Windows Vista의 보다 강력한 그룹 정책 |
|
|
|
|
개요: | |
|
|
Windows Vista에서는 그룹 정책 인프라에 대한 업데이트가 이루어졌습니다. 하지만 전 세계의 많은 조직에 Windows Vista가 배포되더라도 많은 관리자들은 그룹 정책 기능의 다양한 변화가 모두 사용자에게 드러나는 방식으로 작동하는 것은 아니기 때문에 작업 방식이 크게 바뀌었다고 느끼지 못할 수도 있습니다.
하지만 관리자들은 Windows Vista™의 그룹 정책이 이전 버전에 비해 훨씬 강력해졌다는 사실은 쉽게 확인할 수 있을 것입니다.
Windows Vista 이전에는 그룹 정책이 winlogon이라는 프로세스 내에서 처리되었습니다. Winlogon은 사용자의 데스크톱 로그온과 다양한 그룹 정책 작업 지원을 비롯한 많은 기능을 수행했습니다. 그룹 정책은 이제 고유한 Windows® 서비스로 실행됩니다. 또한 기능이 더욱 강력해져서 그룹 정책 서비스를 중지하거나 관리자가 그룹 정책에 대한 권한으로 서비스를 끌 수 없게 되었습니다. 이러한 변화는 그룹 정책 엔진이 전반적인 안정성을 크게 향상시킵니다.
이러한 기능 외에도 새로운 그룹 정책에서 제공되는 몇 가지 중요한 변경 사항에 대해 자세히 살펴보도록 하겠습니다.
향상된 네트워크 인식Windows Vista 이전에 그룹 정책 엔진은 사용자의 네트워크 연결 속도가 느리거나 빠른지를 확인하는 작업을 수행했습니다. 확인 후에는 이러한 정보를 통해 어떤 정책 설정을 적용할 것인지를 판단했습니다. 연결 속도가 느린 경우 그룹 정책은 다운로드 시간이 상당히 걸릴 수 있기 때문에 정책 설정의 전체를 시스템에 전송하지 않습니다. 새로운 그룹 정책에서도 이러한 보조 기능은 제거되지 않았습니다. 하지만 현재의 네트워크 대역폭을 계산하는 방법이 변경되었습니다.
이러한 속도 확인은 ICMP(Internet Control Message Protocol) ping 패킷을 도메인 컨트롤러로 전송하여 수행됩니다. 이러한 접근 방식은 실제 환경에서 많은 문제를 유발시켰습니다. 첫째, 많은 관리자들이 라우터에서 ICMP를 사용하지 않습니다. 둘째, 연결의 지연 시간이 매우 높은 경우(예: 위성 연결), 계산 결과를 신뢰할 수 없습니다. 이러한 경우, 그룹 정책에서는 연결이 실제로 빠르거나 느린지를 확인할 수 있는 보장된 방법이 없었습니다.
뿐만 아니라 그룹 정책 엔진은 시스템이 하이버네이션 또는 대기 모드에서 복원 중인지를 확인할 수 있는 방법이 없습니다. 또한 6개월 동안 네트워크에 연결하지 않다가 갑자기 연결할 경우에는 그룹 정책 엔진에서 사용자를 인식할 수 없습니다. Windows XP 또는 Windows 2000 실행 시스템을 사용할 경우 전화 접속 연결, 전자 메일 확인, 연결 끊기 등의 작업 시에는 그룹 정책을 새로 고칠 필요가 없습니다. 대부분의 관리자는 하이버네이션 또는 대기 모드로부터 복원 중인 시스템이나 장기간 동안 사용하지 않다가 오랫만에 전화 접속을 시도하는 시스템에 대해 필요에 따라 그룹 정책 새로 고침을 수행할 수 있습니다.
업데이트된 Windows Vista 그룹 정책은 네트워크 연결에 대한 정보를 실시간으로 확인합니다. 주요 변경 사항은 그룹 정책 엔진에서 이제는 Windows Vista의 NLA(Network Location Awareness) 2.0 처리기가 사용된다는 점입니다. NLA 서비스는 도메인 컨트롤러를 사용할 수 있게 될 때마다 이를 그룹 정책 엔진에 알려 줍니다. 그에 따라 필요한 경우 그룹 정책 새로 고침이 수행됩니다.
다중 로컬 GPOWindows Vista 이전에는 GPO(그룹 정책 개체)가 하나만 지원되었습니다. 명령 프롬프트에 GPEDIT.MSC를 입력하고 설정을 일부 변경하면 이 설정이 해당 시스템을 사용하는 모든 사용자 및 관리자에게 영향을 주었습니다. 이러한 현상은 일반적인 사용자를 위해서는 시작 메뉴에서 실행 명령을 제거하고 관리자를 위해서는 이 명령을 그대로 유지하려는 경우 자주 문제가 되었습니다.
새로운 다중 로컬 GPO 기능은 GPO 계층을 사용하여 이러한 문제를 해결합니다. 이 기능은 Active Directory 도메인에 참여하지 않은 대부분의 시스템에서 사용될 것입니다. 하지만 이 기능은 기업 사용자에게도 유용할 수 있습니다.
계층을 기반으로 하는 새로운 다중 로컬 GPO 기능은 약간 복잡할 수 있습니다(그림 1 참조). 로컬 컴퓨터 시스템 컨텍스트에 적용되며 해당 시스템의 모든 사용자에게 영향을 주는 기본 로컬 GPO도 계속 존재합니다. 이 GPO는 컴퓨터 설정 및 사용자 설정을 모두 정의합니다.
그림 1 사용자의 전체 로컬 그룹 정책
두 번째 계층은 로컬 시스템의 관리자 또는 비관리자 그룹의 구성원에 영향을 줍니다. 기본적으로 사용자 계정은 두 그룹에 동시에 존재할 수 없습니다. 계층은 사용자가 로컬 시스템 관리자인지 일반 사용자인지 확인한 다음 적합한 GPO(관리자 또는 비관리자)를 적용합니다. 세 번째 계층은 특별하게 명명된 로컬 시스템 사용자 계정에 영향을 줍니다.
따라서 시스템을 사용 중인 특정 사용자에게 영향을 줄 수 있는 잠재적인 로컬 GPO에는 세 가지가 있습니다. 이 세 가지 계층을 사용하여 특정 시스템의 모든 사용자에게 설정을 제공하거나, 시스템의 비관리자에게만 영향을 주는 추가 설정, 시스템의 단일 사용자에게만 영향을 주는 최종 설정을 제공할 수 있습니다.
물론 시스템이 Active Directory® 도메인에 참여되어 있으면 로컬 정책을 대신하여 Active Directory 그룹 정책 개체가 우선적으로 적용됩니다. 도메인 관리자는 Windows Vista에 대한 모든 로컬 GPO 처리를 끄도록 선택할 수 있습니다.
오류 메시지 및 문제 해결Windows Vista는 전혀 새로운 이벤트 로그 시스템을 제공합니다. 그룹 정책 엔진은 일반적으로 이벤트 로그라 부르는 이 새로운 Windows Eventing 6.0 시스템을 사용하여 이벤트를 두 가지 로그로 나눕니다. 익숙한 시스템 로그(관리자 로그로 표시)에는 그룹 정책 문제가 포함됩니다. 그룹 정책 엔진에 오류가 발생하면 Userenv 프로세스가 아닌 그룹 정책 서비스로부터 발생하는 오류가 시스템 로그에 표시됩니다.
새로운 응용 프로그램 및 서비스 로그, 즉 작업 로그는 특히 그룹 정책을 위한 것으로서 작업 이벤트를 저장합니다. 이 방식은 그룹 정책 엔진의 각 단계를 쉽게 읽을 수 있도록 여기에 나열함으로써, userenv.log 문제 해결 파일을 사용할 때의 번거로움을 덜 수 있습니다.
ADM 및 ADMXWindows NT® 4.o부터 ADM 파일은 그룹 정책에서 가능한 작업에 대한 기본적인 정의 템플릿을 제공해왔습니다. 그룹 정책의 모든 항목이 ADM 파일에 의해 제어되는 것은 아니지만 User Configuration | Administrative Templates 및 Computer Configuration | Administrative Templates 아래에 있는 모든 항목을 담당합니다.
기능적으로 이러한 ADM 파일은 약간의 결점을 갖고 있습니다. Windows Vista 이전의 Windows 버전에서는 새로운 GPO를 만들 때마다 이러한 ADM 파일의 일부를 GPO당 5MB 정도로 SYSVOL에 있는 모든 GPO 폴더에 복사했습니다. GPO가 많을 경우 SYSVOL에 많은 중복된 시스템 템플릿 파일이 배치되며, 그 결과 이러한 각 5MB 너겟으로부터 많은 복제가 발생합니다.
또한 ADM 파일은 언어 중립적이지 않습니다. ADM 파일은 한 언어로 제작되었으며 이 파일을 사용하는 모든 사용자는 선택한 해당 언어에 익숙해야 합니다.
Windows Vista의 그룹 정책은 ADMX라 부르는 정책 정의 파일을 위한 새로운 XML 기반 형식을 도입하여 이러한 문제를 해결합니다. ADMX 파일 자체는 언어 중립적입니다. 하지만 언어 고유의 ADML 파일이 함께 있어야 합니다. ADMX 파일에 더 많은 ADML 파일을 추가함으로써 더 많은 언어를 간단하게 추가할 수 있습니다.
ADMX 형식은 중앙 저장소를 지원합니다. 즉, 모든 중복된 정보의 복제 작업을 없애고 ADMX 파일을 쉽게 업데이트할 수 있습니다. 한 서비스 팩으로부터 ADMX 파일이 업데이트된다고 가정해 보십시오. 이 경우에는 업데이트된 파일을 중앙 저장소에 갖다 놓기만 하면 작업이 완료됩니다. 도메인에서 Windows Vista 워크스테이션을 사용 중인 모든 그룹 정책 관리자는 업데이트된 ADMX 파일을 사용할 수 있습니다. 이전에는 각 관리자의 시스템에 올바른 업데이트된 ADM 파일이 있는지 확인하는 어려운 방식을 사용해야 했습니다.
도메인 관리자는 각 Active Directory 도메인에 대해 한 번씩 SYSVOL에 중앙 저장소를 수동으로 만들어야 합니다. 중앙 저장소를 만든 다음에는 GPO를 만들고 관리하기 위해 Windows Vista 시스템을 사용하는 모든 관리자가 자동으로 중앙 저장소를 사용하게 됩니다. 이 기능은 Windows Vista에서만 제공되며 Active Directory 도메인에 참가된 Windows Vista 시스템은 중앙 저장소의 존재 여부를 확인합니다. 코드명 "Longhorn"이라는 다음 버전의 Windows Server®를 기다릴 필요도 없으며 사용자 시스템을 Windows Vista로 변환할 필요도 없습니다. 이 기능은 도메인이 Windows Server Longhorn, Windows Server 2003, 또는 심지어 Windows 2000을 기반으로 하는지 여부에 관계없이 사용할 수 있습니다. 중앙 저장소의 장점을 활용하기 위해서는 중앙 저장소를 만들고 Windows Vista 시스템을 사용하여 GPO를 만들고 관리하면 됩니다.
앞에서 언급한 바와 같이 ADMX 및 ADML 파일은 XML을 기반으로 합니다. XML의 기본적인 장점은 업계 표준 언어를 사용한다는 점입니다. 하지만 ADMX 그래픽 편집기가 없으며 아직까지 Microsoft에서도 이러한 제품을 출시할 계획이 없다는 점에 주의해야 합니다. 또한 이미 갖고 있는 사용자 지정 ADM 템플릿에 대한 ADM-ADMX 변환 도구도 없습니다.
Windows Vista는 이전 버전의 Windows에서 제공되었던 6~8개의 ADM 파일 대신 약 130개의 ADMX 파일을 제공합니다. 이러한 파일은 그림 2에서와 같이 \Windows\PolicyDefinitions 디렉터리에 있습니다. ADML 파일은 언어 고유 하위 디렉터리(예: 미국 영어의 경우 en-US 디렉터리)에 저장됩니다.
그림 2 \Windows\PolicyDefinitions 디렉터리에 있는 ADMX 파일 (작게 보려면 이미지를 클릭하십시오.)
그림 2 \Windows\PolicyDefinitions 디렉터리에 있는 ADMX 파일 (크게 보려면 이미지를 클릭하십시오.)
Windows XP 및 Windows Server 2003에서는 GPMC(Group Policy Management Console)가 다운로드로 제공되었습니다. GPMC는 스크립팅 가능한 Microsoft Management Console로서 그룹 정책 관리를 위한 단일 관리 도구를 제공했습니다.
Windows Vista에서는 GPMC가 제품 자체에 포함되었습니다. 즉, GPO를 만들거나 편집할 준비가 되었을 때마다 작업을 위해 가장 유용한 도구를 쉽게 사용할 수 있습니다. Windows Vista 시작 | 검색의 명령 프롬프트에 GPMC.MSC를 입력하면 기능을 바로 사용할 수 있습니다.
새로운 제어 기능Windows Vista는 800개 정도의 새로운 정책 설정을 제공합니다. 이러한 설정은 여러 범주에 포함되며 이들 중 상당 수는 이미 사용자가 알고 있고 사용하고 있는 것입니다. 하지만 Windows Vista는 기존에 없었거나 그룹 정책 제어 기능이 부족하던 새로운 범주를 제공합니다.
그룹 정책의 향상된 영역으로는 유선 및 무선 네트워킹 정책, Windows 방화벽 및 IPsec, 인쇄 관리, 데스크톱 셸, 원격 지원 및 Tablet PC 등이 있습니다. 업데이트된 유선 및 무선 정책에는 포리스트 전반의 스키마 업데이트가 필요할 수 있습니다. 자세한 내용은 microsoft.com/technet/itsolutions/network/wifi/vista_ad_ext.mspx를 참조하십시오.
Windows Vista 그룹 정책의 신규 영역에는 이동식 저장소 장치 관리, 전원 관리, 사용자 계정 제어, Windows 오류 보고, 네트워크 액세스 보호 및 Windows Defender가 포함됩니다.
특별히 Windows Vista 시스템에 영향을 주는 이러한 영역을 제어하기 위해서는 GPO를 만들거나 편집할 때 Windows Vista 시스템 또는 Windows Server "Longhorn" 시스템을 사용해야 합니다. 그 이유는 이전의 운영 체제의 경우 Windows Vista 고유의 이러한 새로운 설정을 인식하지 못하기 때문입니다.
이러한 영역에 대한 고찰만으로도 전체 기사 분량의 내용이 될 것이므로, 여기에서는 이러한 각 영역을 자세히 다루지 않습니다. 하지만 휴대용 저장소 장치 관리 기능과 전원 관리 기능(그림 3) 참조)은 특별히 주목할 만한 가치가 있습니다. 이러한 기능은 관리자에게 있어서 매우 유용한 기능이 될 것입니다. 간단히 말해서 이러한 영역은 Windows Vista에 연결된 장치에 대한 매우 세부적인 제어를 가능하게 할 뿐 아니라 회사 비용을 줄이기 위해 랩톱, 데스크톱 및 모니터에 대해 어떤 종류의 전원 설정을 사용할지를 제어할 수 있게 해줍니다.
그림 3 그룹 정책을 통해 전원 관리 강제 적용 (작게 보려면 이미지를 클릭하십시오.)
그림 3 그룹 정책을 통해 전원 관리 강제 적용 (크게 보려면 이미지를 클릭하십시오.)
Windows Vista에 추가된 전원 관리 설정으로 관리자는 사용 중이 아닌 비디오 디스플레이 모니터를 끄거나 저전력 "대기" 모드로 전환할 수 있습니다. Environmental Protection Agency의 Energy Star 웹 사이트에 게시된 연구 조사에 따르면 모니터 전원을 제어하는 것만으로도 모니터당 미화로 연간 10달러에서 30달러를 절감할 수 있다고 합니다. 회사 내에 모니터가 수백 또는 수천 대 있을 경우 이러한 차이는 매우 큰 비용 절감 효과를 가져올 수 있습니다.
휴대용 저장소 관리 기능의 경우 관리자가 학생들이 자신의 USB 플래시 드라이브를 사용하여 학교 내 키오스크 워크스테이션에 있는 시험지, 숙제 또는 기타 문서에 액세스하기를 원한다고 가정해 보십시오. 하지만 가능한 남용 문제 및 보안 위험으로 인해 학교에서 승인된 USB 드라이브가 아닌 한 학생들에게는 학교 키오스크 워크스테이션에서 USB 드라이브에 대한 쓰기 권한을 제공하지 않는 것이 좋습니다. 이러한 유형의 장치 관리 세분성은 Windows Vista 그룹 정책 설정을 통해 가능합니다.
랩업Windows Vista의 관리 기능의 향상 내용은 겉으로 드러나지 않습니다. 관리자는 Windows Vista 그룹 정책이 제공하는 강력하고 유연한 구성 관리와 향상된 구성 가능 설정, 새로운 리소스를 통해 시스템 보안을 향상시키고 비용을 절감할 수 있습니다.
이 문서에서 설명한 기능 중 일부는 Windows Vista가 출시되면 확인할 수 있습니다. 하지만 그룹 정책 팀에서는 이미 다음 버전을 고려하고 있습니다. 추가적인 그룹 정책 기능이 Windows Server "Longhorn" 개발 기간에 제공될 것입니다. 또한 이러한 기능이 Windows Vista 초기 출시 시에는 제공되지 않더라도 서비스 팩이나 일부 다른 추가 기능 방식을 통해 Windows Vista에 제공될 수 있습니다. 따라서 이러한 최신 기능은 변경될 수도 있지만 앞으로 세 가지 주요 부문이 향상될 것입니다. 그리고 이러한 기능 중 어떤 것도 작동을 위해 반드시 Windows Server "Longhorn"이 필요한 것은 아닙니다.
주석 자주 요청되는 기능 중 하나는 각 GPO가 수행하는 작업 또는 모든 특정 그룹 정책 설정이 수행하는 작업에 대한 주석을 추가할 수 있게 해달라는 것입니다. 현재로서는 GPO 추적 및 설정을 스프레드시트에 보관하고 여기에서 주석을 달 수 밖에 없습니다. 주석을 입력할 수 있는 기능이 곧 추가될 예정입니다.
템플릿 일부 경우에 관리자는 다른 관리자에게 GPO 생성 시 참조할 수 있는 자료를 제공하기를 원합니다. 그룹 정책 템플릿은 이러한 기능을 제공합니다. 템플릿을 사용할 경우 관리자는 자신의 사용자 지정된 GPO를 쉽게 만들 수 있습니다. Microsoft는 여러 종류의 시스템을 제어하는 방법에 대한 특정 지침을 제공하는 초기 템플릿 집합에 대한 일상적인 시나리오를 추가할 예정입니다. 자세한 내용은 일상적인 시나리오 설명서 및 파일 (영문)을 참조하십시오.
검색 및 필터 정책 설정 수가 너무 많으면 필요한 특정 정책 설정을 찾기가 어려울 수 있습니다. 다행스럽게도 새로운 검색 기능을 통해 제목, 설명 텍스트 및 정책 설정 주석 내부의 텍스트를 쉽게 검색할 수 있게 되었습니다. 또한 GPO 내에서 활성화된 또는 비활성화된 정책 설정을 간단하게 볼 수 있기 때문에 잘못 사용되는 GPO를 신속하게 변경할 수 있습니다.
windowsserverfeedback.com (영문)의 Windows Server 피드백 포털에 방문하여 그룹 정책 기능에 대한 추가 요청을 제출할 수 있습니다.
그룹 정책 부문의MCSE 및 MVP인 Jeremy Moskowitz는 그룹 정책에 대한 커뮤니티 포럼인 GPanswers.com을 운영하고 있습니다. 또한 2일짜리 그룹 정책 집중 교육 과정을 운영하고 있습니다. 그의 최근 저서로는 Group Policy, Profiles and Intelli¬Mirror, Third Edition(Sybex, 2005)이 있습니다. Jeremy에게 연락하려면 www.GPanswers.com (영문)을 방문하십시오. Microsoft 그룹 정책 팀의 Mark Lawrence는 이 문서 작성에 도움을 주었습니다.
TechNet Magazine (영문)의 2006년 11월 (영문)에서 발췌한 내용입니다.
의견이 있으시면 언제든지 의견 (영문)을 보내 주시기 바랍니다.