그룹 정책

위키백과, 우리 모두의 백과사전.
이동: 둘러보기, 검색

그룹 정책(문화어: 조책략)은 컴퓨터와 액티브 디렉터리 환경의 원격 사용자의 중점적인 관리와 구성을 제공하는 마이크로소프트 윈도 NT 계열 운영 체제의 기능이다. 이것은 윈도 사용자 지원에 대한 전반적인 비용을 줄이는 목적을 가진 마이크로소프트 인텔리미러(IntelliMirror) 기술들의 일부이다. 이러한 기술들은 연결되지 않은 컴퓨터나 로밍 사용자의 관리와 관련되어 있으며 오프라인 파일, 폴더 리다이렉션, 로밍 사용자 프로파일을 포함한다.

그룹 정책이 보통 기업 환경에서 쓰이지만, 학교, 비즈니스, 다른 작은 단체들이 보안의 위험에 노출되는 특정한 동작을 제한하기 위해 사용하기도 한다. 이를테면, 윈도 작업 관리자를 막고, 특정한 폴더로의 접근을 제한하며, 실행 파일을 다운로드받을 수 없게 하는 등의 작업을 실행할 수 있다.

로컬 그룹 정책[편집]

로컬 그룹 정책(LGP)은 액티브 디렉터리에 쓰이는 그룹 정책의 가장 기본이 되는 버전이다. 윈도 비스타 이전의 윈도에서 LGP는 하나의 로컬 컴퓨터를 위한 그룹 정책을 구성할 수 있으나 액티브 디렉터리 그룹 정책과는 다르게 개인 사용자나 그룹에 대한 정책을 구성하지는 못한다. 여기에는 액티브 디렉터리 그룹 정책 이상의 옵션들도 여러 개 있다. 특정 사용자를 제한하는 것은 레지스트리 편집기를 이용하여 HKCU 및 HKU 키를 변경하여 수행할 수 있다. 로컬 그룹 정책은 단순히 HKLM 키를 변경하는 것이므로 모든 사용자에게 영향을 미친다. 특정 사용자에게만 영향을 미치게 하는 것은 HKCU나 HKU 키를 변경하여 똑같이 수행할 수 있다. 마이크로소프트는 레지스트리 편집기를 이용하여 그룹 정책을 구성하기 위한 더 자세한 정보를 테크넷을 통해 제공하고 있다.[1] 로컬 그룹 정책은 도메인 상의 컴퓨터에 사용할 수 있으며 윈도 XP 홈 에디션에서 사용할 수 있다.

윈도 비스타는 다중 로컬 그룹 정책 객체인 MLGPO를 지원하며 이 기능을 사용하면 개별 사용자에 대한 그룹 정책을 설정할 수 있다.[2]

보안[편집]

사용자별 정책에는 특정한 응용 프로그램에만 정책이 적용된다는 문제가 있다.[3] 악의가 있는 사용자는 프로그램이 그룹 정책 설정을 불러 오지 못하게 하거나 임의의 값을 반환하게 하기 위해 응용 프로그램을 교란시킬 수 있다. 또, 사용자는 쓰기 가능한 장소에 응용 프로그램의 복사본을 만들어 설정을 무시하게끔 수정할 수도 있다.

주석[편집]

  1. Download details: Group Policy Settings Reference for Windows and Windows Server
  2. Step-by-Step Guide to Managing Multiple Local Group Policy Objects
  3. Shell policy is not the same as security - The Old New Thing - Site Home - MSDN Blogs

같이 보기[편집]

바깥 고리[편집]