Active Directory Group policy -1

1. Active Directory 그룹정책

• AD서버의 사용자 및 컴퓨터에서 조직 구성 단위(OU: admin, sales)를 만든다.

 

• admin ou에는 Users컨테이너에서 a유저와 Computers컨테이너에서 w10-1를 옮겨오고 sales ou에는 Users컨테이너에서 b유저와 Computers컨테이너에서 w10-2를 옮겨온다.

• C드라이브에 Desk라는 폴더를 만들고 거기에 2개의 jpg파일을 넣어둔다. 서버 관리자에서 그룹 정책 관리를 클릭하여 새로 만들기를 클릭한다.

 

• admin_desk라는 GPO를 만들어 준다.

 

 

• 만들어진 admin_desk를 오른쪽 클릭 -> 편집을 눌러 사용자 구성의 바탕 화면에서 바탕 화면 배경 무늬를 더블 클릭한다.

• 사용을 클릭한 다음 배경 무늬 이름은  상단과 같이 입력해준다.

 

• 그룹 정책 관리로 돌아와 admin ou를 오른쪽 클릭 -> 기존 GPO 연결로 admin_desk와 연결해준다.

• W10-1의 cmd창에서 gpupdate /force를 입력해주고 a유저로 재로그인해주면 선택한 배경화면으로 바껴있는 것을 알 수 있다. Sales_desk도 이와 같이 진행해주고 W10-2에 적용해준다.

• 그룹 정책 개체에서 새 GPO를 만들어준다.

• 사용자 구성 -> 관리 템플릿 -> internet explorer에서 쿠키 삭제 방지와 사용자가 방문한 웹 사이트 삭제 방지를 사용으로 해준다.

 

• 그룹 정책 관리 편집기에서 admin OU를 오른쪽 클릭하여 admini_IE를 선택해준다.

 

 

 

 

• cmd에서 gpupdate /force후 재로그인 하여 internet explorer의 인터넷 옵션에서 검색 기록 삭제 항목을 클릭하면 이와 같은 화면을 확인할 수 있다.

 

• 제어판을 제어할 그룹정책을 생성한다.

 

 

• 사용자 구성 -> 관리 템플릿 -> 제어판을 클릭한다.

 

• Prohabit access to Control Panel and PC settings를 찾아 사용을 클릭한다.

 

• Sales OU를 클릭해 sales_control GPO와 연결한다.

 

• W10-2에서 gpupdate /force와 함께 제어판을 실행한 뒤 상단과 같은 메시지가 뜨는 것을 확인한다. W10-1에는 아무 설정을 안한 상태이므로 접속되는 것을 확인할 수 있다.

 

• GPO는 아래에서부터 위로 적용이 된다.

 

• Sales OU에서 상단의 GPO를 만든다.

 

• Prohabit access to Control Panel and PC settings에서 사용 안 함으로 선택한다.

 

• 이 상태에서 3번 항목을 위로 올리면 W10-2에서 제어판이 실행되는 것을 알 수 있다.

 

• 위치가 바뀌어 있는 상태에서 하나의 GPO를 강제 적용시킬 수도 있다.

 

• 가상 머신에 연결된 USB를 제어할 수도 있는데 USB를 연결하고 Connect를 누른다.

 

 

• admin ou에서 admin_USB를 생성한다.

 

• 시스템 -> 이동식 저장소 액세스에서 이동식 디스크 : 쓰기 권한 거부를 사용함으로 한다.

 

• admin OU에 admin_USB GPO를 적용한다.

 

 

• W10-1에서 gpupdate /force로 적용하고 USB에서 메모장등을 만드려고 하면 상단과 같은 경고 메시지가 뜬다.