Microsoft Advanced Group Policy Management 4.0 용단계별가이드 Microsoft Corporation 발행일 : 2009 년 9 월 요약 이단계별가이드는 Microsoft 고급그룹정책관리 (AGPM) 를설치하고 GPMC( 그룹정책관리콘솔 ) 및 AGPM 을사용하여그룹정책관리를수행하는샘플시나리오에대해설명합니다.
저작권 URL 및다른인터넷웹사이트참조를포함한이설명서의내용은예고없이변경될수있습니다. 다른설명이없는한, 용례에사용된회사, 기관, 제품, 도메인이름, 전자메일주소, 로고, 사람, 위치및이벤트등은실제데이터가아닙니다. 어떠한실제회사, 기관, 제품, 도메인이름, 전자메일주소, 로고, 사람, 위치또는이벤트와도연관시킬의도가없으며그렇게유추해서도안됩니다. 해당저작권법을준수하는것은사용자의책임입니다. 저작권에서의권리와는별도로, 이설명서의어떠한부분도 Microsoft Corporation 의명시적인서면승인없이는어떠한형식이나수단 ( 전기적, 기계적, 복사기에의한복사, 디스크복사또는다른방법 ) 또는목적으로도복제되거나, 검색시스템에저장또는도입되거나, 전송될수없습니다. Microsoft 가이설명서본안에관련된특허권, 상표권, 저작권또는기타지적재산권등을보유할수도있습니다. 서면사용권계약에따라 Microsoft 로부터귀하에게명시적으로제공된권리이외에, 이설명서의제공은귀하에게이러한특허권, 사용권, 저작권또는기타지적소유권등에대한어떠한사용권도허여하지않습니다. 2009 Microsoft Corporation. All rights reserved. Microsoft, Windows 및 Windows Server 는미국, 대한민국및 / 또는기타국가에서의 Microsoft Corporation 등록상표또는상표입니다. 다른모든상표는해당소유자의재산입니다.
콘텐트 Microsoft Advanced Group Policy Management 4.0 용단계별가이드... 5 AGPM 시나리오개요... 5 요구사항... 6 AGPM 서버요구사항... 7 AGPM 클라이언트요구사항... 8 시나리오요구사항... 8 AGPM 설치및구성단계... 9 1 단계 : AGPM 서버설치... 9 2 단계 : AGPM 클라이언트설치... 10 3 단계 : AGPM 서버연결구성... 11 4 단계 : 전자메일알림구성... 11 5 단계 : 액세스권한위임... 12 GPO 관리단계... 12 1 단계 : GPO 만들기... 13 2 단계 : GPO 편집... 13 3 단계 : GPO 검토및배포... 15 4 단계 : 템플릿을사용하여 GPO 만들기... 16 5 단계 : GPO 삭제및복원... 18
Microsoft Advanced Group Policy Management 4.0 용단계별가이드 이단계별가이드에서는 GPMC( 그룹정책관리콘솔 ) 및 Microsoft 고급그룹정책관리 (AGPM) 를사용하는그룹정책관리에대한고급기술에대해설명합니다. AGPM 은다음과같은기능을제공하여 GPMC 의기능을확장합니다. 여러그룹정책관리자에게그룹정책개체 (GPO) 관리권한을위임하는표준역할및프로덕션환경의 GPO 에대한액세스권한을위임하는기능 그룹정책관리자가오프라인으로 GPO 를만들고수정한후에 GPO 를프로덕션환경으로배포할수있도록하는아카이브 아카이브에서이전버전의 GPO 로롤백하고아카이브에저장되는버전수를제한하는기능 그룹정책관리자들이실수로서로의작업을덮어쓰는것을방지하는 GPO 체크인및체크아웃기능 특정특성을가진 GPO 를검색하고표시된 GPO 목록을필터링하는기능 AGPM 시나리오개요 이시나리오에서는서로다른수준의권한을가진여러그룹정책관리자가포함된환경에서그룹정책을관리하는방법을보여주기위해 AGPM 의각역할에대해별도의사용자계정을사용합니다. 구체적으로다음과같은작업을수행하게됩니다. Domain Admins 그룹구성원인계정을사용하여 AGPM 서버를설치하고계정이나그룹에 AGPM 관리자역할할당 AGPM 역할을할당할계정을사용하여 AGPM 클라이언트설치 AGPM 관리자역할이있는계정을사용하여 AGPM 을구성하고다른계정에역할을할당하여 GPO 에대한액세스권한위임 편집자역할이있는계정에서새 GPO 를만들도록요청한후승인자역할이있는계정을사용하여승인. 편집자계정을사용하여아카이브에서 GPO 를체크아웃하고편집한다음, 다시아카이브로 GPO 를체크인하고배포를요청합니다. 승인자역할이있는계정을사용하여 GPO 를검토한후프로덕션환경으로배포 편집자역할이있는계정을사용하여 GPO 템플릿을만든다음새 GPO 를만들때시작지점으로사용 승인자역할이있는계정을사용하여 GPO 삭제및복원 5
요구사항 AGPM 을설치할컴퓨터는다음요구사항을충족해야합니다. 또한이시나리오에서사용할계정을만들어야합니다. 참고 AGPM 2.5가설치되어있고 Windows Server 2003에서 Windows Server 2008 R2 또는 Windows Server 2008로업그레이드하거나서비스팩이설치되지않은 Windows Vista 에서 Windows 7 또는 Windows Vista 서비스팩 1(SP1) 로업그레이드하려는경우먼저운영체제를업그레이드해야 AGPM 4.0으로업그레이드할수있습니다. AGPM 3.0 이설치되어있는경우 AGPM 4.0 으로업그레이드하기전에운영체제를업그레이드할필요가없습니다. 최신및기존운영체제가포함된혼합환경에서는다음표에표시된것처럼기능상몇가지제한이있습니다. AGPM 서버 4.0 이실행되는운영 체제 AGPM 클라이언트 4.0 이실행되는 운영체제 AGPM 4.0 지원상태 Windows Server 2008 R2 Windows Server 2008 R2 지원됨 6
AGPM 서버 4.0이실행되는운영 AGPM 클라이언트 4.0이실행되는 체제 운영체제 또는 Windows 7 또는 Windows 7 AGPM 4.0 지원상태 Windows Server 2008 R2 또는 Windows 7 Windows Server 2008 또는 Windows Vista SP1 Windows Server 2008 또는 Windows Vista SP1 Windows Server 2008 또는 Windows Vista SP1 Windows Server 2008 R2 또는 Windows 7 Windows Server 2008 또는 Windows Vista SP1 지원되지만 Windows Server 2008 R2 또는 Windows 7 에만있는정책설정또는기본설정항목을편집할수없음 지원되지않음 지원되지만 Windows Server 2008 R2 또는 Windows 7 에만있는정책설정또는기본설정항목을보고하거나편집할수없음 AGPM 서버요구사항 AGPM 서버 4.0 을사용하려면 Windows Server 2008 R2, Windows Server 2008, Windows 7 및 RSAT( 원격서버관리도구 ) 의 GPMC 또는 Windows Vista SP1 및 RSAT 의 GPMC 가설치되어있어야합니다. 32 비트버전과 64 비트버전을모두사용할수있습니다. AGPM 서버를설치하려면 Domain Admins 그룹의구성원이어야하며, 다른설명이없는한다음 Windows 기능을갖추고있어야합니다. GPMC Windows Server 2008 R2 또는 Windows Server 2008: GPMC 가없는경우 AGPM 이 GPMC 를자동으로설치합니다. Windows 7: AGPM 을설치하기전에 RSAT 의 GPMC 를설치해야합니다. 자세한내용은 Windows 7 용원격서버관리도구 (http://go.microsoft.com/fwlink/?linkid=131280) 를참조하십시오. Windows Vista SP1: AGPM 을설치하기전에 RSAT 의 GPMC 를설치해야합니다. 자세한내용은 Windows Vista 서비스팩 1 에서 Windows Server 2008 원격서버관리도구설명 (http://go.microsoft.com/fwlink/?linkid=116179) 을참조하십시오..NET Framework 3.5 버전이상 Windows Server 2008 R2 또는 Windows 7:.NET Framework 3.5 버전이상이없는경우 AGPM 이.NET Framework 3.5 를자동으로설치합니다. Windows Server 2008 또는 Windows Vista SP1: AGPM 을설치하기전에.NET Framework 3.5 버전이상을설치해야합니다. AGPM 서버에는다음 Windows 기능이필요하며, 이러한기능이없는경우에는자동으로설치됩니다. 7
WCF 활성화, 비 HTTP 활성화 Windows Process Activation Service 프로세스모델.NET 환경 구성 API AGPM 클라이언트요구사항 AGPM 클라이언트 4.0 을사용하려면 Windows Server 2008 R2, Windows Server 2008, Windows Server 2008 R2 및 RSAT 의 GPMC 또는 Windows Vista SP1 및 RSAT 의 GPMC 가설치되어있어야합니다. 32 비트버전과 64 비트버전을모두사용할수있습니다. AGPM 클라이언트는 AGPM 서버를실행중인컴퓨터에설치할수있습니다. AGPM 클라이언트에는다음 Windows 기능이필요하며, 이러한기능이없는경우에는다른설명이없는한자동으로설치됩니다. GPMC Windows Server 2008 R2 또는 Windows Server 2008: GPMC 가없는경우 AGPM 이 GPMC 를자동으로설치합니다. Windows 7: AGPM 을설치하기전에 RSAT 의 GPMC 를설치해야합니다. 자세한내용은 Windows 7 용원격서버관리도구 (http://go.microsoft.com/fwlink/?linkid=131280) 를참조하십시오. Windows Vista SP1: AGPM 을설치하기전에 RSAT 의 GPMC 를설치해야합니다. 자세한내용은 Windows Vista 서비스팩 1 에서 Windows Server 2008 원격서버관리도구설명 (http://go.microsoft.com/fwlink/?linkid=116179) 을참조하십시오..NET Framework 3.0 버전이상 Windows Server 2008 R2 또는 Windows 7:.NET Framework 3.0 버전이상이없는경우 AGPM 이.NET Framework 3.5 를자동으로설치합니다. Windows Server 2008 또는 Windows Vista SP1:.NET Framework 3.0 버전이상이없는경우 AGPM 이.NET Framework 3.0 을자동으로설치합니다. 시나리오요구사항 이시나리오를시작하기전에 4 개의사용자계정을만듭니다. 시나리오를진행하면서각계정에 AGPM 관리자 ( 모든권한 ), 승인자, 편집자및검토자, AGPM 관리자 ( 모든권한 ), 승인자, 편집자및검토자라는구체적으로정의된역할이있습니다. 이러한계정은전자메일메시지를주고받을수있어야합니다. AGPM 관리자, 승인자및편집자 ( 옵션 ) 역할이있는계정에 GPO 연결권한을할당합니다. 참고 GPO 연결권한은기본적으로도메인관리자및엔터프라이즈관리자구성원에게할당됩니다. 다른사용자또는그룹 ( 예 : AGPM 관리자또는승인자역할이있는계정 ) 에추가로 GPO 연결권한을할당하려면해당도메인의노드를클릭하고위임탭을클릭한 8
다음 GPO 연결을선택하고추가를클릭하여권한을할당할사용자또는그룹을선택합니다. AGPM 설치및구성단계 AGPM 을설치및구성하려면다음단계를완료해야합니다. 1 단계 : AGPM 서버설치 2 단계 : AGPM 클라이언트설치 3 단계 : AGPM 서버연결구성 4 단계 : 전자메일알림구성 5 단계 : 액세스권한위임 1 단계 : AGPM 서버설치 이단계에서는 AGPM 서비스를실행할구성원서버또는도메인컨트롤러에 AGPM 서버를설치하고아카이브를구성합니다. 모든 AGPM 작업은이 Windows 서비스를통해관리되며서비스자격증명을사용하여실행됩니다. AGPM 서버가관리하는아카이브는해당서버나동일한포리스트의다른서버에서호스팅할수있습니다. AGPM 서비스를호스팅할컴퓨터에 AGPM 서버를설치하려면다음을수행하십시오. 1. Domain Admins 그룹구성원인계정으로로그온합니다. 2. Microsoft Desktop Optimization Pack CD 를시작하고화면의지시에따라 Advanced Group Policy Management 서버를선택합니다. 3. 시작대화상자에서다음을클릭합니다. 4. Microsoft 소프트웨어사용약관대화상자에서약관에동의하고다음을클릭합니다. 5. 응용프로그램경로대화상자에서 AGPM 서버를설치할위치를선택합니다. AGPM 서버가설치된컴퓨터에서 AGPM 서비스를호스팅하고아카이브를관리하게됩니다. 다음을클릭합니다. 6. 아카이브경로대화상자에서 AGPM 서버와관련된아카이브위치를선택합니다. 아카이브경로는 AGPM 서버또는다른위치의폴더를지정할수있습니다. 하지만해당 AGPM 서버가관리하는모든 GPO 및기록데이터를저장할수있는충분한공간이있는위치를선택해야합니다. 다음을클릭합니다. 7. AGPM 서비스계정대화상자에서 AGPM 서비스를실행하는데사용할서비스계정을선택하고다음을클릭합니다. 이계정은 Domain Admins 그룹또는최소권한구성의경우 AGPM 서버에서관리하는각도메인의다음그룹의구성원이어야합니다. Group Policy Creator Owners Backup Operators 또한이계정에는다음폴더에대해모든권한이있어야합니다. 9
AGPM 아카이브폴더, 로컬드라이브에설치되어있는경우 AGPM 서버를설치하는동안이권한이자동으로부여됩니다. 로컬시스템임시폴더, 일반적으로 %windir%\temp 입니다. 8. 아카이브소유자대화상자에서 AGPM 관리자 ( 모든권한 ) 역할을할당할계정또는그룹을선택합니다. AGPM 관리자는 AGPM 역할과권한을다른그룹정책관리자에게할당할수있으므로나중에 AGPM 관리자의역할을다른그룹정책관리자에게추가로할당할수있습니다. 이시나리오에서는 AGPM 관리자역할을수행할계정을선택합니다. 다음을클릭합니다. 9. 포트구성대화상자에 AGPM 서비스가수신대기할포트를입력합니다. 포트예외를수동으로구성하거나규칙을사용하여포트예외를구성하려는경우가아니면방화벽에포트예외추가확인란의선택을취소하지마십시오. 다음을클릭합니다. 10. 언어대화상자에서 AGPM 서버에대해설치할표시언어를하나이상선택합니다. 11. 설치를클릭하고마침을클릭하여설치마법사를종료합니다. 주의 운영체제의관리도구및서비스를통해 AGPM 서비스설정을변경하지마십시오. 이렇게하면 AGPM 서비스가시작되지않을수있습니다. 서비스설정을변경하는방법에대한자세한내용은 Advanced Group Policy Management 도움말을참조하십시오. 2 단계 : AGPM 클라이언트설치 GPO 의만들기, 편집, 배포, 검토또는삭제를수행하는각그룹정책관리자가 GPO 를관리하려면사용컴퓨터에 AGPM 클라이언트가설치되어있어야합니다. 이시나리오에서는최소한대의컴퓨터에 AGPM 클라이언트를설치합니다. 그룹정책관리를수행하지않는최종사용자의컴퓨터에는 AGPM 클라이언트를설치하지않아도됩니다. 그룹정책관리자의컴퓨터에 AGPM 클라이언트를설치하려면다음을수행하십시오. 1. Microsoft Desktop Optimization Pack CD 를시작하고화면의지시에따라 Advanced Group Policy Management 클라이언트를선택합니다. 2. 시작대화상자에서다음을클릭합니다. 3. Microsoft 소프트웨어사용약관대화상자에서약관에동의하고다음을클릭합니다. 4. 응용프로그램경로대화상자에서 AGPM 클라이언트를설치할위치를선택합니다. 다음을클릭합니다. 5. AGPM 서버대화상자에서 AGPM 서버의 DNS 이름또는 IP 주소와연결할포트를입력합니다. AGPM 서비스의기본포트는 4600 입니다. 포트예외를수동으로구성하거나규칙을사용하여포트예외를구성하는경우가아니면방화벽을통해 Microsoft 관리콘솔허용확인란선택을취소하지마십시오. 다음을클릭합니다. 6. 언어대화상자에서 AGPM 클라이언트에대해설치할표시언어를하나이상선택합니다. 10
7. 설치를클릭하고마침을클릭하여설치마법사를종료합니다. 3 단계 : AGPM 서버연결구성 AGPM 은제어된각그룹정책개체 (GPO)( 즉, AGPM 이중앙아카이브에서변경제어를제공하는각 GPO) 의모든버전을저장합니다. 따라서그룹정책관리자는각 GPO 의배포된버전에바로영향을주지않고오프라인으로 GPO 를보고변경할수있습니다. 이단계에서는 AGPM 서버연결을구성하고모든그룹정책관리자가동일한 AGPM 서버에연결하도록지정합니다. 여러 AGPM 서버를구성하는방법에대한자세한내용은 Advanced Group Policy Management 도움말을참조하십시오. 모든그룹정책관리자에대해 AGPM 서버연결을구성하려면다음을수행하십시오. 1. AGPM 클라이언트를설치한컴퓨터에서아카이브소유자로선택된사용자계정으로로그온합니다. 이사용자에게는 AGPM 관리자 ( 모든권한 ) 역할이있습니다. 2. 시작을클릭하고관리도구를가리킨다음그룹정책관리를클릭하여 GPMC 를엽니다. 3. 모든그룹정책관리자에게적용되어있는 GPO 를편집합니다. 4. 그룹정책관리편집기창에서사용자구성, 정책, 관리템플릿, Windows 구성요소및 AGPM 을차례로두번클릭합니다. 5. 세부정보창에서 AGPM: 기본 AGPM 서버지정 ( 모든도메인 ) 을두번클릭합니다. 6. 속성창에서사용을선택하고, 아카이브를호스팅하는서버의 DNS 이름또는 IP 주소와포트 ( 예 : server.contoso.com:4600) 를입력합니다. 기본적으로 AGPM 서비스는포트 4600 을사용합니다. 7. 확인을클릭한다음그룹정책관리편집기창을닫습니다. 그룹정책을업데이트하면각그룹정책관리자에대해 AGPM 서버연결이구성됩니다. 4 단계 : 전자메일알림구성 AGPM 관리자 ( 모든권한 ) 는편집자가 GPO 를만들거나배포또는삭제하려고할때요청이포함된전자메일메시지를받는승인자및 AGPM 관리자의전자메일주소를지정합니다. 또한이러한메시지를보내는별칭도결정합니다. AGPM 에대한전자메일알림을구성하려면다음을수행하십시오. 1. 세부정보창에서도메인위임탭을클릭합니다. 2. 보낸사람전자메일주소필드에알림을보내는 AGPM 의전자메일별칭을입력합니다. 3. 받는사람전자메일주소필드에승인자역할을할당하려는사용자계정의전자메일주소를입력합니다. 4. SMTP 서버필드에유효한 SMTP 메일서버를입력합니다. 5. 사용자이름및암호필드에 SMTP 서비스에대한액세스권한이있는사용자의자격증명을입력합니다. 적용을클릭합니다. 11
5 단계 : 액세스권한위임 AGPM 관리자 ( 모든권한 ) 는 GPO 에대한도메인수준액세스권한을위임하여각그룹정책관리자의계정에역할을할당합니다. 참고도메인수준대신 GPO 수준에서액세스권한을위임할수도있습니다. 자세한내용은 Advanced Group Policy Managemen 도움말을참조하십시오. 중요 GPO에대한액세스권한의 AGPM 관리작업을방해하는데사용될수없도록 Group Policy Creator Owners 그룹의구성원자격을제한해야합니다. 그룹정책관리콘솔에서 GPO를관리할포리스트및도메인의그룹정책개체를클릭하고위임을클릭한다음조직의요구사항에맞게설정을구성합니다. 도메인전체에서모든 GPO 에대한액세스권한을위임하려면다음을수행하십시오. 1. 도메인위임탭에서추가단추를클릭하고승인자로지정할그룹정책관리자의사용자계정을선택한다음확인을클릭합니다. 2. 그룹또는사용자추가대화상자에서승인자역할을선택하여계정에할당한다음확인을클릭합니다. 이역할에는검토자역할도포함됩니다. 3. 추가단추를클릭하여편집자로지정할그룹정책관리자의사용자계정을선택한다음확인을클릭합니다. 4. 그룹또는사용자추가대화상자에서편집자역할을선택하여계정에할당한다음확인을클릭합니다. 이역할에는검토자역할도포함됩니다. 5. 추가단추를클릭하여검토자로지정할그룹정책관리자의사용자계정을선택한다음확인을클릭합니다. 6. 그룹또는사용자추가대화상자에서검토자역할을선택하여계정에이역할만할당합니다. GPO 관리단계 AGPM 을사용하여 GPO 를만들고편집, 검토및배포하려면다음단계를완료해야합니다. 또한템플릿을만들고, GPO 를삭제하고, 삭제된 GPO 를복원하는작업을수행하게됩니다. 1 단계 : GPO 만들기 2 단계 : GPO 편집 3 단계 : GPO 검토및배포 4 단계 : 템플릿을사용하여 GPO 만들기 5 단계 : GPO 삭제및복원 12
1 단계 : GPO 만들기 그룹정책관리자가여러명있는환경에서편집자역할이있는사용자는새 GPO 를만들도록요청할수있습니다. 하지만해당요청은승인자역할이있는사용자에의해승인되어야합니다. 이단계에서는편집자역할이있는계정을사용하여새 GPO 를만들도록요청합니다. 그리고승인자역할이있는계정을사용하여해당요청을승인하고 GPO 를만듭니다. AGPM 을통해새 GPO 를만들어관리하도록요청하려면다음을수행하십시오. 1. AGPM 클라이언트를설치한컴퓨터에서 AGPM 의편집자역할이할당된사용자계정으로로그온합니다. 2. 그룹정책관리콘솔트리에서 GPO 를관리할포리스트및도메인의변경제어를클릭합니다. 3. 변경제어노드를마우스오른쪽단추로클릭하고제어된새 GPO 를클릭합니다. 4. 제어된새 GPO 대화상자에서다음을수행합니다. a. 요청복사본을받으려면자신의전자메일주소를참조필드에입력합니다. b. 새 GPO 의이름으로 MyGPO 를입력합니다. c. 새 GPO 의설명을입력합니다. d. 새 GPO 가승인되는즉시프로덕션환경으로배포되도록라이브로만들기를클릭합니다. 제출을클릭합니다. 5. AGPM 진행률창에전체작업이완료되었다고표시되면닫기를클릭합니다. 새 GPO 가보류중탭에표시됩니다. 보류중인 GPO 만들기요청을승인하려면다음을수행하십시오. 1. AGPM 클라이언트를설치한컴퓨터에서 AGPM 의승인자역할이있는사용자계정으로로그온합니다. 2. 해당계정의전자메일받은편지함을열어 AGPM 별칭으로부터편집자의 GPO 만들기요청이포함된전자메일메시지를받았는지확인합니다. 3. 그룹정책관리콘솔트리에서 GPO 를관리할포리스트및도메인의변경제어를클릭합니다. 4. 내용탭에서보류중탭을클릭하여보류중인 GPO 를표시합니다. 5. MyGPO 를마우스오른쪽단추로클릭한다음승인을클릭합니다. 6. 예를클릭하여승인을확인하고 GPO 를제어됨탭으로이동합니다. 2 단계 : GPO 편집 GPO 를사용하여컴퓨터또는사용자설정을구성하고이설정을여러컴퓨터로배포하거나여러사용자에게배포할수있습니다. 이단계에서는편집자역할이있는계정을사용하여아카이브에서 GPO 를체크아웃하고, 오프라인으로 GPO 를편집하고, 편집한 GPO 를아카이브로 13
체크인한다음프로덕션환경으로 GPO 를배포하도록요청합니다. 이시나리오에서는 8 자이상의암호를사용하도록 GPO 설정을구성합니다. 편집을위해아카이브에서 GPO 를체크아웃하려면다음을수행하십시오. 1. AGPM 클라이언트를설치한컴퓨터에서 AGPM 의편집자역할이있는사용자계정으로로그온합니다. 2. 그룹정책관리콘솔트리에서 GPO 를관리할포리스트및도메인의변경제어를클릭합니다. 3. 세부정보창의내용탭에서제어됨탭을클릭하여제어된 GPO 를표시합니다. 4. MyGPO 를마우스오른쪽단추로클릭한다음체크아웃을클릭합니다. 5. GPO 가체크아웃된상태에서 GPO 기록에표시할설명을입력하고확인을클릭합니다. 6. AGPM 진행률창에전체작업이완료되었다고표시되면닫기를클릭합니다. 제어됨탭에서 GPO 의상태가체크아웃됨으로표시됩니다. 오프라인으로 GPO 를편집하고최소암호길이를구성하려면다음을수행하십시오. 1. 제어됨탭에서 MyGPO 를마우스오른쪽단추로클릭하고편집을클릭하여그룹정책관리편집기창을연다음오프라인 GPO 복사본을변경합니다. 이시나리오에서는다음과같이최소암호길이를구성합니다. a. 컴퓨터구성에서정책, Windows 설정, 보안설정, 계정정책및암호정책을차례로두번클릭합니다. b. 세부정보창에서최소암호길이를두번클릭합니다. c. 속성창에서이정책설정정의확인란을선택하고문자수를 8 로설정한다음확인을클릭합니다. 2. 그룹정책관리편집기창을닫습니다. 아카이브로 GPO 를체크인하려면다음을수행하십시오. 1. 제어됨탭에서 MyGPO 를마우스오른쪽단추로클릭한다음체크인을클릭합니다. 2. 설명을입력하고확인을클릭합니다. 3. AGPM 진행률창에전체작업이완료되었다고표시되면닫기를클릭합니다. 제어됨탭에서 GPO 의상태가체크인됨으로표시됩니다. 프로덕션환경으로 GPO 를배포하도록요청하려면다음을수행하십시오. 1. 제어됨탭에서 MyGPO 를마우스오른쪽단추로클릭한다음배포를클릭합니다. 2. 현재사용중인계정은승인자또는 AGPM 관리자가아니므로배포요청을제출해야합니다. 요청복사본을받으려면자신의전자메일주소를참조필드에입력합니다. GPO 기록에표시할설명을입력하고제출을클릭합니다. 3. AGPM 진행률창에전체작업이완료되었다고표시되면닫기를클릭합니다. MyGPO 가보류중탭의 GPO 목록에표시됩니다. 14
3 단계 : GPO 검토및배포 이단계에서는승인자계정을사용하여보고서를만들고 GPO 설정및설정변경내용을분석하여 GPO 승인여부를결정합니다. 또한 GPO 를평가한후에프로덕션환경으로배포하고도메인이나 OU( 조직구성단위 ) 에 GPO 를연결합니다. GPO 는해당도메인또는 OU 의컴퓨터에대해그룹정책을새로고치면적용됩니다. GPO 의설정을검토하려면다음을수행하십시오. 1. AGPM 클라이언트를설치한컴퓨터에서 AGPM 의승인자역할이할당된사용자계정으로로그온합니다. 검토자역할 ( 검토자역할은다른모든역할에포함되어있음 ) 이있는그룹정책관리자는 GPO 의설정을검토할수있습니다. 2. 해당계정의전자메일받은편지함을열어 AGPM 별칭으로부터편집자의 GPO 배포요청이포함된전자메일메시지를받았는지확인합니다. 3. 그룹정책관리콘솔트리에서 GPO 를관리할포리스트및도메인의변경제어를클릭합니다. 4. 세부정보창의내용탭에서보류중탭을클릭합니다. 5. MyGPO 를두번클릭하여해당기록을표시합니다. 6. 최신버전의 MyGPO 에서설정을검토합니다. a. 기록창에서타임스탬프가최신인 GPO 버전을마우스오른쪽단추로클릭하고설정을클릭한다음 HTML 보고서를클릭하여 GPO 설정요약을표시합니다. b. 웹브라우저에서모두표시를클릭하여 GPO 의모든설정을표시합니다. 브라우저를닫습니다. 7. 최신버전의 MyGPO 와아카이브로처음체크인한버전을비교합니다. a. 기록창에서타임스탬프가최신인 GPO 버전을클릭합니다. Ctrl 키를누르고컴퓨터버전이 * 가아닌가장오래된 GPO 버전을클릭합니다. b. 차이점단추를클릭합니다. 계정정책 / 암호정책섹션이녹색으로강조표시되며섹션앞에는 [+] 가붙습니다. 이기호는해당설정이최신버전의 GPO 에서만구성되었음을나타냅니다. c. 계정정책 / 암호정책을클릭합니다. 최소암호길이설정도녹색으로강조표시되며섹션앞에 [+] 가붙습니다. 이기호는해당설정이최신버전의 GPO 에서만구성되었음을나타냅니다. d. 웹브라우저를닫습니다. 프로덕션환경으로 GPO 를배포하려면다음을수행하십시오. 1. 보류중탭에서 MyGPO 를마우스오른쪽단추로클릭한다음승인을클릭합니다. 2. GPO 기록에포함할설명을입력합니다. 3. 예를클릭합니다. AGPM 진행률창에전체작업이완료되었다고표시되면닫기를클릭합니다. GPO 가프로덕션환경으로배포됩니다. 15
GPO 를도메인이나조직구성단위에연결하려면다음을수행하십시오. 1. GPMC 에서구성한 GPO 를적용할도메인이나 OU( 조직구성단위 ) 를마우스오른쪽단추로클릭한다음기존 GPO 연결을클릭합니다. 2. GPO 선택대화상자에서 MyGPO 를클릭한다음확인을클릭합니다. 4 단계 : 템플릿을사용하여 GPO 만들기 이단계에서는편집자역할이있는계정을사용하여템플릿을만들어사용합니다. 이템플릿은고정된버전의 GPO 로, 새 GPO 를만들때시작지점으로사용할수있습니다. 템플릿은편집할수없지만템플릿을기반으로새 GPO 를만들수있습니다. 템플릿은대부분의정책설정이동일한여러개의 GPO 를빠르게만들때유용합니다. 기존 GPO 를기준으로템플릿을만들려면다음을수행하십시오. 1. AGPM 클라이언트를설치한컴퓨터에서 AGPM 의편집자역할이할당된사용자계정으로로그온합니다. 2. 그룹정책관리콘솔트리에서 GPO 를관리할포리스트및도메인의변경제어를클릭합니다. 3. 세부정보창의내용탭에서제어됨탭을클릭합니다. 4. MyGPO 를마우스오른쪽단추로클릭하고템플릿으로저장을클릭하여현재 MyGPO 의모든설정을통합하는템플릿을만듭니다. 5. 템플릿의이름과설명으로 MyTemplate 을입력하고확인을클릭합니다. 6. AGPM 진행률창에전체작업이완료되었다고표시되면닫기를클릭합니다. 새템플릿이템플릿탭에표시됩니다. AGPM 을통해새 GPO 를만들어관리하도록요청하려면다음을수행하십시오. 1. 제어됨탭을클릭합니다. 2. 변경제어노드를마우스오른쪽단추로클릭하고제어된새 GPO 를클릭합니다. 3. 제어된새 GPO 대화상자에서다음을수행합니다. a. 요청복사본을받으려면참조필드에자신의전자메일주소를입력합니다. b. 새 GPO 의이름으로 MyOtherGPO 를입력합니다. c. 새 GPO 의설명을입력합니다. d. 새 GPO 가승인되는즉시프로덕션환경으로배포되도록라이브로만들기를클릭합니다. e. GPO 템플릿에서에대해 MyTemplate 을선택합니다. 제출을클릭합니다. 4. AGPM 진행률창에전체작업이완료되었다고표시되면닫기를클릭합니다. 새 GPO 가보류중탭에표시됩니다. 16
승인자역할이할당된계정을사용하여보류중인요청을승인해서 1 단계 : GPO 만들기와같은방식으로 GPO 를만듭니다. MyTemplate 에는 MyGPO 에서구성한모든설정이통합됩니다. MyOtherGPO 는 MyTemplate 을사용하여만들었기때문에 MyTemplate 을만들때 MyGPO 에포함되어있던모든설정을기본적으로포함합니다. 차이점보고서를생성하여 MyOtherGPO 와 MyTemplate 을비교하면이를확인할수있습니다. 편집을위해아카이브에서 GPO 를체크아웃하려면다음을수행하십시오. 1. AGPM 클라이언트를설치한컴퓨터에서 AGPM 의편집자역할이할당된사용자계정으로로그온합니다. 2. MyOtherGPO 를마우스오른쪽단추로클릭한다음체크아웃을클릭합니다. 3. GPO 가체크아웃된상태에서 GPO 의기록에표시할설명을입력하고확인을클릭합니다. 4. AGPM 진행률창에전체작업이완료되었다고표시되면닫기를클릭합니다. 제어됨탭에서 GPO 의상태가체크아웃됨으로표시됩니다. 오프라인으로 GPO 를편집하고계정잠금기간을구성하려면다음을수행하십시오. 1. 제어됨탭에서 MyOtherGPO 를마우스오른쪽단추로클릭하고편집을클릭하여그룹정책관리편집기창을연다음오프라인 GPO 복사본을변경합니다. 이시나리오에서는다음과같이최소암호길이를구성합니다. a. 컴퓨터구성에서정책, Windows 설정, 보안설정, 계정정책, 계정잠금정책을차례로두번클릭합니다. b. 세부정보창에서계정잠금기간을두번클릭합니다. c. 속성창에서이정책설정정의를선택하고기간을 30 분으로설정한다음확인을클릭합니다. 2. 그룹정책관리편집기창을닫습니다. MyOtherGPO 를아카이브로체크인하고 2 단계 : GPO 편집과같은방식으로배포를요청합니다. 차이점보고서를사용하여 MyOtherGPO 를 MyGPO 또는 MyTemplate 과비교할수있습니다. 검토자역할을포함하는계정 (AGPM 관리자 [ 모든권한 ], 승인자, 편집자또는검토자 ) 은보고서를생성할수있습니다. GPO 를다른 GPO 및템플릿과비교하려면다음을수행하십시오. 1. MyGPO 와 MyOtherGPO 를비교하려면다음을수행하십시오. a. 제어됨탭에서 MyGPO 를클릭합니다. Ctrl 키를누른상태로 MyOtherGPO 를클릭합니다. b. MyOtherGPO 를마우스오른쪽단추로클릭하고차이점을가리킨다음 HTML 보고서를클릭합니다. 2. MyOtherGPO 와 MyTemplate 을비교하려면다음을수행하십시오. a. 제어됨탭에서 MyOtherGPO 를클릭합니다. 17
b. MyOtherGPO 를마우스오른쪽단추로클릭하고차이점을가리킨다음템플릿을클릭합니다. c. MyTemplate 과 HTML 보고서를선택하고확인을클릭합니다. 5 단계 : GPO 삭제및복원 이단계에서는승인자계정을사용하여 GPO 를삭제합니다. GPO 삭제하기 1. AGPM 클라이언트를설치한컴퓨터에서승인자역할이할당된사용자계정으로로그온합니다. 2. 그룹정책관리콘솔트리에서 GPO 를관리할포리스트및도메인의변경제어를클릭합니다. 3. 내용탭에서제어됨탭을클릭하여제어된 GPO 를표시합니다. 4. MyGPO 를마우스오른쪽단추로클릭한다음삭제를클릭합니다. 아카이브및프로덕션에서 GPO 삭제를클릭하여아카이브의 GPO 버전과프로덕션환경의배포된 GPO 버전을모두삭제합니다. 5. GPO 감사내역에표시할설명을입력하고확인을클릭합니다. 6. AGPM 진행률창에전체작업이완료되었다고표시되면닫기를클릭합니다. GPO 가제어됨탭에서제거되며휴지통탭에표시됩니다. 휴지통탭에서 GPO 를복원하거나소멸시킬수있습니다. 삭제한 GPO 가다시필요한경우도있습니다. 이단계에서는승인자계정을사용하여삭제한 GPO 를복원합니다. 삭제된 GPO 를복원하려면다음을수행하십시오. 1. 내용탭에서휴지통탭을클릭하여삭제된 GPO 를표시합니다. 2. MyGPO 를마우스오른쪽단추로클릭한다음복원을클릭합니다. 3. GPO 기록에표시할설명을입력하고확인을클릭합니다. 4. AGPM 진행률창에전체작업이완료되었다고표시되면닫기를클릭합니다. GPO 가휴지통탭에서제거되며제어됨탭에표시됩니다. 참고 GPO 를아카이브로복원해도프로덕션환경에자동으로다시배포되지않습니다. GPO 를프로덕션환경으로되돌리려면 3 단계 : GPO 검토및배포와같은방식으로 GPO 를배포하십시오. GPO 를편집하고배포한후에 GPO 의최근변경내용으로인해문제가발생하는경우가있습니다. 이단계에서는승인자계정을사용하여이전버전의 GPO 로롤백합니다. GPO 기록에있는모든버전으로롤백할수있습니다. 설명과레이블을사용하여알려진정상버전과특정변경작업을수행한시간을확인할수있습니다. 18
이전버전의 GPO 로롤백하려면다음을수행하십시오. 1. 내용탭에서제어됨탭을클릭하여제어된 GPO 를표시합니다. 2. MyGPO 를두번클릭하여해당기록을표시합니다. 3. 배포할버전을두번클릭하고배포를클릭한다음예를클릭합니다. 4. 진행률창에전체작업이완료되었다고표시되면닫기를클릭합니다. 기록창에서닫기를클릭합니다. 참고다시배포된버전이원하는버전인지확인하려면두버전의차이점보고서를살펴보십시오. GPO 의기록창에서두버전을선택하여마우스오른쪽단추로클릭한다음차이점을가리키고 HTML 보고서또는 XML 보고서를클릭합니다. 19