합니다. 이절차를완료하려면편집자역할이나고급그룹정책관리 (AGPM) 의필수권한이있는사용자계정이있어야합니다. 이항목의 " " 에있는세부내용을검토하십시오. 1. 그룹정책관리콘솔트리에서포리스트와도메인에서관리하려는 GPO 가속한컨트롤변경을클릭합니다. 2. 내용탭에서제어됨탭을클릭하여제어된 GPO 를표시합니다. 3. 배포할 GPO 를마우스오른쪽단추로클릭한다음배포를클릭합니다. 4. 승인자나 AGPM 관리자이거나 GPO 를배포할수있는특별권한이있는경우가아니면배포요청을제출해야합니다. 요청복사본을받으려면자신의전자메일주소를참조필드에입력합니다. GPO 의기록에표시할설명을입력하고제출을클릭합니다. 5. 진행률창에전체진행이완료된것으로나타나면닫기를클릭합니다. GPO 는보류중탭의 GPO 목록에표시됩니다. 승인자가요청을승인하면 GPO 는보류중탭에서제어됨탭으로이동하고배포됩니다. 기본적으로이절차를수행하려면편집자여야합니다. 구체적으로, GPO 에대한내용나열및설정편집권한이있어야합니다. 요청을승인전에취소하려면보류중탭을클릭합니다. GPO 를마우스오른쪽단추로클릭한다음취소를클릭합니다. 그러면 GPO 가제어됨탭으로돌아갑니다. 도메인의프로덕션환경으로 GPO 를배포하도록요청하려면다음을수행하십시오. 편집자작업수행 38
템플릿만들기및기본템플릿설정 템플릿을만들면특정버전의그룹정책개체 (GPO) 에대한모든설정을저장하여새 GPO 를만들때시작지점으로사용할수있습니다. 편집자는사용가능한템플릿중새 GPO 를만드는모든그룹정책관리자가기본적으로사용할템플릿을지정할수도있습니다. 템플릿은다음과같은경우에사용할수있습니다. 조직에서전체도메인을다시사용할수있는보안기준선을만들경우 템플릿을만들어조직의각부서에대해사용자지정할수있는폴더리디렉션와오프라인파일을관리할경우 조직에서다른지역의무선네트워크연결을구성하기위해사용할수있는무선네트워킹템플릿을만들경우 로컬네트워크관리자의규정준수규칙을만들경우 기존 GPO 의읽기전용스냅숏을만들경우 참고템플릿은편집할수없는고정된버전의 GPO이지만편집가능한새 GPO를만들때시작지점으로사용할수있습니다. 템플릿의이름을바꾸거나템플릿을삭제하는작업은해당템플릿으로만든 GPO에영향을미치지않습니다. 템플릿만들기 기본템플릿설정 템플릿만들기 템플릿을만들면특정버전의그룹정책개체 (GPO) 에대한모든설정을저장하여새 GPO 를만들때시작지점으로사용할수있습니다. 참고템플릿은편집할수없는고정된버전의 GPO로, 편집가능한새 GPO를만들때시작지점으로사용할수있습니다. 이절차를완료하려면편집자또는 AGPM 관리자 ( 모든권한 ) 역할이나고급그룹정책관리 (AGPM) 의필요한권한을가진사용자계정이있어야합니다. 이항목의 " " 에있는세부내용을검토하십시오. 기존 GPO 를기준으로템플릿을만들려면다음을수행하십시오. 1. 그룹정책관리콘솔트리에서포리스트와도메인에서관리하려는 GPO 가속한컨트롤변경을클릭합니다. 2. 세부정보창의내용탭에서제어됨또는제어되지않음탭을클릭하여사용가능한 GPO 를표시합니다. 3. 템플릿을만드는데사용할 GPO 를마우스오른쪽단추로클릭하고템플릿으로저장을클릭합니다. 4. 템플릿이름과설명을입력하고확인을클릭합니다. 39
5. 진행률창에전체진행이완료된것으로나타나면닫기를클릭합니다. 새템플릿이템플릿탭에표시됩니다. 기본적으로이절차를수행하려면편집자또는 AGPM 관리자 ( 모든권한 ) 여야합니다. 구체적으로, 도메인에대한내용나열및템플릿만들기권한이있어야합니다. 템플릿의이름을바꾸거나템플릿을삭제하는작업은해당템플릿으로만든 GPO 에영향을미치지않습니다. 템플릿은변경할수없으므로기록이없습니다. 템플릿만들기및기본템플릿설정 제어된새 GPO 만들기요청 기본템플릿설정 편집자는사용가능한템플릿중새그룹정책개체 (GPO) 를만드는모든그룹정책관리자에게기본템플릿으로사용하도록제안할템플릿을지정할수있습니다. 참고템플릿은편집할수없는고정된버전의 GPO로, 편집가능한새 GPO를만들때시작지점으로사용할수있습니다. 이절차를완료하려면편집자또는 AGPM 관리자 ( 모든권한 ) 역할이나고급그룹정책관리 (AGPM) 의필요한권한을가진사용자계정이있어야합니다. 이항목의 " " 에있는세부내용을검토하십시오. 1. 그룹정책관리콘솔트리에서포리스트와도메인에서관리하려는 GPO 가속한컨트롤변경을클릭합니다. 2. 세부정보창의내용탭에서템플릿탭을클릭하여사용가능한템플릿을표시합니다. 3. 기본템플릿으로설정할템플릿을마우스오른쪽단추로클릭하고기본값으로설정을클릭합니다. 4. 예를클릭하여확인합니다. 5. 진행률창에전체진행이완료된것으로나타나면닫기를클릭합니다. 기본템플릿에는파란색아이콘이표시되며, 해당상태는템플릿탭에서템플릿 ( 기본값 ) 으로나타납니다. 기본적으로이절차를수행하려면편집자또는 AGPM 관리자 ( 모든권한 ) 여야합니다. 구체적으로, 도메인에대한내용나열및템플릿만들기권한이있어야합니다. 새 GPO 를만들때사용할기본템플릿을설정하려면다음을수행하십시오. 기본값으로설정한템플릿은그룹정책관리자가새 GPO 를만들때제어된새 GPO 대화상자에서기본적으로선택됩니다. 그러나관리자는아무런설정이없는 < 빈 GPO> 를포함하여다른 GPO 템플릿을선택할수있습니다. 40
템플릿의이름을바꾸거나템플릿을삭제하는작업은해당템플릿으로만든 GPO 에영향을미치지않습니다. 템플릿은변경할수없으므로기록이없습니다. 템플릿만들기및기본템플릿설정 제어된새 GPO 만들기요청 GPO 삭제또는복원 고급그룹정책관리 (AGPM) 를사용하여아카이브에서그룹정책개체 (GPO) 를삭제하거나삭제된 GPO 를휴지통에서복원하려면 AGPM 을사용하여 GPO 를제어해야합니다. 편집자에게는 GPO 삭제또는복원을완료할수있는권한이없을수도있습니다. 그러나프로세스를시작하여승인자에게요청을제출하는데필요한권한은있습니다. GPO 삭제요청 삭제된 GPO 의복원요청 GPO 삭제요청 승인자나 AGPM 관리자 ( 모든권한 ) 가아닌경우에는그룹정책개체 (GPO) 삭제를요청해야합니다. 이절차를완료하려면편집자역할이나고급그룹정책관리 (AGPM) 의필수권한이있는사용자계정이있어야합니다. 이항목의 " " 에있는세부내용을검토하십시오. 제어된 GPO 삭제를요청하려면다음을수행하십시오. 1. 그룹정책관리콘솔트리에서포리스트와도메인에서관리하려는 GPO 가속한컨트롤변경을클릭합니다. 2. 내용탭에서제어됨탭을클릭하여제어된 GPO 를표시합니다. 3. 삭제할 GPO 를마우스오른쪽단추로클릭한다음삭제를클릭합니다. GPO 를아카이브에서삭제하되배포된버전의 GPO 는프로덕션환경에그대로유지하려면아카이브에서만 GPO 삭제를클릭합니다. GPO 를도메인의아카이브와프로덕션환경에서모두삭제하려면아카이브및프로덕션에서 GPO 삭제를클릭합니다. 4. GPO 를삭제할수있는특별권한이없으면배포된 GPO 의삭제요청을제출해야합니다. 요청복사본을받으려면자신의전자메일주소를참조필드에입력합니다. GPO 감사내역에표시할설명을입력하고제출을클릭합니다. 5. 진행률창에전체진행이완료된것으로나타나면닫기를클릭합니다. GPO 는보류중탭의 GPO 목록에표시됩니다. 승인자가요청을승인하면 GPO 는보류중탭에서휴지통탭으로이동합니다. 휴지통탭에서 GPO 를복원하거나소멸시킬수있습니다. 41
기본적으로이절차를수행하려면편집자여야합니다. 구체적으로, GPO 에대한내용나열및설정편집권한이있어야합니다. 요청을승인전에취소하려면보류중탭을클릭합니다. 그런다음 GPO 를마우스오른쪽단추로클릭하고취소를클릭합니다. 그러면 GPO 가제어됨탭으로돌아갑니다. 제어되지않은 GPO 를먼저제어하지않고프로덕션환경에서삭제하려면그룹정책관리콘솔에서포리스트, 도메인, <MyDomain> 을차례로클릭하고그룹정책개체를클릭합니다. 제어되지않은 GPO 를마우스오른쪽단추로클릭한다음삭제를클릭합니다. GPO 삭제또는복원 삭제된 GPO 의복원요청 승인자나 AGPM 관리자 ( 모든권한 ) 가아닌경우에는삭제된그룹정책개체 (GPO) 를휴지통에서복원하여아카이브로되돌리도록요청해야합니다. 이절차를완료하려면편집자역할이나고급그룹정책관리 (AGPM) 의필수권한이있는사용자계정이있어야합니다. 이항목의 " " 에있는세부내용을검토하십시오. 1. 그룹정책관리콘솔트리에서포리스트와도메인에서관리하려는 GPO 가속한컨트롤변경을클릭합니다. 2. 내용탭에서휴지통탭을클릭하여삭제된 GPO 를표시합니다. 3. 복원할 GPO 를마우스오른쪽단추로클릭한다음복원을클릭합니다. 4. GPO 를복원할수있는특별권한이없으면삭제된 GPO 의복원요청을제출해야합니다. 요청복사본을받으려면자신의전자메일주소를참조필드에입력합니다. GPO 감사내역에표시할설명을입력하고제출을클릭합니다. 5. 진행률창에전체진행이완료된것으로나타나면닫기를클릭합니다. GPO 가휴지통탭에서제거되고제어됨탭에표시됩니다. 참고프로덕션환경에서삭제한 GPO 는아카이브로복원해도프로덕션환경으로자동으로다시배포되지않습니다. 해당 GPO 를프로덕션환경으로되돌리려면 GPO 를배포합니다. 자세한내용은 GPO 배포요청을참조하십시오. 기본적으로이절차를수행하려면편집자여야합니다. 구체적으로, GPO 에대한내용나열및설정편집권한이있어야합니다. 요청을승인전에취소하려면보류중탭을클릭합니다. 그런다음 GPO 를마우스오른쪽단추로클릭하고취소를클릭합니다. 그러면 GPO 가휴지통탭으로돌아갑니다. 삭제된 GPO 의복원을요청하려면다음을수행하십시오. GPO 삭제또는복원 42
승인자작업수행 승인자는그룹정책개체 (GPO) 를작성, 배포및삭제하고일반적으로편집자가제출하는 GPO 작성, 배포또는삭제요청을승인하거나거부하도록 AGPM 관리자 ( 모든권한 ) 가권한을부여한사람입니다. 중요 GPO의중앙아카이브에연결되어있는지확인하십시오. 자세한내용은 AGPM 서버연결구성을참조하십시오. 보류중인작업승인또는거부 GPO 만들기또는제어 GPO 체크인 GPO 배포 이전버전의 GPO 로롤백 GPO 삭제, 복원또는소멸 참고 GPO를승인하기전에승인자는 GPO에포함된정책설정을검토해야합니다. 승인자역할에는검토자역할의권한도포함되므로승인자는정책설정검토및 GPO 비교작업도수행할수있습니다. 자세한내용은검토자작업수행을참조하십시오. 기본적으로승인자역할에는다음과같은권한이제공됩니다. 내용나열 설정읽기 GPO 만들기 GPO 배포 GPO 삭제 또한승인자는자신이만들었거나제어한 GPO 에대한모든권한이있습니다. 보류중인작업승인또는거부 승인자의핵심적인역할은그룹정책개체 (GPO) 만들기, 배포및삭제작업을완료할수있는권한이없는편집자나검토자의해당작업요청을평가하여승인하거나거부하는것입니다. 승인자는새버전의 GPO 를평가할때보고서를참조할수있습니다. 이절차를완료하려면승인자또는 AGPM 관리자 ( 모든권한 ) 역할이나고급그룹정책관리 (AGPM) 의필요한권한을가진사용자계정이있어야합니다. 이항목의 " " 에있는세부내용을검토하십시오. 보류중인요청을승인하거나거부하려면다음을수행하십시오. 43
1. 그룹정책관리콘솔트리에서포리스트와도메인에서관리하려는 GPO 가속한컨트롤변경을클릭합니다. 2. 내용탭에서보류중탭을클릭하여보류중인 GPO 를표시합니다. 3. 보류중인 GPO 를마우스오른쪽단추로클릭하고승인또는거부를클릭합니다. 4. 배포를승인하는경우보류중인작업승인대화상자에서고급을클릭하여 GPO 링크를검토합니다. 트리의항목위에마우스포인터를놓으면세부정보가표시됩니다. 기본적으로모든 GPO 링크가복원됩니다. 링크가복원되지않도록하려면해당링크의확인란선택을취소합니다. 모든링크가복원되지않도록하려면 GPO 배포대화상자에서링크복원확인란선택을취소합니다. 5. 예또는확인을클릭하여보류중인작업의승인또는거부를확인합니다. 요청을승인한경우에는 GPO 가수행한작업에해당하는탭으로이동합니다. 참고승인자의전자메일주소를도메인위임탭의받는사람전자메일주소필드에포함한경우, 편집자또는검토자가요청을제출하면승인자는 AGPM 별칭으로부터전자메일을받게됩니다. 이절차를수행하려면기본적으로승인자또는 AGPM 관리자 ( 모든권한 ) 여야합니다. 구체적으로, 승인할요청을수행하는데필요한권한이있어야합니다. 승인자작업수행 GPO 만들기또는제어 고급그룹정책관리 (AGPM) 를사용하여그룹정책개체 (GPO) 에대한변경제어를제공하려면먼저 AGPM 을사용하여 GPO 를제어해야합니다. 변경제어폴더를통해만든새 GPO 는자동으로제어됩니다. 제어되지않은 GPO 제어 제어된새 GPO 만들기 제어된 GPO 의관리위임 프로덕션에서 GPO 가져오기 제어되지않은 GPO 제어 그룹정책개체 (GPO) 에대한변경제어를제공하려면먼저 GPO 를제어해야합니다. 이절차를완료하려면승인자또는 AGPM 관리자 ( 모든권한 ) 역할이나고급그룹정책관리 (AGPM) 의필요한권한을가진사용자계정이있어야합니다. 이항목의 " " 에있는세부내용을검토하십시오. 44
1. 그룹정책관리콘솔트리에서포리스트와도메인에서관리하려는 GPO 가속한컨트롤변경을클릭합니다. 2. 세부정보창의내용탭에서제어되지않음탭을클릭하여제어되지않은 GPO 를표시합니다. 3. AGPM 으로제어할 GPO 를마우스오른쪽단추로클릭한다음제어를클릭합니다. 4. GPO 기록에표시할설명을입력하고확인을클릭합니다. 5. 진행률창에전체진행이완료된것으로나타나면닫기를클릭합니다. GPO 가제어되지않음탭의목록에서제거되며제어됨탭에추가됩니다. 이절차를수행하려면기본적으로승인자또는 AGPM 관리자 ( 모든권한 ) 여야합니다. 구체적으로, 도메인에대한내용나열및 GPO 만들기권한이있어야합니다. 제어되지않은 GPO 를제어하려면다음을수행하십시오. GPO 만들기또는제어 제어된새 GPO 만들기 변경제어폴더를통해만든새그룹정책개체 (GPO) 는자동으로제어되므로관리가가능합니다. 이절차를완료하려면승인자또는 AGPM 관리자 ( 모든권한 ) 역할이나고급그룹정책관리 (AGPM) 의필요한권한을가진사용자계정이있어야합니다. 이항목의 " " 에있는세부내용을검토하십시오. AGPM 을통해변경제어를관리하는새 GPO 를만들려면다음을수행하십시오. 1. 그룹정책관리콘솔트리에서포리스트와도메인에서관리하려는 GPO 가속한컨트롤변경을클릭합니다. 2. 변경제어를마우스오른쪽단추로클릭하고제어된새 GPO 를클릭합니다. 3. 제어된새 GPO 대화상자에서다음을수행합니다. a. 새 GPO 의이름을입력합니다. b. 옵션 : 새 GPO 의기록에표시할 GPO 설명을입력합니다. c. 새 GPO 를도메인의프로덕션환경으로즉시배포하려면라이브로만들기를클릭합니다. 오프라인으로새 GPO 를만들고즉시배포하지않으려면오프라인으로만들기를클릭합니다. d. 새 GPO 의시작지점으로사용할 GPO 템플릿을선택한다음확인을클릭합니다. 4. 진행률창에전체진행이완료된것으로나타나면닫기를클릭합니다. 새 GPO 가제어됨탭의 GPO 목록에표시됩니다. 45
이절차를수행하려면기본적으로승인자또는 AGPM 관리자 ( 모든권한 ) 여야합니다. 구체적으로, 도메인에대한내용나열및 GPO 만들기권한이있어야합니다. GPO 만들기또는제어 제어된 GPO 의관리위임 승인자는자신이만든제어된그룹정책개체 (GPO) 의관리를위임할수있습니다. AGPM 관리자 ( 모든권한 ) 와마찬가지로승인자도해당 GPO 에대한액세스권한을위임하여선택된편집자가 GPO 를편집하고, 검토자가검토하고, 다른승인자가승인하도록할수있습니다. 기본적으로승인자는다른그룹정책관리자가만든 GPO 에대한액세스권한은위임할수없습니다. AGPM 관리자 ( 모든권한 ) 역할이있는사용자계정, GPO 를만든승인자의사용자계정또는고급그룹정책관리 (AGPM) 의필수권한이있는사용자계정이있어야이절차를완료할수있습니다. 이항목의 " " 에있는세부내용을검토하십시오. 제어된 GPO 관리를위임하려면다음을수행하십시오. 1. 그룹정책관리콘솔트리에서포리스트와도메인에서관리하려는 GPO 가속한컨트롤변경을클릭합니다. 2. 세부정보창의내용탭에서제어됨탭을클릭하여제어된 GPO 를표시한다음위임할 GPO 를클릭합니다. a. 사용자또는그룹에대한액세스권한을추가하려면추가단추를클릭하고사용자나그룹을선택한다음확인을클릭합니다. 그룹또는사용자추가대화상자에서역할을선택하고확인을클릭합니다. b. 사용자또는그룹에대한액세스권한을제거하려면사용자나그룹을선택하고제거단추를클릭합니다. 참고사용자또는그룹이전체도메인액세스권한을상속하는경우에는제거단추를사용할수없습니다. 도메인전체액세스권한은도메인위임탭에서수정할수있습니다. c. 사용자또는그룹에위임된역할및권한을수정하려면고급단추를클릭합니다. 권한대화상자에서사용자또는그룹을선택하고해당사용자또는그룹에할당할각역할의확인란을선택한다음확인을클릭합니다. 참고 편집자및승인자에게는검토자권한이있습니다. 기본적으로이절차를수행하려면 GPO 를만들거나제어한승인자이거나 AGPM 관리자 ( 모든권한 ) 여야합니다. 구체적으로도메인에대한내용나열권한과 GPO 에대한보안수정권한이있어야합니다. 46
AGPM 을사용하는그룹정책관리자에게읽기권한을위임하려면내용나열권한과설정읽기권한을부여해야합니다. 이렇게하면해당관리자가 AGPM 의내용탭에서 GPO 를볼수있습니다. 다른권한은명시적으로위임해야합니다. 편집자는배포된 GPO 복사본에대한읽기권한이있어야그룹정책소프트웨어설치를완벽하게활용할수있습니다. GPO 만들기또는제어 프로덕션에서 GPO 가져오기 고급그룹정책관리 (AGPM) 외부에서제어된그룹정책개체 (GPO) 를변경하는경우 GPO 의복사본을도메인의프로덕션환경에서가져와아카이브에저장하면아카이브와프로덕션환경을일관된상태로유지할수있습니다. 제어되지않은 GPO 를가져오려는경우에는먼저 GPO 를제어하십시오. 제어되지않은 GPO 제어를참조하십시오. 이절차를완료하려면편집자, 승인자또는 AGPM 관리자 ( 모든권한 ) 역할이나 AGPM 의필요한권한을가진사용자계정이있어야합니다. 이항목의 " " 에있는세부내용을검토하십시오. 1. 그룹정책관리콘솔트리에서포리스트와도메인에서관리하려는 GPO 가속한컨트롤변경을클릭합니다. 2. 내용탭에서제어됨탭을클릭하여제어된 GPO 를표시합니다. 3. 마우스오른쪽단추로 GPO 를클릭한다음프로덕션에서가져오기를클릭합니다. 4. GPO 의감사내역에대한설명을입력하고확인을클릭합니다. 기본적으로이절차를수행하려면편집자, 승인자또는 AGPM 관리자 ( 모든권한 ) 여야합니다. 구체적으로, GPO 에대한내용나열및설정편집, GPO 배포또는 GPO 삭제권한이있어야합니다. 도메인의프로덕션환경에서 GPO 를가져오려면다음을수행하십시오. GPO 만들기또는제어 GPO 체크인 일반적으로편집자는수정작업이완료되면자신이편집한그룹정책개체 (GPO) 를체크인해야합니다. 자세한내용은오프라인으로 GPO 편집을참조하십시오. 그러나편집자가없는경우에는승인자가 GPO 를체크인할수도있습니다. 이절차를완료하려면편집자, 승인자또는 AGPM 관리자 ( 모든권한 ) 역할이나고급그룹정책관리 (AGPM) 의필요한권한을가진사용자계정이있어야합니다. 이항목의 " " 에있는세부내용을검토하십시오. 47
1. 그룹정책관리콘솔트리에서포리스트와도메인에서관리하려는 GPO 가속한컨트롤변경을클릭합니다. 2. 내용탭에서제어됨탭을클릭하여제어된 GPO 를표시합니다. 편집자가적용한변경내용을취소하려면 GPO 를마우스오른쪽단추로클릭하고체크아웃취소를클릭한다음예를클릭하여확인합니다. 편집자가적용한변경내용을유지하려면 GPO 를마우스오른쪽단추로클릭하고체크인을클릭합니다. 3. GPO 감사내역에표시할설명을입력하고확인을클릭합니다. 4. 진행률창에전체진행이완료된것으로나타나면닫기를클릭합니다. 제어됨탭에서 GPO 의상태가체크인됨으로표시됩니다. 이절차를수행하려면기본적으로편집자, 승인자또는 AGPM 관리자 ( 모든권한 ) 여야합니다. 구체적으로, GPO 에대한내용나열및설정편집이나 GPO 배포권한이있어야합니다. 승인자나 AGPM 관리자또는 GPO 배포권한이있는기타그룹정책관리자가아닌경우에는 GPO 를체크아웃한편집자여야합니다. 편집자가체크아웃한 GPO 를체크인하려면다음을수행하십시오. 승인자작업수행 오프라인으로 GPO 편집 GPO 배포 승인자는새그룹정책개체 (GPO) 또는편집된 GPO 를프로덕션환경으로배포할수있습니다. 이전버전의 GPO 를다시배포하는방법에대한자세한내용은이전버전의 GPO 로롤백을참조하십시오. 이절차를완료하려면승인자또는 AGPM 관리자 ( 모든권한 ) 역할이나고급그룹정책관리 (AGPM) 의필요한권한을가진사용자계정이있어야합니다. 이항목의 " " 에있는세부내용을검토하십시오. 프로덕션환경으로 GPO 를배포하려면다음을수행하십시오. 1. 그룹정책관리콘솔트리에서포리스트와도메인에서관리하려는 GPO 가속한컨트롤변경을클릭합니다. 2. 내용탭에서제어됨탭을클릭하여제어된 GPO 를표시합니다. 3. 배포할 GPO 를마우스오른쪽단추로클릭한다음배포를클릭합니다. 4. GPO 링크를검토하려면고급을클릭합니다. 트리의항목위에마우스포인터를놓으면세부정보가표시됩니다. 기본적으로모든 GPO 링크가복원됩니다. 48
링크가복원되지않도록하려면해당링크의확인란선택을취소합니다. 모든링크가복원되지않도록하려면 GPO 배포대화상자에서링크복원확인란선택을취소합니다. 5. 예를클릭합니다. 진행률창에전체진행이완료된것으로나타나면닫기를클릭합니다. 참고최신버전의 GPO 가배포되었는지확인하려면제어됨탭에서 GPO 를두번클릭하여해당기록을표시합니다. GPO 의기록에서상태열에는 GPO 배포여부가표시됩니다. 이절차를수행하려면기본적으로승인자또는 AGPM 관리자 ( 모든권한 ) 여야합니다. 구체적으로, GPO 에대한내용나열및 GPO 배포권한이있어야합니다. 승인자작업수행 이전버전의 GPO 로롤백 승인자는 GPO 기록에서이전버전의 GPO 를다시배포하여그룹정책개체 (GPO) 에대한변경내용을롤백할수있습니다. 이전버전의 GPO 를배포하면현재프로덕션의 GPO 버전을덮어씁니다. 이절차를완료하려면승인자또는 AGPM 관리자 ( 모든권한 ) 역할이나고급그룹정책관리 (AGPM) 의필요한권한을가진사용자계정이있어야합니다. 이항목의 " " 에있는세부내용을검토하십시오. 이전버전의 GPO 를도메인의프로덕션환경으로배포하려면다음을수행하십시오. 1. 그룹정책관리콘솔트리에서포리스트와도메인에서관리하려는 GPO 가속한컨트롤변경을클릭합니다. 2. 내용탭에서제어됨탭을클릭하여제어된 GPO 를표시합니다. 3. 배포할 GPO 를두번클릭하여해당기록을표시합니다. 4. 배포할버전을두번클릭하고배포를클릭한다음예를클릭합니다. 5. 진행률창에전체진행이완료된것으로나타나면닫기를클릭합니다. 기록창에서닫기를클릭합니다. 참고다시배포된버전이원하는버전인지확인하려면두버전의차이점보고서를살펴보십시오. GPO 의기록창에서두버전을강조표시한다음마우스오른쪽단추를클릭하고차이점을선택한후 HTML 보고서또는 XML 보고서를선택합니다. 이절차를수행하려면기본적으로승인자또는 AGPM 관리자 ( 모든권한 ) 여야합니다. 구체적으로, GPO 에대한내용나열및 GPO 배포권한이있어야합니다. 49
승인자작업수행 GPO 삭제, 복원또는소멸 승인자는그룹정책개체 (GPO) 를삭제하여휴지통으로이동하거나, 휴지통에서 GPO 를복원하여다시아카이브로되돌리거나, GPO 를소멸하여더이상복원할수없도록영구적으로삭제할수있습니다. 제어된 GPO 삭제 삭제된 GPO 복원 GPO 소멸 제어된 GPO 삭제 승인자는제어된그룹정책개체 (GPO) 를삭제하여휴지통으로이동할수있습니다. 이절차를완료하려면승인자또는 AGPM 관리자 ( 모든권한 ) 역할이나고급그룹정책관리 (AGPM) 의필요한권한을가진사용자계정이있어야합니다. 이항목의 " " 에있는세부내용을검토하십시오. 1. 그룹정책관리콘솔트리에서포리스트와도메인에서관리하려는 GPO 가속한컨트롤변경을클릭합니다. 2. 내용탭에서제어됨탭을클릭하여제어된 GPO 를표시합니다. 3. 삭제할 GPO 를마우스오른쪽단추로클릭한다음삭제를클릭합니다. GPO 를아카이브에서삭제하되배포된버전의 GPO 는프로덕션환경에그대로유지하려면아카이브에서만 GPO 삭제를클릭합니다. GPO 를도메인의아카이브와프로덕션환경에서모두삭제하려면아카이브및프로덕션에서 GPO 삭제를클릭합니다. 4. GPO 감사내역에표시할설명을입력하고확인을클릭합니다. 5. 진행률창에전체진행이완료된것으로나타나면닫기를클릭합니다. GPO 가제어됨탭에서제거되고휴지통탭에표시됩니다. 휴지통탭에서 GPO 를복원하거나소멸시킬수있습니다. GPO 를아카이브에서만삭제한경우에는제어되지않음탭에도 GPO 가표시됩니다. 이절차를수행하려면기본적으로승인자또는 AGPM 관리자 ( 모든권한 ) 여야합니다. 구체적으로, GPO 에대한내용나열및 GPO 삭제권한이있어야합니다. 제어된 GPO 를삭제하려면다음을수행하십시오. 제어되지않은 GPO 를먼저제어하지않고프로덕션환경에서삭제하려면그룹정책관리콘솔에서포리스트, 도메인, <MyDomain> 을차례로클릭하고그룹정책개체를클릭합니다. 제어되지않은 GPO 를마우스오른쪽단추로클릭한다음삭제를클릭합니다. 50
GPO 삭제, 복원또는소멸 삭제된 GPO 복원 승인자는삭제된그룹정책개체 (GPO) 를휴지통에서복원하여아카이브로되돌릴수있습니다. 이절차를완료하려면승인자또는 AGPM 관리자 ( 모든권한 ) 역할이나고급그룹정책관리 (AGPM) 의필요한권한을가진사용자계정이있어야합니다. 이항목의 " " 에있는세부내용을검토하십시오. 1. 그룹정책관리콘솔트리에서포리스트와도메인에서관리하려는 GPO 가속한컨트롤변경을클릭합니다. 2. 내용탭에서휴지통탭을클릭하여삭제된 GPO 를표시합니다. 3. 복원할 GPO 를마우스오른쪽단추로클릭한다음복원을클릭합니다. 4. GPO 기록에표시할설명을입력하고확인을클릭합니다. 5. 진행률창에전체진행이완료된것으로나타나면닫기를클릭합니다. GPO 가휴지통탭에서제거되고제어됨탭에표시됩니다. 참고프로덕션환경에서삭제한 GPO 는아카이브로복원해도프로덕션환경으로자동으로다시배포되지않습니다. 해당 GPO 를프로덕션환경으로되돌리려면 GPO 를배포하십시오. 자세한내용은 GPO 배포를참조하십시오. 이절차를수행하려면기본적으로승인자또는 AGPM 관리자 ( 모든권한 ) 여야합니다. 구체적으로, GPO 에대한내용나열및 GPO 배포나 GPO 삭제권한이있어야합니다. 삭제된 GPO 를복원하려면다음을수행하십시오. GPO 삭제, 복원또는소멸 GPO 소멸 승인자는그룹정책개체 (GPO) 를소멸시켜휴지통에서제거하고더이상복원할수없도록영구적으로삭제할수있습니다. 이절차를완료하려면승인자또는 AGPM 관리자 ( 모든권한 ) 역할이나고급그룹정책관리 (AGPM) 의필요한권한을가진사용자계정이있어야합니다. 이항목의 " " 에있는세부내용을검토하십시오. GPO 를더이상복원할수없도록영구적으로삭제하려면다음을수행하십시오. 1. 그룹정책관리콘솔트리에서포리스트와도메인에서관리하려는 GPO 가속한컨트롤변경을클릭합니다. 2. 내용탭에서휴지통탭을클릭하여삭제된 GPO 를표시합니다. 51
3. 소멸시킬 GPO 를마우스오른쪽단추로클릭한다음소멸을클릭합니다. 4. 예를클릭하여선택한 GPO 와모든백업을아카이브에서영구적으로삭제할것을확인합니다. 5. 진행률창에전체진행이완료된것으로나타나면닫기를클릭합니다. GPO 가휴지통탭에서제거되며영구적으로삭제됩니다. 이절차를수행하려면기본적으로승인자또는 AGPM 관리자 ( 모든권한 ) 여야합니다. 구체적으로, GPO 에대한내용나열및 GPO 삭제권한이있어야합니다. GPO 삭제, 복원또는소멸 검토자작업수행 검토자는 AGPM 관리자 ( 모든권한 ) 가그룹정책개체 (GPO) 를검토또는감사하도록권한을부여한사람입니다. 검토자역할만있는개인은 GPO 를수정할수없지만, 다른모든역할에는검토자역할이포함됩니다. AGPM 서버연결구성 GPO 설정검토 GPO 링크검토 GPO, GPO 버전또는템플릿간의차이점확인 기본적으로검토자역할에는다음과같은권한이제공됩니다. 내용나열 설정읽기 AGPM 서버연결구성 올바른중앙아카이브에연결되어있는지확인하려면 AGPM 서버연결의구성을검토하십시오. AGPM 관리자 ( 모든권한 ) 가 AGPM 서버연결을구성하지않을경우에는수동으로연결을구성해야합니다. AGPM 서버를선택하려면다음을수행하십시오. 1. 그룹정책관리콘솔트리에서포리스트와도메인에서관리하려는 GPO 가속한컨트롤변경을클릭합니다. 2. 세부정보창에서 AGPM 서버탭을클릭합니다. AGPM 서버탭의옵션을사용할수없는경우에는 AGPM 관리자가해당옵션을중앙에서구성한것입니다. AGPM 서버탭의옵션을사용할수있는경우 AGPM 서버의정규화된컴퓨터 52
이름 ( 예 : server.contoso.com) 과 AGPM 서비스가수신대기하는포트 ( 기본값 : 포트 4600) 를입력합니다. 적용을클릭하고예를클릭하여확인합니다. 선택한 AGPM 서버에따라내용탭에표시되는 GPO 와도메인위임탭설정이적용되는위치가결정됩니다. 관리템플릿을통해중앙에서관리하지않는경우에는각그룹정책관리자가도메인의 AGPM 서버를가리키도록이설정을구성해야합니다. 검토자작업수행 GPO 설정검토 모든버전의그룹정책개체 (GPO) 설정을검토하기위해 HTML 기반보고서및 XML 기반보고서를생성할수있습니다. 이절차를완료하려면검토자, 편집자, 승인자또는 AGPM 관리자 ( 모든권한 ) 역할이나고급그룹정책관리 (AGPM) 의필요한권한을가진사용자계정이있어야합니다. 이항목의 " " 에있는세부내용을검토하십시오. 1. 그룹정책관리콘솔트리에서포리스트와도메인에서관리하려는 GPO 가속한컨트롤변경을클릭합니다. 2. 세부정보창의내용탭에서 GPO 를표시하는탭을클릭합니다. 3. GPO 를두번클릭하여해당기록을표시합니다. 4. 설정을검토할 GPO 버전을마우스오른쪽단추로클릭하고설정을클릭한다음 HTML 보고서또는 XML 보고서를클릭하여 GPO 설정요약을표시합니다. 이절차를수행하려면기본적으로검토자, 승인자또는 AGPM 관리자 ( 모든권한 ) 여야합니다. 특히 GPO 에대한내용보기및설정읽기권한이필요합니다. 또한 GPO 목록을표시하려면해당도메인에대한내용보기권한이있어야합니다. 모든버전의 GPO 설정을검토하려면다음을수행하십시오. 검토자작업수행 GPO 링크검토 선택한하나이상의그룹정책개체 (GPO) 가조직구성단위에연결되는위치를보여주는다이어그램을표시할수있습니다. GPO 링크다이어그램은 GPO 를제어하거나가져오거나체크인할때마다업데이트됩니다. 이절차를완료하려면검토자, 편집자, 승인자또는 AGPM 관리자 ( 모든권한 ) 역할이나고급그룹정책관리 (AGPM) 의필요한권한을가진사용자계정이있어야합니다. 이항목의 " " 에있는세부내용을검토하십시오. 53