liminfo

Group Policy Reference

Windows 그룹 정책 레퍼런스

40개 결과

Group Policy Reference 소개

그룹 정책(GPO) 레퍼런스는 Windows 그룹 정책 개체 관리를 위한 종합적이고 검색 가능한 가이드입니다. 그룹 정책 관리 콘솔(GPMC)에서 직접 따라갈 수 있는 실제 탐색 경로(예: "컴퓨터 구성 > 정책 > Windows 설정 > 보안 설정 > 계정 정책 > 암호 정책")를 포함하여, 컴퓨터 구성과 사용자 구성 노드 하위의 전체 정책 경로 계층을 다룹니다. 컴퓨터설정, 사용자설정, 보안, 네트워크, 소프트웨어, 스크립트, GPO관리, 트러블슈팅 8가지 카테고리로 구성됩니다.

Windows 시스템 관리자, IT 인프라 엔지니어, Active Directory 설계자가 주요 대상입니다. 보안 섹션에서는 암호 복잡성 정책, 계정 잠금 임계값, 사용자 권한 할당, 보안 옵션(로그인 시 마지막 사용자 이름 표시 비활성화 등), AppLocker 애플리케이션 제어 규칙을 다룹니다. 네트워크 섹션에서는 DNS 클라이언트 설정, Windows Defender 방화벽 프로필(도메인, 개인, 공용), 오프라인 파일 캐싱, DSCP 값 설정을 포함한 정책 기반 QoS를 다룹니다.

레퍼런스는 GPO 운영 관리도 포함합니다: 소프트웨어 설치를 통한 MSI 패키지 배포, WSUS 업데이트 대상 구성, 시작/종료 및 로그온/로그오프 이벤트 시 PowerShell 및 배치 스크립트 실행, 상속 차단 및 강제 연결 옵션을 이용한 정책 상속 관리. 트러블슈팅 섹션에서는 gpupdate /force, gpresult /h, rsop.msc, dcgpofix 명령어와 GroupPolicy 운영 로그의 이벤트 뷰어 경로를 상세히 다루어 GPO 적용 문제 진단에 필요한 모든 정보를 제공합니다.

주요 기능

  • 보안 설정, 관리 템플릿, Windows 방화벽, 고급 감사 정책에 대한 컴퓨터 구성 정책 경로
  • 폴더 리디렉션(%username% 포함 네트워크 공유 경로), 시작 메뉴 레이아웃, 제어판 제한에 대한 사용자 구성 경로
  • 암호 복잡성/길이/만료, 계정 잠금 임계값, 사용자 권한 할당, AppLocker 실행 파일/스크립트/설치 프로그램 규칙 등 보안 정책
  • DNS 접미사 구성, Windows Defender 방화벽 도메인/개인/공용 프로필, 오프라인 파일 캐싱, QoS DSCP 태깅 등 네트워크 정책
  • GPO를 통한 소프트웨어 배포: MSI 할당(자동 설치) vs 게시(사용자 선택), WSUS 업데이트 서버 지정, MSIX 사이드로딩
  • 시작/종료 및 로그온/로그오프 스크립트, PowerShell 실행 정책(AllSigned/RemoteSigned), 동기/비동기 처리 등 스크립트 실행 정책
  • gpupdate /force, gpresult /r 및 /h, GPMC(gpmc.msc), OS 버전 타겟팅을 위한 WMI 필터 쿼리, 상속/강제/차단 제어 등 GPO 관리 명령어
  • HTML GPO 보고서(gpresult /h), RSoP 스냅인(rsop.msc), 기본 GPO 복원(dcgpofix), GroupPolicy 운영 이벤트 로그 경로 등 트러블슈팅 도구

자주 묻는 질문

그룹 정책 개체(GPO)란 무엇이고 어떻게 동작하나요?

GPO는 Active Directory 도메인의 컴퓨터와 사용자에게 적용되는 Windows 설정의 모음입니다. GPO는 사이트, 도메인, 조직 구성 단위(OU)에 연결되어 시작 시(컴퓨터 구성)와 로그온 시(사용자 구성) 클라이언트에서 처리됩니다. 보안, 소프트웨어 배포, 스크립트, 수백 개의 레지스트리 기반 관리 템플릿 정책을 다룰 수 있습니다.

그룹 정책 업데이트를 즉시 적용하려면 어떻게 하나요?

명령 프롬프트에서 gpupdate /force를 실행하면 표준 갱신 주기(기본 90분)를 기다리지 않고 즉시 모든 정책을 다시 적용합니다. /target:computer 또는 /target:user 옵션으로 한쪽만 갱신할 수 있습니다. 원격 컴퓨터에서는 GPMC의 그룹 정책 업데이트 우클릭 옵션이나 PowerShell의 Invoke-GPUpdate를 사용합니다.

컴퓨터나 사용자에게 어떤 GPO가 적용되었는지 확인하려면?

적용된 GPO 목록과 소스를 텍스트로 보려면 gpresult /r을, 자세한 HTML 보고서를 생성하려면 gpresult /h C:\report.html을 실행합니다. rsop.msc(정책 결과 집합)를 열면 각 설정에서 최종 적용된 GPO를 MMC 스냅인 뷰로 확인할 수 있습니다.

소프트웨어 배포에서 할당과 게시의 차이는 무엇인가요?

할당은 MSI 패키지를 자동으로 설치합니다. 컴퓨터 구성에 연결하면 다음 시작 시, 사용자 구성에 연결하면 다음 로그온 시 또는 사용자가 처음 애플리케이션을 실행할 때 설치됩니다. 게시는 프로그램 추가/제거에 패키지를 추가하여 사용자가 수동으로 설치할 수 있게 하며, 사용자 구성에서만 사용 가능합니다.

WMI 필터링은 어떻게 특정 OS 버전을 대상으로 하나요?

WMI 필터는 GPO에 연결된 WQL 쿼리로, 해당 GPO가 특정 컴퓨터에 적용될지 여부를 제어합니다. 예를 들어 SELECT * FROM Win32_OperatingSystem WHERE Version LIKE "10.%"는 GPO를 Windows 10/11 및 Windows Server 2016+로 제한합니다. WMI 쿼리 결과가 false이면 해당 컴퓨터에서 GPO 전체가 건너뜁니다.

상속 차단(Block Inheritance)과 강제(Enforced)의 차이는 무엇인가요?

OU에 설정된 상속 차단은 상위 계층(도메인 또는 상위 OU)에 연결된 GPO가 해당 OU로 내려오지 않도록 합니다. GPO 링크에 설정된 강제(이전 명칭: No Override)는 상속 차단이 설정된 OU에도 강제로 적용되도록 합니다. 강제는 항상 상속 차단보다 우선합니다.

PowerShell 스크립트를 그룹 정책으로 배포하려면 어떻게 하나요?

컴퓨터 구성 > 정책 > Windows 설정 > 스크립트 > 시작(또는 종료)으로 이동하여 추가를 클릭하고 .ps1 파일 경로(일반적으로 \\server\share\script.ps1 같은 UNC 경로)를 지정합니다. Windows PowerShell 관리 템플릿 정책에서 스크립트 실행 정책을 RemoteSigned 또는 AllSigned로 설정하는 것도 잊지 마세요.

손상된 기본 도메인 정책을 복원하려면 어떻게 하나요?

도메인 컨트롤러에서 dcgpofix /target:both를 실행하면 기본 도메인 정책(암호 및 계정 잠금 정책 포함)과 기본 도메인 컨트롤러 정책을 공장 초기화 상태로 복원합니다. 이 두 GPO에 설정한 모든 사용자 지정 내용이 덮어쓰이므로 최후의 수단으로만 사용해야 합니다.