[GPO] Loopback GPO의 활성화 방법은?
Active Directory (이하 AD)를 도입해서 사용하다보면, 일반적으로 AD에서 제공하는 GPO 기반으로 처리가 가능한 여러 정책들과 함께, 기존 GPO 기반으로 처리가 힘들 정책 적용이 필요한 항목들이 종종 나오게 됩니다.
그중에서 특정 컴퓨터에 접근하는 사용자에게 특정 컴퓨터에 부여된 Computer GPO를 적용하게 할수 없을까라는 의문이 들게된다. 보통 공용 PC or Server 또는 공용 개발 Server등이 여기에 해당되는데 이럴때는 기본적인 GPO를 통해서 통제가 상당히 번거로운 작업이 될수 있다.
하지만 Loopback 기능을 사용한다면 간단하게 해당 요구 사항을 처리할 수 있어 해당 기능을 사용하는 방법을 서술 해보고자 한다. (해당 기능은 기업 환경에서 많이 사용되는 부분이기 때문에 알아두면 많이 유용하게 사용할 수 있다)
MS에서 정의하는 Loopback 에 대해서는 아래를 참고 하시기 바랍니다. (기계 번역문이기 때문에 어쩔수 없이 어색 합니다.)
루프백 처리 기능을 사용하면 Active Directory 내에서의 위치에 관계없이 특정 컴퓨터에 로그온하는 모든 사용자에게 동일한 정책 설정 집합이 적용되도록 할 수 있습니다.
루프백 처리는 서버, 키오스크, 실험실, 강의실 및 접수처와 같이 긴밀하게 관리되는 환경의 컴퓨터에 유용한 고급 그룹 정책 설정입니다. 루프백을 설정하면 컴퓨터에 로그온하는 모든 사용자에게 해당 컴퓨터에 적용되는 GPO의 사용자 구성 정책 설정이 사용자의 사용자 구성 설정 대신(바꾸기 모드의 경우) 또는 이 설정에 추가로(병합 모드의 경우) 적용됩니다.
루프백 처리를 설정하려면 그룹 정책 개체 편집기의 컴퓨터 구성\관리 템플릿\시스템\그룹 정책 아래에 있는 사용자 그룹 정책 루프백 처리 모드 정책 설정을 사용합니다.
어렵죠?
심플하게 말씀드리면, “A라는 Computer or Server를 사용하려는 사용자들에게 Computer를 사용할려고 하는 사용자에게 해당 Computer에 부여된 User 정책을 부여하는 거라고 생각 하시면 됩니다. 즉 Global GPO를 통해 선언된 정책과 함께 또는 무시가하고 해당 Computer에 부여된 정책을 받게 하고 싶은 부분을 충족 시킬수 있는 GPO 정책 입니다.
정책 적용은 굉장히 간단합니다.
원하는 사용자 정책을 구성하고, 적용하고자 하는 컴퓨터 OU에 적용을하고 Loopback 정책을 활성화 시키면 됩니다. 보다 자세한 내용은 아래를 참고 하시기 바랍니다.
아래 가상의 시나리오를 통해서 Loopback 설정을 진행 해볼 예정 입니다.
설정 방법
이 시나리오에서는 아래 그림과 같이 OU 구조가 구성된 asaputra.com 도메인이 Windows Server 2012 R2 도메인 컨트롤러에서 실행됩니다. 사용자는 글로벌 사용자에 따라 지역 OU 중 하나에 포함됩니다. 컴퓨터는 워크 스테이션 OU에 Dev 또는 Prod에 포함되어 있습니다. 사용자가 Dev OU에있는 컴퓨터를 제외하고 컴퓨터에 로그인 할 때 지역별로 “글로벌 사용자 정책”과 해당 “브랜딩 정책”을 받아야한다는 요구 사항이 있습니다. 사용자가 Dev OU에서 컴퓨터에 로그인 한 경우 사용자는 대신 “Dev User Policy”를 수신해야합니다.
이 요구 사항에 대한 그룹 정책 루프백 처리 및 분석을 활성화하는 단계별 단계는 다음과 같습니다.
- 필요한 사용자 정책을 컴퓨터 OU에 연결
필요한 사용자 정책이 컴퓨터 OU에 연결되어 있는지 확인하십시오. 이렇게하면 사용자 정책이이 OU의 구성원 인 컴퓨터에 로그인되어있는 경우에만 사용자에게 적용될 수 있습니다. 이 시나리오에서는 “Dev User Policy”가 컴퓨터 OU 인 Dev에 적용되었습니다.
- 사용할 컴퓨터 정책 개체를 결정합니다.
GPO 루프백 처리는 컴퓨터 정책이므로 컴퓨터 정책에서 구성 할 수 있습니다. 컴퓨터 정책 자체는 컴퓨터 OU에 연결되어야합니다. 이 시나리오에서 GPO 루프백 처리는 “Dev Computer Policy”에서 활성화되며 Dev 컴퓨터 OU에 연결되었습니다.
- GPO 루프백 처리 구성
이 설정은 컴퓨터 구성> 정책> 관리 템플릿> 시스템> 그룹 정책> 사용자 그룹 정책 루프백 처리 모드 구성에 있습니다.
설정을 두 번 클릭하세요. Enabled로 설정 한 다음 드롭 다운 메뉴에서 모드를 선택하십시오.
루프백 처리에는 두 가지 모드가 있습니다.
- 변경:이 옵션을 선택하면 컴퓨터 OU에 연결된 사용자 정책이 사용자 OU에 연결된 다른 사용자 정책보다 우선합니다.
- 병합:이 옵션을 선택하면 컴퓨터 OU에 연결된 사용자 정책이 사용자 OU에 연결된 다른 사용자 정책과 함께 적용됩니다. 정책간에 충돌하는 설정이 있으면 GPO가 링크 순서에 따라 정상적으로 처리합니다.
이 시나리오의 요구 사항에 따라 가장 적합한 모드는 대체로 사용자 OU를 통해 정상적으로 적용되는 다른 정책 대신 “Dev User Policy”가 적용되어야하기 때문입니다. 만약 기존 정책과 충돌되는 부분이 없다면 병합을 설정하셔도 됩니다.
확인 방법
루프백 처리가 활성화되기 전에 사용자는 해당 OU에 적용된 모든 정책을받습니다. gpresult / r 및 gpresult / r / SCOPE COMPUTER 명령을 사용하여이를 증명하십시오. 결과는 아래 그림과 같습니다.
루프백 처리가 활성화되면 해당 사용자 정책을 컴퓨터 OU에 연결된 “사용자 정책”으로 대체해야합니다. 일반 GPO와 마찬가지로 루프백 처리는 정책이 새로 고쳐지면 적용되어야합니다. 그렇지 않으면 명령 gpupdate / force를 사용하여 강제로 처리 할 수 있습니다. 아래 그림은 그 이후의 결과를 보여줍니다.
결과에 따라 GPO 루프백 처리가 성공적으로 수행됩니다. 최종 확인을 위해 사용자는 Dev OU 외부의 다른 컴퓨터에 서명 할 때 일반 사용자 정책을 계속 받아야합니다.
