그룹 정책 / Group Policy

그룹 정책 처리 과정 및 업데이트 주기 등등 그룹 정책에 대해서 이야기 해 보도록 하겠습니다.

[정리]

DFS(Distributed File System) 기능을 통해 DC 간 sysvol 폴더에 있는 그룹정책 관련 파일들을 복제합니다.

멤버 서버(도메인에 조인된 서버들)에서 어떤 DC 서버를 통해 그룹 정책을 받아오는지 확인 하실 수 있습니다. 일반적으로 그룹 정책 변경점이 발생할 경우 그룹 정책 새로 고침 주기에 따라 약 90+@(최대30분) 후에 변경되나, 바로 적용이 필요할 경우 gpupdate /force 명령어를 통해 가능합니다.

시간이 있으시다면 아래 확인된 내용도 읽어 보시길 바랍니다.

[확인사항] 

• Member 서버에서는 가장 가까운 도메인 컨트롤러에 쿼리를 보내 DC에 대한 연결 속도, Active Directory 계층 구조에서의 위치(즉, 클라이언트가 속한 사이트, 도메인 및 OU) 및 컴퓨터 또는 현재 로그온한 사용자에게 적용되는 GPO를 확인합니다. (이 경우 클라이언트는 Active Directory 도메인에 참가하는 서버 또는 워크스테이션일 수 있음을 유의해야 합니다.)   

• 그룹 정책은 컴퓨터와 사용자 모두에 적용된다는 점을 기억해야 합니다.

• 각 주기는 그룹 정책 엔진 프로세스(Windows 2000, Windows XP 및 Windows Server® 2003에서는 Winlogon 프로세스, Windows Vista® 및 Windows Server 2008에서는 그룹 정책 클라이언트 서비스) 내의 서로 다른 스레드에서 실행됩니다.

• 포그라운드 처리와 백그라운드 처리 사이에는 차이가 있습니다. 포그라운드 처리는 시스템 재시작 도중 컴퓨터에 대해, 그리고 사용자 로그온 도중 사용자에 대해 수행됩니다. 

• 백그라운드 새로 고침은 기본적으로 90분에 최대 30분의 임의의 값을 더한 시간마다 워크스테이션 및 구성원 서버에서 수행되고, 도메인 컨트롤러에서는 기본적으로 5분 간격으로 수행됩니다. 

•  GPO를 변경하면 해당 GPO를 처리하는 클라이언트가 변경을 감지하고 GPO를 다시 처리한다는 점입니다. 그러면 클라이언트는 GPO가 변경된 것을 어떻게 감지할까요? 클라이언트는 GPO 및 클라이언트 내의 버전 번호를 이용하여 감지합니다.

•  GPO는 Active Directory에서 각 도메인 안의 CN=Policies, CN=System 컨테이너에 저장되는 GPC와 SYSVOL에서 "Policies" 폴더 안에 저장되는 GPT의 두 가지로 구성됩니다.

GPO의 각 부분에는 버전 번호가 있습니다. 

GPC의 경우 이 버전 번호는 GPC 개체의 versionNumber 특성에 저장됩니다. GPT의 경우에는 특정 GPT의 루트에 있는 gpt.ini 파일 안에 저장됩니다.

클라이언트에서는 지금까지 처리한 GPO의 버전 번호 레코드를 사용자 및 컴퓨터 별로 레지스트리에 유지합니다.

이 버전 정보는 컴퓨터의 경우 HKLM\Software\Microsoft\Windows\Currentversion\Group Policy\History에 저장되고 각 클라이언트의 사용자에 대해서는 HKLM\Software\Microsoft\Windows\Currentversion\Group Policy\<SID of User>에 저장됩니다. 즉, 로컬 GPO, 사이트에 연결된 GPO, 도메인에 연결된 GPO, OU에 연결된 GPO의 순서로 처리해야 합니다. 

 

Gpupdate /force 실행 시 아래와 같이 수동 정책 처리를 시작한다는 이벤트가 기록됩니다.

 

Member Server가 어떤 DC에서 정책을 받아오는지는 아래 경로를 통해 확인할 수 있습니다.

DC1번 서버에서 정책을 받고 있던 중 장애로 인해 DC1 서버가 종료 되었을 경우, DC2 서버로 자동으로 Failover하여 정책을 받아옵니다.

그룹 정책 관리 편집기를 이용하여 멤버 서버의 그룹 정책 다시 고침 간격을 변경할 수 있습니다.

 

정책이 변경 되었다고 클라이언트에 바로 적용되지는 않습니다.

아래와 같은 경우 중 하나라도 해당될 경우 정책이 적용됩니다.

• 컴퓨터가 시작할 때
• 사용자가 로그온 할 때
• 응용 프로그램이 다시 고침을 요구할 때
• 사용자가 다시 고침을 요구할 때
• 그룹 정책 다시 고침 간격이 되었을 때 (기본값 90+@ 최대 30분 )

 

그룹 정책 설정은

• 관리 템플릿 파일(ADM or ADMX File)
• 그룹 정책 편집기 or GPEdit

사용하여 확인할 수 있습니다.

 

일부 설정을 적용하려면 다시 부팅해야 합니다. GPO 설정이 제대로 작동하지 않을 경우 이는 GPO의 고유한 처리 방식 때문일 수 있습니다. GPO 백그라운드 새로 고침이 정기적으로 트리거될 경우 GPO 설정 전체가 아닌 일부만 처리될 수 있습니다. 따라서 설정을 만들었어도 해당 설정이 아직 적용되지 않았을 수 있습니다. 포그라운드 정책으로 분류되는 몇 가지 설정이 있는데, 이러한 설정은 컴퓨터를 다시 부팅하거나 사용자가 로그 오프한 후 다시 로그인하는 경우에만 적용됩니다. 이와 같은 방식으로 작동하는 설정으로는 소프트웨어 설치, 폴더 리디렉션 및 스크립트 응용 프로그램이 있습니다.

출처 - http://technet.microsoft.com/ko-kr/magazine/2007.02.troubleshooting.aspx