microsoftdownload.microsoft.com/.../agpm40_operationsguide.docx · web viewurl 및 다른 인터넷...

Microsoft Advanced Group Policy Management 4.0용 작업 가이드

Microsoft Corporation

발행일: 2009년 9월

요약

본 가이드는 Microsoft 고급 그룹 정책 관리(AGPM) 4.0을 사용하여 작업을 수행할 수 있는 단계별 지침을 제공합니다. 여기에는 AGPM용 도움말에 대한 모든 정보도 포함됩니다.

저작권

URL 및 다른 인터넷 웹 사이트 참조를 포함한 이 설명서의 내용은 예고 없이 변경될 수 있습니다. 다른 설명이 없는 한, 용례에 사용된 회사, 기관, 제품, 도메인 이름, 전자 메일 주소, 로고, 사람, 위치 및 이벤트 등은 실제 데이터가 아닙니다. 어떠한 실제 회사, 기관, 제품, 도메인 이름, 전자 메일 주소, 로고, 사람, 위치 또는 이벤트와도 연관시킬 의도가 없으며 그렇게 유추해서도 안 됩니다. 해당 저작권법을 준수하는 것은 사용자의 책임입니다. 저작권에서의 권리와는 별도로, 이 설명서의 어떠한 부분도 Microsoft Corporation의 명시적인 서면 승인 없이는 어떠한 형식이나 수단(전기적, 기계적, 복사기에 의한 복사, 디스크 복사 또는 다른 방법) 또는 목적으로도 복제되거나, 검색 시스템에 저장 또는 도입되거나, 전송될 수 없습니다.

Microsoft가 이 설명서 본안에 관련된 특허권, 상표권, 저작권 또는 기타 지적 재산권 등을 보유할 수도 있습니다. 서면 사용권 계약에 따라 Microsoft로부터 귀하에게 명시적으로 제공된 권리 이외에, 이 설명서의 제공은 귀하에게 이러한 특허권, 사용권, 저작권 또는 기타 지적 소유권 등에 대한 어떠한 사용권도 허여하지 않습니다.

© 2009 Microsoft Corporation. All rights reserved.

Microsoft, Windows 및 Windows Server는 미국, 대한민국 및/또는 기타 국가에서의 Microsoft Corporation 등록 상표 또는 상표입니다.

다른 모든 상표는 해당 소유자의 재산입니다.

콘텐트

Microsoft Advanced Group Policy Management 4.0용 작업 가이드5

Advanced Group Policy Management 개요6

버전 제어 모범 사례7

검사 목록: AGPM 서버 및 아카이브 관리8

검사 목록: GPO 만들기, 편집 및 배포8

GPO 목록 검색 및 필터링9

AGPM 관리자 작업 수행11

Advanced Group Policy Management 구성12

AGPM 서버 연결 구성13

전자 메일 알림 구성15

AGPM의 전자 메일 보안 구성15

프로덕션 환경에 대한 액세스 권한 위임17

로깅 및 추적 구성18

아카이브 관리19

아카이브에 도메인 수준 액세스 권한 위임20

아카이브의 개별 GPO에 대한 액세스 권한 위임21

저장되는 GPO 버전 제한22

파일에서 GPO 가져오기22

아카이브 백업24

백업에서 아카이브 복원24

AGPM 서비스 관리25

AGPM 서비스 시작 및 중지25

AGPM 서비스 수정26

AGPM 서버 및 아카이브 이동28

편집자 작업 수행29

GPO 만들기 또는 제어30

제어되지 않은 GPO의 제어 요청30

제어된 새 GPO 만들기 요청31

프로덕션에서 GPO 가져오기32

GPO 편집32

오프라인으로 GPO 편집33

현재 버전의 GPO에 레이블 지정34

GPO 또는 템플릿 이름 바꾸기35

테스트 환경 사용36

파일로 GPO 내보내기36

파일에서 GPO 가져오기37

별도의 조직 구성 단위에서 GPO 테스트37

GPO 배포 요청38

템플릿 만들기 및 기본 템플릿 설정39

템플릿 만들기39

기본 템플릿 설정40

GPO 삭제 또는 복원41

GPO 삭제 요청41

삭제된 GPO의 복원 요청42

승인자 작업 수행43

보류 중인 작업 승인 또는 거부43

GPO 만들기 또는 제어44

제어되지 않은 GPO 제어44

제어된 새 GPO 만들기45

제어된 GPO의 관리 위임46

프로덕션에서 GPO 가져오기47

GPO 체크 인47

GPO 배포48

이전 버전의 GPO로 롤백49

GPO 삭제, 복원 또는 소멸50

제어된 GPO 삭제50

삭제된 GPO 복원51

GPO 소멸51

검토자 작업 수행52

AGPM 서버 연결 구성52

GPO 설정 검토53

GPO 링크 검토53

GPO, GPO 버전 또는 템플릿 간의 차이점 확인54

AGPM 문제 해결56

사용자 인터페이스: Advanced Group Policy Management59

내용 탭60

내용 탭 기능60

기록 창62

제어된 GPO 명령64

제어되지 않은 GPO 명령67

보류 중인 GPO 명령68

템플릿 명령70

휴지통 명령71

도메인 위임 탭73

AGPM 서버 탭74

프로덕션 위임 탭75

관리 템플릿 폴더75

로깅 및 추적 설정76

AGPM 서버 연결 설정76

기능 표시 여부 설정77


Microsoft 고급 그룹 정책 관리(AGPM)를 사용하면 GPMC(그룹 정책 관리 콘솔)의 기능을 확장할 수 있습니다. AGPM은 포괄적인 변경 제어와 향상된 그룹 정책 개체(GPO) 관리를 제공합니다.

AGPM을 사용하면 다음 작업을 수행할 수 있습니다.

GPO를 프로덕션 환경으로 배포하기 전에 만들고 테스트할 수 있도록 오프라인으로 GPO를 편집합니다.

문제가 발생하는 경우 롤백할 수 있도록 여러 버전의 GPO를 중앙 아카이브에 보관합니다.

역할 기반 위임을 사용하여 여러 사용자 간에 GPO 편집, 승인 및 검토 작업을 공유합니다.

GPO 체크 인 및 체크 아웃 기능을 사용하여 여러 그룹 정책 관리자가 서로의 작업을 덮어쓰게 되는 위험을 제거합니다.

GPO에 대한 변경 내용을 분석하고 차이점 보고를 통해 다른 GPO나 동일한 GPO의 다른 버전과 비교합니다.

GPO 템플릿을 사용하여 공통 정책 설정과 기본 설정을 저장해 두고 새 GPO를 만들 때 시작 지점으로 사용하여 새 GPO 만들기 작업을 단순화합니다.

프로덕션 환경에 대한 액세스 권한을 위임합니다.

특정 특성을 가진 GPO를 검색하고 표시된 GPO 목록을 필터링합니다.

테스트 포리스트의 도메인에서 프로덕션 포리스트의 도메인으로 GPO를 복사할 수 있도록 GPO를 파일로 내보냅니다.

AGPM은 GPMC에 표시되는 각 도메인 아래에 변경 제어 폴더를 추가하고, GPMC에 표시되는 각 GPO 및 그룹 정책 링크에 대해 기록 탭도 추가합니다.

Advanced Group Policy Management 개요

버전 제어 모범 사례

검사 목록: AGPM 서버 및 아카이브 관리

검사 목록: GPO 만들기, 편집 및 배포

GPO 목록 검색 및 필터링

AGPM 관리자 작업 수행

편집자 작업 수행

승인자 작업 수행

검토자 작업 수행

AGPM 문제 해결

사용자 인터페이스: Advanced Group Policy Management

Advanced Group Policy Management 개요

고급 그룹 정책 관리(AGPM)를 사용하면 GPMC(그룹 정책 관리 콘솔)의 기능을 확장하여 그룹 정책 개체(GPO)에 대해 포괄적인 변경 제어 및 고급 관리 기능을 제공할 수 있습니다.

변경 제어 기능을 포함한 그룹 정책 개체 개발

AGPM을 사용하면 각 GPO의 복사본을 중앙 아카이브에 저장할 수 있으므로, GPO의 배포된 버전에 바로 영향을 주지 않고 그룹 정책 관리자가 오프라인으로 GPO를 보고 변경할 수 있습니다. 또한 AGPM은 제어된 각 GPO의 버전 복사본을 아카이브에 저장하므로 필요한 경우 이전 버전으로 롤백할 수 있습니다.

"체크 인" 및 "체크 아웃"이라는 용어는 도서관(또는 프로그래밍 개발을 위한 변경 제어, 버전 제어 또는 소스 코드 제어 기능을 제공하는 응용 프로그램)에서 사용되는 뜻과 동일하게 사용됩니다. 즉, 도서관에 있는 책을 사용하려면 도서관에서 책을 '체크 아웃'해야 합니다. 체크 아웃된 책은 다른 사람이 사용할 수 없습니다. 책을 다 사용한 후에 도서관으로 다시 체크 인하면 다른 사람이 그 책을 사용할 수 있습니다.

AGPM을 사용하여 GPO를 개발할 때는 다음 단계를 수행합니다.

1.제어된 새 GPO를 만들거나 이전에 제어되지 않은 GPO를 제어합니다.

2.자신만이 변경할 수 있도록 GPO를 체크 아웃합니다.

3.GPO를 편집합니다.

4.편집한 GPO를 다른 사람이 변경하거나 배포할 수 있도록 체크 인합니다.

5.변경 내용을 검토합니다.

6.GPO를 프로덕션 환경으로 배포합니다.

역할 기반 위임

AGPM은 아카이브의 GPO에 대한 액세스 권한을 관리할 수 있는 포괄적이고 사용하기 쉬운 역할 기반 위임을 제공합니다. 도메인 수준 권한을 사용하면 AGPM 관리자는 다른 도메인에 액세스 권한을 제공하지 않고 개별 도메인에만 액세스 권한을 제공할 수 있습니다. GPO 기반 위임을 사용하면 AGPM 관리자는 도메인 전체 액세스 권한을 제공하지 않고 특정 GPO에만 액세스 권한을 제공할 수 있습니다.

AGPM에는 AGPM 관리자(모든 권한), 승인자, 편집자 및 검토자라는 구체적으로 정의된 역할이 있습니다. AGPM 관리자 역할에는 다른 모든 역할에 대한 권한이 포함됩니다. 기본적으로 승인자만이 GPO를 도메인의 프로덕션 환경으로 배포할 수 있는 권한이 있으므로 경험이 부족한 편집자의 실수로부터 환경을 보호할 수 있습니다. 또한 기본적으로 모든 역할에는 검토자 역할, 즉, 보고서의 GPO 설정을 볼 수 있는 권한이 포함됩니다. 단, AGPM에서는 AGPM 관리자가 조직의 요구 사항에 맞도록 GPO 액세스를 유동적으로 사용자 지정할 수 있습니다.

여러 명의 그룹 정책 관리자가 있는 환경에서의 위임

여러 사용자가 GPO를 변경하는 환경에서는 AGPM 관리자가 편집자, 승인자 및 검토자에게 그룹으로 또는 개인으로 권한을 위임합니다. 편집자 및 승인자가 수행하는 일반적인 GPO 개발 프로세스에 대한 자세한 내용은 검사 목록: GPO 만들기, 편집 및 배포를 참조하십시오.

추가 참조


버전 제어 모범 사례

Microsoft Visual SourceSafe®가 소스 코드에 대해 버전 제어를 제공하는 것처럼 Microsoft 고급 그룹 정책 관리(AGPM)은 그룹 정책 개체(GPO)에 대해 버전 제어를 제공합니다. 개발자는 Visual SourceSafe를 사용하여 각 소스 파일의 여러 버전을 관리할 수 있고, 그룹 정책 관리자는 AGPM을 사용하여 GPO에 대해 동일한 작업을 수행할 수 있습니다. AGPM을 사용할 때 그룹 정책 관리자는 버전 제어 시스템에 적용되는 모범 사례를 인식하고 있어야 합니다.

날짜 및 시간: AGPM은 날짜와 시간으로 GPO의 각 버전에 스탬프를 찍습니다. 특히 두 대 이상의 컴퓨터에서 GPO를 편집할 때 기록이 정확한지 확인하려면 각 컴퓨터의 시계를 믿을 만한 시간 소스로 동기화해야 합니다.

편집 작업을 마치면 GPO 체크 인: 편집자들은 GPO를 체크 아웃한 후 아카이브에 다시 체크 인하는 것을 자주 잊습니다. 하지만 이 경우 다른 그룹 정책 관리자가 GPO를 변경할 수 없게 됩니다. 편집 작업을 마치면 항상 GPO를 AGPM에 바로 체크 인하십시오.

변경 내용 자주 저장: GPO를 편집할 때 변경 내용을 자주 저장하십시오. 대부분의 편집자는 GPO를 체크 아웃하고 여러 가지를 변경한 다음 GPO를 아카이브로 체크 인합니다. 대신 GPO를 정기적으로 체크 인한 다음 다시 체크 아웃하십시오. 세부 정보는 모든 설정을 변경한 후 GPO에 체크 인(권하지 않음)하거나 관련 그룹을 변경한 후 GPO에 체크 인하는 것처럼 작을 수 있습니다. 하지만 자주 저장하면 문제를 해결할 때 도움이 되도록 각 GPO에 대해 잘 문서화된 기록이 남습니다.

GPO 자주 배포: 아직 배포되지 않은 많은 양의 새 GPO 및 편집된 GPO를 아카이브에 쌓아두지 마십시오. 대신 프로덕션 환경에 최소한 영향을 주도록 새 GPO 및 편집된 GPO를 가능한 한 빨리 배포하십시오. 새 GPO 또는 편집된 GPO를 동시에 많이 배포하면 프로덕션 환경이 위험할 수 있습니다.

GPO에 체크 인할 때 변경 목적 문서화: 검토자는 두 GPO 버전 간의 특정 변경 내용을 확인하기 위해 GPO 버전을 비교할 수 있습니다. 이러한 특정 변경 내용을 문서화하는 것은 아무 소용이 없습니다. 검토자가 차이점 보고서를 보고 확인할 수 있는 내용을 문서화하는 대신 변경 목적을 문서화하십시오. 버전 설명은 비교 보고서에 가치를 부여하여 편집자가 GPO를 변경한 이유를 검토자가 이해하는 데 도움이 되어야 합니다.

테스트 환경에서 GPO 테스트: GPO를 테스트하지 않고 프로덕션 환경에 배포하는 것은 위험합니다. 대신 테스트 포리스트의 도메인의 GPO를 테스트한 후 GPO를 파일로 내보내고 프로덕션 포리스트의 도메인으로 가져오십시오. 또한 GPO를 테스트 컴퓨터 및 사용자가 포함된 조직 구성 단위에 연결할 수 있습니다. 테스트 환경에서 각 GPO 기능이 올바로 작동하는지 확인한 후 GPO를 프로덕션 환경에 배포하십시오.

추가 참조


검사 목록: AGPM 서버 및 아카이브 관리

고급 그룹 정책 관리(AGPM)에서 AGPM 서비스와 아카이브는 둘 다 AGPM 관리자(모든 권한)가 관리합니다. 다음은 AGPM 관리자의 일반적인 작업입니다.

빈번한 작업

참조 항목

아카이브에 그룹 정책 개체(GPO) 액세스 권한 위임

아카이브에 도메인 수준 액세스 권한 위임

아카이브의 개별 GPO에 대한 액세스 권한 위임

아카이브를 백업하여 문제를 복구할 수 있습니다.

아카이브 백업

드문 작업

참조 항목

백업에서 아카이브를 복원하여 문제를 복구합니다.

백업에서 아카이브 복원

AGPM 서비스, 아카이브 또는 둘 다를 다른 서버로 옮깁니다.

AGPM 서버 및 아카이브 이동

아카이브 경로, AGPM 서비스 계정 또는 AGPM 서비스가 수신 대기하는 포트를 변경합니다.

AGPM 서비스 수정

AGPM 서버 관련 일반적인 문제를 해결합니다.

AGPM 문제 해결

로깅 및 추적 구성

추가 참조


검사 목록: GPO 만들기, 편집 및 배포

여러 사용자가 고급 그룹 정책 관리(AGPM)를 사용하여 그룹 정책 개체(GPO)를 변경하는 환경에서는 AGPM 관리자(모든 권한)가 편집자, 승인자 및 검토자에게 그룹으로 또는 개인으로 권한을 위임합니다. 다음은 편집자 및 승인자가 일반적으로 수행하는 GPO 개발 프로세스입니다.

작업

참조 항목

편집자가 새 GPO를 만들도록 요청하거나 승인자가 새 GPO를 만듭니다.

제어된 새 GPO 만들기 요청

제어된 새 GPO 만들기

편집자가 요청한 경우 승인자가 GPO 만들기를 승인합니다.

보류 중인 작업 승인 또는 거부

다른 사람이 GPO를 수정할 수 없도록 편집자가 아카이브에서 GPO 복사본을 체크 아웃합니다. 편집자가 GPO를 변경한 다음 수정된 GPO를 아카이브로 체크 인합니다.

오프라인으로 GPO 편집

테스트 포리스트에서 개발할 경우 편집자가 GPO를 파일로 내보내고, 프로덕션 포리스트로 파일을 전송하고, 파일을 가져옵니다. 또한 편집자는 GPO를 테스트 컴퓨터 및 사용자가 포함된 조직 구성 단위에 연결할 수 있습니다.

테스트 환경 사용

편집자가 도메인의 프로덕션 환경에 대한 GPO 배포를 요청합니다.

GPO 배포 요청

검토자(승인자 또는 편집자)가 GPO를 분석합니다.

검토자 작업 수행

승인자가 GPO를 승인하여 도메인의 프로덕션 환경에 배포하거나 GPO를 거부합니다.

보류 중인 작업 승인 또는 거부

추가 참조


GPO 목록 검색 및 필터링

고급 그룹 정책 관리(AGPM)에서는 그룹 정책 개체(GPO) 목록과 그 특성을 검색하여 표시된 GPO 목록을 필터링할 수 있습니다. 예를 들어, 특정 이름, 상태 또는 설명별로 GPO를 검색할 수 있습니다. 특정 그룹 정책 관리자가 마지막으로 변경한 GPO를 검색하거나 특정 날짜에 마지막으로 변경한 GPO를 검색할 수도 있습니다.

복합 검색 수행

GPO 특성 1: 검색 문자열 1 GPO 특성 2: 검색 문자열 2…모든 열 검색 문자열 형식을 사용하여 복합 검색을 수행할 수 있습니다. 대/소문자를 구분하여 검색하지 않습니다.

GPO 특성: 컴퓨터 버전 또는 사용자 버전을 제외한 AGPM의 GPO 목록의 열 머리글. GPO 특성에는 GPO 이름, 상태, 가장 최근에 GPO를 변경한 사용자, 가장 최근에 GPO가 변경된 날짜와 시간, 설명, GPO 상태 및 GPO에 적용된 WMI 필터가 포함됩니다.

검색 문자열: 지정한 열에서 검색할 텍스트. 문자열에 공백이 있을 경우 문자열을 따옴표로 묶어야 합니다.

모든 열 검색 문자열: 컴퓨터 버전 및 사용자 버전을 제외한 AGPM의 GPO 목록의 모든 열에서 검색할 텍스트. 공백으로 구분된 문자열을 여러 개 포함할 수 있습니다. 문자열에 공백이 있을 경우 문자열을 따옴표로 묶어야 합니다.

각 GPO 특성과 검색 문자열 쌍 및 모든 열 검색 문자열은 논리 AND 연산을 사용하여 조합됩니다. 결과는 지정된 각 특성에 지정된 검색 문자열이 포함되고 모든 열 검색 문자열이 적어도 하나 이상의 열에 표시되는 모든 GPO 목록입니다. 검색 결과 부분적으로 일치하는 문자열을 모두 반환하므로 GPO 이름 또는 사용자 이름의 일부를 입력하고 해당 이름에서 해당 텍스트가 포함된 모든 GPO 목록을 볼 수 있습니다.

검색 예는 다음과 같습니다.

검색 결과 설명

검색 쿼리

이름에 security와 North America라는 텍스트가 포함된 모든 GPO.

name: security name: "North America"

체크 아웃된 모든 GPO.

상태: "체크 아웃됨"

이름이 Administrator인 사용자가 가장 최근에 변경한 GPO와 지난 달 중 가장 최근에 변경된 모든 GPO.

changed by: Administrator change date: lastmonth

가장 최근의 설명에 firewall이라는 단어가 포함되고 security라는 단어가 모든 열에 표시되는 모든 GPO.

comment: firewall security

모든 설정 사용 안 함 상태의 모든 GPO.

GPO 상태: 모두

이름이 My WMI Filter인 WMI 필터가 적용되고 사용자 구성 설정 사용 안 함 상태의 모든 GPO.

wmi filter: "My WMI Filter" gpo status: user

날짜 지정

Windows에서 검색할 때 사용 가능한 동일한 특수 용어를 사용하여 특정 날짜, 특정 시간 또는 시간 범위 동안 변경된 GPO를 검색할 수 있습니다. 특정 날짜나 시간을 입력할 경우 날짜 변경 열에 사용되는 형식을 사용해야 합니다. 다음은 날짜 변경 열의 검색 예입니다.

change date: 10/10/2009

change date: 10/10/2009 9:00:00 AM

change date: thisweek

날짜 변경 열을 검색할 때 대/소문자를 구분하지 않는 다음 특수 용어를 사용할 수 있습니다.

Today

Yesterday

ThisWeek

LastWeek

ThisMonth

LastMonth

TwoMonths

ThreeMonths

ThisYear

LastYear

추가 고려 사항

기본적으로 이 절차를 수행하려면 검토자, 편집자, 승인자 또는 AGPM 관리자(모든 권한)여야 합니다. 구체적으로, 도메인에 대한 내용 나열 권한이 있어야 합니다.

GPO 특성에 대한 자세한 내용은 내용 탭 기능을 참조하십시오.

추가 참조



고급 그룹 정책 관리(AGPM)를 사용하면 AGPM 관리자(모든 권한)는 도메인 전체 옵션을 구성하고 승인자, 편집자, 검토자 및 AGPM 관리자에게 권한을 위임할 수 있습니다. 기본적으로 AGPM 관리자는 모든 권한(모든 AGPM 권한)을 가진 사람이므로 모든 역할과 연결된 작업을 수행할 수 있습니다.

여러 사람이 그룹 정책 개체(GPO)를 개발하는 환경에서 모든 그룹 정책 관리자가 동일한 작업을 수행하고 동일한 수준의 액세스를 갖도록 선택할 수 있습니다. 또는 AGPM 관리자가 GPO를 변경할 수 있는 편집자와 GPO를 프로덕션 환경에 배포하는 승인자에게 권한을 위임하도록 선택할 수 있습니다. AGPM 관리자는 조직의 요구에 맞도록 권한을 구성할 수 있습니다.

Advanced Group Policy Management 구성: AGPM 서버 연결 및 전자 메일 알림을 구성하고, 프로덕션 환경의 GPO에 대한 액세스 권한을 위임하고, 문제 해결 로깅 및 추적을 구성합니다.

아카이브 관리: 아카이브의 GPO에 대한 액세스 권한을 위임하고, 저장된 각 GPO의 버전 수를 제한하고, 다른 도메인에서 GPO를 가져오고, 아카이브를 백업 및 복원합니다.

AGPM 서비스 관리: AGPM 서비스를 중지 및 시작하거나 아카이브 경로, AGPM 서비스 계정 또는 AGPM 서비스에서 수신 대기하는 포트를 변경합니다.

AGPM 서버 및 아카이브 이동: AGPM 서비스, 아카이브 또는 둘 다를 다른 서버로 옮깁니다.

참고

AGPM 관리자 역할에는 다른 모든 역할의 권한이 포함되어 있으므로 AGPM 관리자는 일반적으로 다른 역할과 연결된 작업을 수행할 수 있습니다.

GPO 만들기, 배포, 삭제 등의 승인자 작업 수행

GPO 편집, 이름 바꾸기, 레이블 지정 또는 가져오기, 템플릿 만들기, 기본 템플릿 설정 등의 편집자 작업 수행

GPO 설정 검토 및 비교 등의 검토자 작업 수행


기본적으로 AGPM 관리자 역할에는 모든 권한(모든 AGPM 권한)이 있습니다.

내용 나열

설정 읽기

설정 편집

GPO 만들기

GPO 배포

GPO 삭제

GPO 내보내기

GPO 가져오기

템플릿 만들기

옵션 수정

보안 수정

옵션 수정 및 보안 수정 권한은 AGPM 관리자 역할에만 제공됩니다.

Advanced Group Policy Management 구성

고급 그룹 정책 관리(AGPM)에서 AGPM 관리자(모든 권한)는 그룹 정책 관리자에 대해 AGPM 서버 연결을 중심에서 구성하고, AGPM에 대해 전자 메일 알림을 구성하고, 필요한 경우 AGPM에 대해 전자 메일 보안을 구성하며, 도메인의 프로덕션 환경에서 그룹 정책 개체(GPO)에 대한 액세스 권한을 위임하고, 문제 해결에 대한 로깅 및 추적을 구성할 수 있습니다.

AGPM 서버 연결 구성

전자 메일 알림 구성

AGPM의 전자 메일 보안 구성

프로덕션 환경에 대한 액세스 권한 위임


추가 참조

아카이브의 GPO에 대한 액세스 권한 위임에 대한 자세한 내용은 아카이브 관리를 참조하십시오.

아카이브에 저장된 각 GPO의 버전 수를 제한하는 방법에 대한 자세한 내용은 저장되는 GPO 버전 제한을 참조하십시오.



제어된 각 그룹 정책 개체(GPO)의 모든 버전은 중앙 아카이브에 저장되므로, 각 GPO의 배포된 버전에 직접적으로 영향을 주지 않은 채 그룹 정책 관리자가 오프라인으로 GPO를 보고 수정할 수 있습니다.

AGPM 관리자(모든 권한) 역할이 있는 사용자 계정, 이 절차에서 사용되는 GPO를 만든 승인자의 사용자 계정 또는 고급 그룹 정책 관리(AGPM)의 필수 권한이 있는 사용자 계정이 있어야 모든 그룹 정책 관리자에 대해 아카이브 위치를 중앙에서 구성하는 절차를 완료할 수 있습니다. 이 항목의 "추가 고려 사항"에 있는 세부 내용을 검토하십시오.


AGPM 관리자는 연결된 설정을 중앙에서 구성하여 모든 그룹 정책 관리자가 동일한 AGPM 서버에 연결하도록 할 수 있습니다. 작업 환경의 일부 또는 모든 도메인에 별도의 AGPM 서버가 필요한 경우에는 추가 AGPM 서버를 기본값이 아닌 예외 항목으로 구성하십시오. AGPM 서버 연결을 중앙에서 구성하지 않으면 각 그룹 정책 관리자가 각 도메인에 표시할 AGPM 서버를 수동으로 구성해야 합니다.

모든 그룹 정책 관리자에 대해 AGPM 서버 연결 구성

모든 그룹 정책 관리자에 대해 추가 AGPM 서버 연결 구성

계정에 사용할 AGPM 서버 연결 수동 구성

모든 그룹 정책 관리자에 대해 AGPM 서버 연결을 구성하려면 다음을 수행하십시오.

1.그룹 정책 관리 콘솔 트리에서 모든 그룹 정책 관리자에게 적용되는 GPO를 편집합니다. 자세한 내용은 GPO 편집을 참조하십시오.

2.그룹 정책 관리 편집기 창에서 사용자 구성, 정책, 관리 템플릿, Windows 구성 요소 및 AGPM을 차례로 클릭합니다.

3.세부 정보 창에서 AGPM: 기본 AGPM 서버 지정(모든 도메인)을 두 번 클릭합니다.

4.속성 창에서 사용 확인란을 선택하고 정규화된 컴퓨터 이름 및 포트(예: server.contoso.com:4600)를 입력합니다.

5.확인을 클릭합니다. AGPM 서버 연결을 추가로 구성하려는 경우가 아니면 그룹 정책 관리 편집기 창을 닫고 GPO를 배포합니다. 자세한 내용은 GPO 배포를 참조하십시오. 그룹 정책을 업데이트하면 모든 그룹 정책 관리자에 대해 AGPM 서버 연결이 구성됩니다.

모든 그룹 정책 관리자에 대해 추가 AGPM 서버 연결을 구성하려면 다음을 수행하십시오.

1.아직 AGPM 서버 연결을 구성하지 않은 경우에는 앞서 설명한 절차에 따라 모든 도메인에 대한 기본 AGPM 서버를 구성하십시오.

2.일부 또는 전체 도메인에 대해 별도의 AGPM 서버를 구성하여 기본 AGPM 서버를 다시 정의하려면 그룹 정책 관리 콘솔 트리에서 모든 그룹 정책 관리자에게 적용되는 GPO를 편집합니다. 자세한 내용은 GPO 편집을 참조하십시오.

3.그룹 정책 관리 편집기 창에서 사용자 구성, 정책, 관리 템플릿, Windows 구성 요소 및 AGPM을 차례로 클릭합니다.

4.세부 정보 창에서 AGPM: AGPM 서버 지정을 두 번 클릭합니다.

5.속성 창에서 사용 확인란을 선택하고 표시를 클릭합니다.

6.내용 표시 창에서 다음을 수행합니다.

a.추가를 클릭합니다.

b.값 이름에 도메인 이름(예: server1.contoso.com)을 입력합니다.

c.값에는 해당 도메인에 사용할 AGPM 서버 이름 및 포트(예: server2.contoso.com:4600)를 입력하고 확인을 클릭합니다. 기본적으로 AGPM 서비스는 포트 4600을 수신 대기합니다. 다른 포트를 사용하려면 AGPM 서비스 수정을 참조하십시오.

d.기본 AGPM 서버를 사용하지 않도록 지정할 각 도메인에 대해 위 단계를 반복합니다.

7.확인을 클릭하여 내용 표시 및 속성 창을 닫습니다.

8.그룹 정책 관리 편집기 창을 닫습니다. 자세한 내용은 GPO 배포를 참조하십시오. 그룹 정책을 업데이트하면 모든 그룹 정책 관리자에 대해 새 AGPM 서버 연결이 구성됩니다.

AGPM 서버 연결을 중앙에서 구성한 경우에는 모든 그룹 정책 관리자에 대해 해당 서버를 수동으로 구성하는 옵션은 사용할 수 없습니다.

계정에 대해 표시할 AGPM 서버를 수동으로 구성하려면 다음을 수행하십시오.

1.그룹 정책 관리 콘솔 트리에서 포리스트와 도메인에서 관리하려는 GPO가 속한 컨트롤 변경을 클릭합니다.

2.세부 정보 창에서 AGPM 서버 탭을 클릭합니다.

3.해당 도메인에 사용되는 아카이브를 관리하는 AGPM 서버의 정규화된 컴퓨터 이름(예: server.contoso.com)과 AGPM 서비스가 수신 대기하는 포트(기본적으로 포트 4600)를 입력합니다.

4.적용을 클릭하고 예를 클릭하여 확인합니다.


모든 그룹 정책 관리자에 대해 AGPM 서버 연결을 중앙에서 구성하는 절차를 수행하려면 GPO를 편집 및 배포할 수 있어야 합니다. 자세한 내용은 GPO 편집 및 GPO 배포를 참조하십시오.

선택한 AGPM 서버에 따라 내용 탭에 표시되는 GPO와 도메인 위임 탭 설정이 적용되는 위치가 결정됩니다. 관리 템플릿을 통해 중앙에서 관리하지 않는 경우에는 각 그룹 정책 관리자가 도메인의 AGPM 서버를 가리키도록 이 설정을 구성해야 합니다.

Group Policy Creator Owners 그룹의 구성원은 GPO에 대한 액세스 시 AGPM 관리를 피하는 데 사용되지 않도록 제한해야 합니다. (그룹 정책 관리 콘솔의 경우 GPO를 관리하려는 포리스트와 도메인에서 그룹 정책 개체를 클릭하고 위임을 클릭한 다음 조직의 필요에 따라 설정을 구성합니다.)

추가 참조


전자 메일 알림 구성

편집자 또는 검토자가 그룹 정책 개체(GPO)를 만들거나 배포 또는 삭제하려고 하면 승인자가 해당 요청을 평가하여 작업을 구현하거나 거부할 수 있도록 해당 작업에 대한 요청이 하나 이상의 지정된 전자 메일 주소로 발송됩니다. 알림을 받을 전자 메일 주소 및 알림을 보내는 별칭을 결정합니다.

이 절차를 완료하려면 AGPM 관리자(모든 권한) 역할이나 고급 그룹 정책 관리(AGPM)의 필수 권한이 있는 사용자 계정이 있어야 합니다. 이 항목의 "추가 고려 사항"에 있는 세부 내용을 검토하십시오.

AGPM에 대한 전자 메일 알림을 구성하려면 다음을 수행하십시오.


2.세부 정보 창에서 도메인 위임 탭을 클릭합니다.

3.보낸 사람 전자 메일 주소 필드에 알림을 보내는 AGPM의 전자 메일 별칭을 입력합니다.

4.받는 사람 전자 메일 주소 필드에 승인 요청을 받아야 하는 승인자의 전자 메일 주소 목록을 쉼표로 구분하여 입력합니다.

5.SMTP 서버 필드에 유효한 SMTP 메일 서버를 입력합니다.

6.사용자 이름 및 암호 필드에 SMTP 서비스에 대한 액세스 권한이 있는 사용자의 자격 증명을 입력합니다.

7.적용을 클릭합니다.


기본적으로 이 절차를 수행하려면 AGPM 관리자(모든 권한)여야 합니다. 구체적으로, 도메인에 대한 내용 나열 및 옵션 수정 권한이 있어야 합니다.

AGPM에 대한 전자 메일 알림은 도메인 수준 설정입니다. 각 도메인의 도메인 위임 탭에서 각각 다른 승인자 전자 메일 주소나 AGPM 전자 메일 별칭을 입력할 수도 있고, 전체 환경에서 동일한 전자 메일 주소를 사용할 수도 있습니다.

기본적으로 고급 그룹 정책 관리(AGPM) 작업의 결과로 발송되는 전자 메일 메시지는 암호화되지 않습니다. 그러나 레지스트리 설정을 사용하여 SSL(Secure Sockets Layer) 암호화 사용 여부 및 사용할 SMTP 포트를 지정하면 AGPM에 대해 전자 메일 보안을 구성할 수 있습니다. 자세한 내용은 AGPM의 전자 메일 보안 구성을 참조하십시오.

추가 참조


AGPM의 전자 메일 보안 구성

기본적으로 고급 그룹 정책 관리(AGPM)에서의 작업 때문에 발송되는 전자 메일 알림은 암호화되지 않으며 SMTP 포트 25를 통해 발송됩니다. 그러나 레지스트리 설정을 사용하여 SSL(Secure Sockets Layer) 암호화 사용 여부 및 사용할 SMTP 포트를 지정하면 AGPM에 대해 전자 메일 보안을 구성할 수 있습니다.

AGPM 전자 메일 알림을 암호화하면 조직의 보안 관련 중요 정보를 드러낼 수 있는 암호를 더 잘 보호할 수 있습니다. 원격 메일 서버를 통해 릴레이되거나 일부 규정 준수 규칙에 필요할 때 전자 메일 알림을 암호화하는 것이 좋습니다.

주의

레지스트리를 잘못 편집하면 시스템에 심각한 손상을 줄 수 있으므로 레지스트리를 변경하기 전에 컴퓨터의 중요한 데이터를 반드시 백업해야 합니다.

이 절차를 완료하려면 AGPM 관리자(모든 권한) 역할이 있는 사용자 계정, 이 절차에서 사용되는 그룹 정책 개체(GPO)를 만든 승인자의 사용자 계정 또는 AGPM의 필수 권한이 있는 사용자 계정이 있어야 합니다. 이 항목의 "추가 고려 사항"에 있는 세부 내용을 검토하십시오.

그룹 정책 기본 설정을 사용하여 AGPM에 대해 전자 메일 보안을 구성하려면 다음을 수행하십시오.

1.그룹 정책 관리 콘솔 트리에서 전자 메일 보안을 구성하려는 모든 AGPM 서버에 적용되는 GPO를 편집합니다. 자세한 내용은 GPO 편집을 참조하십시오.

2.그룹 정책 관리 편집기 창에서 컴퓨터 구성, 기본 설정, Windows 설정 및 레지스트리 폴더를 확장합니다.

3.콘솔 트리에서 레지스트리를 마우스 오른쪽 단추로 클릭하고 새로 만들기를 가리킨 다음 모음 항목을 클릭하고 AGPM 전자 메일 보안을 입력합니다.

4.레지스트리 기본 설정 항목을 만들어 암호화를 설정하려면 다음을 수행합니다.

a.콘솔 트리에서 AGPM 전자 메일 보안을 마우스 오른쪽 단추로 클릭하고 새로 만들기를 가리킨 다음 레지스트리 항목을 클릭합니다.

b.새 레지스트리 속성 대화 상자에서 업데이트 작업을 선택합니다.

c.하이브에 대해 HKEY_LOCAL_MACHINE을 선택합니다.

d.키 경로에 대해 SOFTWARE\Microsoft\AGPM을 입력합니다.

e.값 이름에 대해 EncryptSmtp를 입력합니다.

f.값 종류에 대해 REG_DWORD를 선택합니다.

g.기준에 대해 10진수를 선택한 다음, 값 데이터에 대해 SSL 암호화를 사용하려면 1을 입력하고 암호화 없이 전자 메일을 전송하려면 0을 입력합니다. 기본적으로 전자 메일은 암호화 없이 발송됩니다. 확인을 클릭합니다.

5.레지스트리 기본 설정 항목을 만들어 SMTP 포트를 지정하려면 다음을 수행합니다.

a.콘솔 트리에서 AGPM 전자 메일 보안을 마우스 오른쪽 단추로 클릭하고 새로 만들기를 가리킨 다음 레지스트리 항목을 클릭합니다.

b.새 레지스트리 속성 대화 상자에서 업데이트 작업을 선택합니다.

c.하이브에 대해 HKEY_LOCAL_MACHINE을 선택합니다.

d.키 경로 대화 상자에 SOFTWARE\Microsoft\AGPM을 입력합니다.

e.값 이름에 대해 SmtpPort를 입력합니다.

f.값 종류에 대해 REG_DWORD를 선택합니다.

g.기준에 대해 10진수를 선택하고 값 데이터에 대해 SMTP 포트의 포트 번호를 입력합니다. 기본적으로 암호화를 사용하지 않는 경우의 SMTP 포트는 포트 25이며, SSL 암호화를 사용하는 경우의 SMTP 포트는 포트 587입니다. 확인을 클릭합니다.

6.그룹 정책 관리 편집기 창을 닫고 GPO를 체크 인하고 배포합니다. 자세한 내용은 GPO 배포를 참조하십시오.


그룹 정책 기본 설정을 사용하여 레지스트리 설정을 구성하려면 GPO를 편집 및 배포할 수 있어야 합니다. 자세한 내용은 GPO 편집 및 GPO 배포를 참조하십시오.

추가 참조


프로덕션 환경에 대한 액세스 권한 위임

고급 그룹 정책 관리(AGPM)에서는 도메인의 프로덕션 환경에서 그룹 정책 개체(GPO)에 대한 액세스 권한을 변경하여 해당 GPO에 대한 모든 기존 권한을 바꿀 수 있습니다. GPO에서 GPMC(그룹 정책 관리 콘솔)의 변경 제어 폴더를 사용하지 않을 경우 사용자가 프로덕션 환경에서 GPO의 보안을 편집, 삭제 또는 수정하거나 수정할 수 없도록 도메인 수준에서 권한을 구성할 수 있습니다.

참고

프로덕션 환경에 대한 액세스 권한이 위임되는 방법을 변경해도 GPO에 연결할 수 있는 사용자의 기능에는 영향을 주지 않습니다.

GPO를 제어하거나 배포하면 읽기 및 적용 권한이 있는 계정을 제외한 다른 모든 계정의 액세스 권한이 제거됩니다.

이 절차를 완료하려면 AGPM 관리자(모든 권한)의 역할이나 고급 그룹 정책 관리(AGPM)의 필수 권한이 있는 사용자 계정이 있어야 합니다. 이 항목의 "추가 고려 사항"에 있는 세부 내용을 검토하십시오.

도메인의 프로덕션 환경에서 GPO에 대한 액세스 권한을 변경하려면 다음을 수행하십시오.


2.프로덕션 위임 탭을 클릭합니다.

3.프로덕션 환경에 대한 액세스 권한이 없는 사용자 또는 그룹에 권한을 추가하거나 액세스 권한이 있는 사용자 또는 그룹의 권한을 바꾸려면 다음을 수행하십시오.

a.추가를 클릭하고 사용자 또는 그룹을 선택한 다음 확인을 클릭합니다.

b.프로덕션 환경에 대해 해당 사용자 또는 그룹에 위임할 권한을 선택한 다음 확인을 클릭합니다.

4.프로덕션 환경에 대한 사용자 또는 그룹의 모든 권한을 제거하려면 사용자 또는 그룹을 선택하고 제거를 클릭한 다음 확인을 클릭합니다.


기본적으로 이 절차를 수행하려면 AGPM 관리자(모든 권한)여야 합니다. 구체적으로, 도메인에 대한 보안 수정 권한이 있어야 합니다.

AGPM 서비스 계정에 대한 권한은 프로덕션 위임 탭에서 변경할 수 없습니다.

기본적으로 다음 계정에는 프로덕션 환경의 GPO에 대한 권한이 있습니다.

계정

GPO에 대한 기본 권한

설정 편집, 삭제, 보안 수정

Authenticated Users

읽기, 적용

Domain Admins


Enterprise Admins


Enterprise Domain Controllers

읽기

System



추가 참조



관리 템플릿을 사용하면 선택적 로깅 및 추적 기능을 중앙에서 구성할 수 있습니다. 관리 템플릿은 고급 그룹 정책 관리(AGPM) 관련 문제를 진단할 때 유용합니다.

AGPM 관리자(모든 권한) 역할이 있는 사용자 계정, 이 절차에서 사용되는 그룹 정책 개체(GPO)를 만든 승인자의 사용자 계정 또는 AGPM의 필수 권한이 있는 사용자 계정이 있어야 이 절차를 완료할 수 있습니다. 또한 AGPM 서버에서 로깅을 시작하려면 AGPM 서버에 대한 액세스 권한이 있는 사용자 계정이 필요합니다. 이 항목의 "추가 고려 사항"에 있는 세부 내용을 검토하십시오.

AGPM에 대해 로깅 및 추적을 구성하려면 다음을 수행하십시오.

1.그룹 정책 관리 콘솔 트리에서 로깅 및 추적을 설정하려는 모든 그룹 정책 관리자에게 적용되는 GPO를 편집합니다. 자세한 내용은 GPO 편집을 참조하십시오.

2.그룹 정책 관리 편집기 창에서 컴퓨터 구성, 정책, 관리 템플릿, Windows 구성 요소 및 AGPM을 차례로 클릭합니다.

3.세부 정보 창에서 AGPM: 로깅 구성을 두 번 클릭합니다.

4.속성 창에서 사용을 클릭하고 로그에 기록할 세부 정보 수준을 구성합니다.

5.확인을 클릭합니다.

6.그룹 정책 관리 편집기 창을 닫습니다. 자세한 내용은 GPO 배포를 참조하십시오. 그룹 정책을 업데이트한 후에 AGPM 서버에서 로깅을 시작, 수정 또는 중지하려면 AGPM 서비스를 다시 시작해야 합니다. 그룹 정책 관리자가 자신의 컴퓨터에서 로깅을 시작, 수정 또는 중지하려면 GPMC를 닫았다가 다시 시작해야 합니다.

추적 파일 위치:

클라이언트: %LocalAppData%\Microsoft\AGPM\agpm.log

서버: %ProgramData%\Microsoft\AGPM\agpmserv.log


AGPM 로깅 및 추적을 구성하려면 GPO를 편집하고 배포할 수 있어야 합니다. 자세한 내용은 GPO 편집 및 GPO 배포를 참조하십시오.

추가 참조


아카이브 관리

고급 그룹 정책 관리(AGPM)에서 AGPM 관리자(모든 권한)는 아카이브에 대한 액세스 권한을 관리하고 아카이브에 저장된 각 그룹 정책 개체(GPO)의 버전 수를 제한할 수 있습니다. 도메인 수준 또는 GPO 수준에서 아카이브의 GPO에 대한 액세스 권한을 위임할 수도 있습니다. 문제가 발생할 경우 아카이브를 복구할 수 있도록 백업할 수도 있습니다.

AGPM 관리자는 GPO를 파일로 내보내고, 해당 파일을 다른 포리스트에 복사한 후 해당 포리스트의 도메인으로 GPO를 가져올 수 있습니다. 편집자와 달리 GPO를 만들 때 GPO 백업에서 제어된 새 GPO로 정책 설정을 직접 가져올 수 있습니다. GPO를 내보내는 방법에 대한 자세한 내용은 파일로 GPO 내보내기를 참조하십시오.



저장되는 GPO 버전 제한

파일에서 GPO 가져오기

아카이브 백업


추가 참조

프로덕션 환경에서 GPO에 대한 액세스 권한을 위임하는 방법에 대한 자세한 내용은 프로덕션 환경에 대한 액세스 권한 위임을 참조하십시오.

아카이브를 옮기는 방법에 대한 자세한 내용은 AGPM 서버 및 아카이브 이동을 참조하십시오.



사용 중인 환경에 위임을 설정하면 그룹 정책 관리자에게 아카이브의 그룹 정책 개체(GPO)에 대한 적절한 액세스 및 제어 권한이 부여됩니다. 이러한 권한은 작업을 보다 효율적으로 수행하기 위해 적용할 수 있는 기본적인 권한입니다. 권한은 조직의 요구 사항에 맞는 방식으로 부여할 수 있습니다.


사용자 및 그룹이 도메인 전체의 모든 GPO에 대한 적절한 권한을 가질 수 있도록 액세스 권한을 위임하려면 다음을 수행하십시오.


2.도메인 위임 탭을 클릭하고 도메인의 모든 GPO에 대한 액세스 권한을 구성합니다.

a.사용자 또는 그룹에 대한 액세스 권한을 추가하려면 추가 단추를 클릭하고 사용자나 그룹을 선택한 다음 확인을 클릭합니다. 그룹 또는 사용자 추가 대화 상자에서 역할을 선택하고 확인을 클릭합니다.

b.사용자 또는 그룹에 대한 액세스 권한을 제거하려면 사용자나 그룹을 선택하고 제거 단추를 클릭합니다.

c.사용자 또는 그룹에 위임된 역할 및 권한을 수정하려면 고급 단추를 클릭합니다. 권한 대화 상자에서 사용자 또는 그룹을 선택하고 해당 사용자 또는 그룹에 할당할 각 역할의 확인란을 선택한 다음 확인을 클릭합니다.

참고

편집자 및 승인자에게는 검토자 권한이 있습니다.


기본적으로 이 절차를 수행하려면 AGPM 관리자(모든 권한)여야 합니다. 구체적으로, 도메인에 대한 보안 수정 권한이 있어야 합니다.

AGPM을 사용하는 그룹 정책 관리자에게 읽기 권한을 위임하려면 내용 나열 권한과 설정 읽기 권한을 부여해야 합니다. 이렇게 하면 해당 관리자가 AGPM의 내용 탭에서 GPO를 볼 수 있습니다. 다른 권한은 명시적으로 위임해야 합니다.

편집자는 배포된 GPO 복사본에 대한 읽기 권한이 있어야 그룹 정책 소프트웨어 설치를 완벽하게 활용할 수 있습니다.


추가 참조

아카이브 관리


AGPM 관리자(모든 권한)는 아카이브에서 제어된 그룹 정책 개체(GPO)의 관리를 위임하여 선택된 그룹 및 편집자가 이를 편집하고, 검토자가 검토하고, 승인자가 승인하도록 할 수 있습니다.

AGPM 관리자(모든 권한) 역할이 있는 사용자 계정, GPO를 만든 승인자의 사용자 계정 또는 고급 그룹 정책 관리(AGPM)의 필수 권한이 있는 사용자 계정이 있어야 이 절차를 완료할 수 있습니다. 이 항목의 "추가 고려 사항"에 있는 세부 내용을 검토하십시오.

제어된 GPO 관리를 위임하려면 다음을 수행하십시오.


2.세부 정보 창의 내용 탭에서 제어됨 탭을 클릭하여 제어된 GPO를 표시한 다음 위임할 GPO를 클릭합니다.

a.사용자 또는 그룹에 대한 액세스 권한을 추가하려면 추가 단추를 클릭하고 사용자나 그룹을 선택한 다음 확인을 클릭합니다. 그룹 또는 사용자 추가 대화 상자에서 역할을 선택하고 확인을 클릭합니다.

b.사용자 또는 그룹에 대한 액세스 권한을 제거하려면 사용자나 그룹을 선택하고 제거 단추를 클릭합니다.

참고

사용자 또는 그룹이 전체 도메인 액세스 권한을 상속하는 경우에는 제거 단추를 사용할 수 없습니다. 도메인 전체 액세스 권한은 도메인 위임 탭에서 수정할 수 있습니다.

c.사용자 또는 그룹에 위임된 역할 및 권한을 수정하려면 고급 단추를 클릭합니다. 권한 대화 상자에서 사용자 또는 그룹을 선택하고 해당 사용자 또는 그룹에 할당할 각 역할의 확인란을 선택한 다음 확인을 클릭합니다.

참고

편집자 및 승인자에게는 검토자 권한이 있습니다.


기본적으로 이 절차를 수행하려면 GPO를 만들거나 제어한 승인자이거나 AGPM 관리자(모든 권한)여야 합니다. 구체적으로 도메인에 대한 내용 나열 권한과 GPO에 대한 보안 수정 권한이 있어야 합니다.

AGPM을 사용하는 그룹 정책 관리자에게 읽기 권한을 위임하려면 내용 나열 권한과 설정 읽기 권한을 부여해야 합니다. 이렇게 하면 해당 관리자가 AGPM의 내용 탭에서 GPO를 볼 수 있습니다. 다른 권한은 명시적으로 위임해야 합니다.

편집자는 배포된 GPO 복사본에 대한 읽기 권한이 있어야 그룹 정책 소프트웨어 설치를 완벽하게 활용할 수 있습니다.


추가 참조

아카이브 관리

저장되는 GPO 버전 제한

기본적으로 제어된 각 그룹 정책 개체(GPO)의 모든 버전은 AGPM 서버의 아카이브에 보관됩니다. 그러나 각 GPO에 대해 보관되는 버전 수를 제한하고 해당 제한 수가 초과되면 오래된 버전을 삭제할 수 있습니다. GPO 버전을 삭제해도 해당 버전의 레코드는 GPO 기록에 남지만, GPO 버전 자체는 아카이브에서 삭제됩니다.


저장되는 GPO 버전 수를 제한하려면 다음을 수행하십시오.


2.세부 정보 창에서 AGPM 서버 탭을 클릭합니다.

3.아카이브에서 각 GPO의 이전 버전 삭제 확인란을 선택하고 각 GPO에 대해 저장할 최대 GPO 버전 수(현재 버전은 제외)를 입력합니다. 현재 버전만 보관하려면 0을 입력하십시오. 최대 버전 수는 999 이하여야 합니다.

중요

기록 창의 고유 버전 탭에 표시되는 GPO 버전만이 제한 수 계산에 포함됩니다.

4.적용 단추를 클릭합니다.


기본적으로 이 절차를 수행하려면 AGPM 관리자(모든 권한)여야 합니다. 구체적으로, 도메인에 대한 내용 나열 및 옵션 수정 권한이 있어야 합니다.

기록에서 GPO 버전을 삭제할 수 없도록 표시하면 해당 GPO 버전이 삭제되지 않도록 할 수 있습니다. 이렇게 하려면 GPO 기록에서 버전을 마우스 오른쪽 단추로 클릭하고 삭제하지 않기를 클릭하십시오.

추가 참조

아카이브 관리

파일에서 GPO 가져오기

고급 그룹 정책 관리(AGPM)에서 AGPM 관리자(모든 권한)이고 그룹 정책 개체(GPO)를 CAB 파일로 내보낸 경우 해당 GPO의 정책 설정을 다른 포리스트의 도메인에 있는 새 GPO 또는 기존 GPO로 가져올 수 있습니다. GPO 설정을 CAB 파일로 내보내는 방법에 대한 자세한 내용은 파일로 GPO 내보내기를 참조하십시오.

제어된 새 GPO로 정책 설정을 가져오려면 AGPM 관리자 역할이나 AGPM의 필수 권한이 있는 사용자 계정이 있어야 합니다. 기존 GPO로 정책 설정을 가져오려면 편집자 또는 AGPM 관리자 역할이나 AGPM의 필수 권한이 있는 사용자 계정이 있어야 합니다. 이 항목의 "추가 고려 사항"에 있는 세부 내용을 검토하십시오.

파일에서 정책 설정 가져오기

파일에서 정책 설정을 가져올 때 새 GPO 또는 기존 GPO로 가져올 수 있습니다. 하지만 기존 GPO로 정책 설정을 가져올 경우 기존 GPO의 모든 정책이 교체됩니다.

제어된 새 GPO로 정책 설정 가져오기

기존 GPO로 정책 설정 가져오기

제어된 새 GPO로 정책 설정을 가져오려면 다음을 수행하십시오.

1.그룹 정책 관리 콘솔 트리에서 정책 설정을 가져올 도메인에서 변경 제어를 클릭합니다.

2.내용 탭에서 제어됨 탭을 클릭하여 제어된 GPO를 표시합니다.

3.제어된 새 GPO를 만듭니다. 제어된 새 GPO 대화 상자에서 가져오기를 클릭한 다음 마법사 실행을 클릭합니다. GPO를 만드는 방법에 대한 자세한 내용은 제어된 새 GPO 만들기를 참조하십시오.

4.설정 가져오기 마법사의 지침에 따라 GPO 백업을 선택하고, 여기에서 새 GPO에 대한 정책 설정을 가져오고, 새 GPO의 감사 내역에 표시할 설명을 입력합니다.

기존 GPO로 정책 설정을 가져오려면 다음을 수행하십시오.

1.그룹 정책 관리 콘솔 트리에서 정책 설정을 가져올 도메인에서 변경 제어를 클릭합니다.


3.정책 설정을 가져올 대상 GPO를 체크 아웃합니다.

4.대상 GPO를 마우스 오른쪽 단추로 클릭하고 가져올 위치를 가리킨 다음 파일을 클릭합니다.

5.설정 가져오기 마법사의 지침에 따라 GPO 백업을 선택하고, 해당 정책 설정을 가져와 대상 GPO의 정책 설정을 교체하고, 대상 GPO의 감사 내역에 표시할 설명을 입력합니다. 기본적으로 마법사를 마치면 대상 GPO가 체크 인됩니다.


정책 설정을 제어된 새 GPO로 가져오려면 도메인에 대한 내용 나열, GPO 가져오기 및 GPO 만들기 권한이 있어야 합니다. 기본적으로 이 절차를 수행하려면 AGPM 관리자여야 합니다.

정책 설정을 기존 GPO로 가져오려면 도메인에 대해 내용 나열, 설정 편집 및 GPO 가져오기 권한이 있어야 하며 사용자가 GPO를 체크 아웃해야 합니다. 이 절차를 수행하려면 기본적으로 편집자 또는 AGPM 관리자(모든 권한)여야 합니다.

추가 참조

아카이브 관리

아카이브 백업

문제가 있을 경우 고급 그룹 정책 관리(AGPM)의 아카이브 복구에 도움이 되도록 AGPM 관리자(모든 권한)는 아카이브를 자주 백업해야 합니다. 기본적으로 아카이브는 %ProgramData%\Microsoft\AGPM에 만들어집니다. 하지만 Microsoft Advanced Group Policy Management 서버를 설치하는 동안 다른 경로를 지정할 수 있습니다.

이 절차를 완료하려면 AGPM 서버(AGPM 서비스가 설치된 컴퓨터)와 아카이브가 포함된 폴더에 대한 액세스 권한이 있는 사용자 계정이 있어야 합니다.

아카이브를 백업하려면 다음을 수행하십시오.

1.AGPM 서비스를 중지합니다. 자세한 내용은 AGPM 서비스 시작 및 중지를 참조하십시오.

2.Windows 탐색기, Xcopy, Windows Server® 백업 또는 다른 백업 도구를 사용하여 아카이브 폴더를 백업합니다. 숨겨진 파일, 시스템 파일 및 읽기 전용 파일을 백업해야 합니다.

3.안전한 위치에 아카이브 백업을 저장합니다.

4.AGPM 서비스를 다시 시작합니다. 자세한 내용은 AGPM 서비스 시작 및 중지를 참조하십시오.

참고

AGPM 관리자이 아카이브를 자주 백업하지 않으면 아카이브 백업의 그룹 정책 개체(GPO)가 사용되지 않습니다. 아카이브 백업을 사용하려면 아카이브를 조직의 매일 백업 전략의 일부로 백업하십시오.

추가 참조



아카이브 관리


문제가 발생하여 고급 그룹 정책 관리(AGPM)의 아카이브가 손상되거나 소실되면 그룹 정책 개체(GPO)가 아카이브에 없거나 프로덕션 중인 버전이 아카이브에 있는 버전보다 최신인 경우 AGPM 관리자(모든 권한)는 미리 준비된 백업 복사본에서 아카이브를 복원한 후 도메인의 프로덕션 환경에서 가져올 수 있습니다. 아카이브 백업을 다른 서버로 복원하는 방법에 대한 자세한 내용은 AGPM 서버 및 아카이브 이동을 참조하십시오.

이 절차를 완료하려면 AGPM 서버(AGPM 서비스가 설치된 컴퓨터)와 아카이브가 포함된 폴더에 대한 액세스 권한이 있는 사용자 계정이 있어야 합니다.

백업에서 아카이브를 복원하려면 다음을 수행하십시오.

1.AGPM 서비스를 중지합니다. 자세한 내용은 AGPM 서비스 시작 및 중지를 참조하십시오.

2.기존 아카이브를 제거합니다. 기본적으로 아카이브 폴더는 %ProgramData%\Microsoft\AGPM이지만 Microsoft Advanced Group Policy Management 서버를 설치한 AGPM 관리자가 설치하는 동안 다른 위치를 입력했을 수 있습니다.

3.아카이브 경로, AGPM 서비스 계정, 아카이브 소유자 및 수신 포트를 구성하여 아카이브 폴더를 다시 만듭니다. 원본 설치 중 사용된 것과 같은 값을 사용할 필요는 없습니다. 자세한 내용은 AGPM 서비스 수정을 참조하십시오.

4.각 하위 폴더와 파일에서 아카이브 폴더의 권한을 상속하도록 하위 폴더와 파일을 복사하여 아카이브 백업 내용을 아카이브 폴더에 복사합니다. 아카이브 폴더를 덮어쓰지 않도록 주의하십시오.

5.아카이브 백업의 GPO가 프로덕션 중인 GPO 복사본보다 최신인지 잘 알지 못할 경우 차이점 보고서를 생성하여 설정을 비교합니다. 자세한 내용은 GPO, GPO 버전 또는 템플릿 간의 차이점 확인을 참조하십시오.

6.AGPM 서비스를 다시 시작합니다. 자세한 내용은 AGPM 서비스 시작 및 중지를 참조하십시오.

추가 참조

아카이브 백업


아카이브 관리

AGPM 서비스 관리

AGPM 서비스는 보안 프록시 역할을 하는 Windows 서비스로서, 도메인의 아카이브 및 프로덕션 환경에서 그룹 정책 개체(GPO)에 대한 클라이언트 액세스를 관리합니다. 또한 고급 그룹 정책 관리(AGPM) 위임을 적용하고 향상된 보안 수준을 제공합니다. AGPM 서비스는 Microsoft Advanced Group Policy Management 서버가 설치되어 있는 서버에서 호스팅됩니다.

주의

운영 체제에서 관리 도구 및 서비스를 사용하여 AGPM 서비스에 대한 설정을 수정하지 마십시오. 설정을 수정하면 시작할 때 AGPM 서비스를 사용하지 못할 수도 있습니다.

AGPM 서비스 시작 및 중지


추가 참조



AGPM 서비스 시작 및 중지

AGPM 서비스는 보안 프록시 역할을 하는 Windows 서비스로서, 아카이브 및 프로덕션 환경에서 그룹 정책 개체(GPO)에 대한 클라이언트 액세스를 관리합니다.

중요

AGPM 서비스를 중지하거나 사용하지 않도록 설정하면 AGPM 클라이언트가 서버를 통해 GPO 나열 또는 편집 등의 작업을 수행할 수 없게 됩니다.

이 절차를 완료하려면 AGPM 서버(AGPM 서비스가 설치된 컴퓨터)에 대한 액세스 권한이 있는 사용자 계정이 있어야 합니다.

AGPM 서비스를 시작하거나 중지하려면 다음을 수행하십시오.

1.Microsoft Advanced Group Policy Management 서버(AGPM 서비스)가 설치되어 있는 컴퓨터에서 시작, 제어판, 관리 도구, 서비스를 차례로 클릭합니다.

2.서비스 목록에서 AGPM 서비스를 마우스 오른쪽 단추로 클릭하고 시작, 다시 시작 또는 중지를 선택합니다.

주의


추가 참조



AGPM 서비스는 보안 프록시 역할을 하는 Windows 서비스로서, 도메인의 아카이브 및 프로덕션 환경에서 그룹 정책 개체(GPO)에 대한 클라이언트 액세스를 관리합니다. 이 서비스를 중지하거나 사용하지 않도록 설정하면 AGPM 클라이언트가 서버를 통해 작업을 수행할 수 없습니다. 아카이브 경로, AGPM 서비스 계정 및 AGPM 서비스가 수신 대기하는 포트를 수정할 수 있습니다.

주의


이 절차를 완료하려면 Domain Admins 그룹의 구성원이고 AGPM 서버(Microsoft Advanced Group Policy Management 서버가 설치되어 있는 컴퓨터)에 대한 액세스 권한이 있는 사용자 계정이 있어야 합니다. 또한 이 절차를 완료하려면 AGPM 서비스 계정에 대한 자격 증명을 제공해야 합니다.

AGPM 서비스를 수정하려면 다음을 수행하십시오.

1.Microsoft Advanced Group Policy Management 서버가 설치되어 있는 컴퓨터에서 시작, 제어판, 프로그램, 프로그램 및 기능을 차례로 클릭합니다.

2.Microsoft Advanced Group Policy Management 서버를 마우스 오른쪽 단추로 클릭하고 변경을 클릭합니다.

3.다음을 클릭한 후 수정을 클릭합니다.

4.다음 지침에 따라 AGPM 서비스를 구성합니다.

a.아카이브 경로 대화 상자에서 AGPM 서버를 기준으로 아카이브의 새 위치를 입력하거나 현재 아카이브 경로를 확인한 후에 다음을 클릭합니다.

중요

아카이브 경로로 AGPM 서버의 폴더 또는 다른 위치를 지정할 수 있지만, 해당 AGPM 서버가 관리하는 모든 GPO 및 기록 데이터를 저장할 수 있는 충분한 공간이 있는 위치를 선택해야 합니다.

b.AGPM 서비스 계정 대화 상자에서 AGPM 서비스를 실행하는 데 사용할 서비스 계정의 자격 증명을 입력하고 다음을 클릭합니다.

중요

설치를 수정하면 AGPM 서비스 계정의 자격 증명이 지워집니다. 이 경우 자격 증명을 다시 입력해야 하며, 원래 설치 중에 사용한 것과 다른 자격 증명을 입력해도 됩니다.

AGPM 서비스 계정에는 관리할 GPO에 대한 전체 권한이 있어야 하며, 서비스로 로그온 권한이 부여됩니다. 단일 도메인에서 GPO를 관리할 경우에는 주 도메인 컨트롤러에 대한 로컬 시스템 계정을 AGPM 서비스 계정으로 지정할 수 있습니다.

GPO를 여러 도메인에서 관리하거나 AGPM 서버를 구성원 서버로 사용할 경우에는 특정 도메인 컨트롤러의 로컬 시스템 계정으로는 다른 도메인의 GPO에 액세스할 수 없기 때문에 다른 계정을 AGPM 서비스 계정으로 구성해야 합니다.

c.아카이브 소유자 대화 상자에서 AGPM 관리자(모든 권한)의 사용자 이름 또는 AGPM 관리자의 그룹을 입력하고 다음을 클릭합니다.

참고

설치를 수정하면 아카이브 소유자의 자격 증명이 지워집니다. 이 경우 자격 증명을 다시 입력해야 하며, 원래 설치 중에 사용한 것과 다른 자격 증명을 입력해도 됩니다.

d.포트 구성 대화 상자에 AGPM 서비스가 수신 대기해야 하는 새 포트를 입력하거나 현재 선택되어 있는 포트를 확인하고 다음을 클릭합니다.

참고

기본적으로 AGPM 서비스는 포트 4600을 수신 대기합니다.

포트 예외를 수동으로 구성하거나 포트 예외 구성 규칙이 있는 경우에는 방화벽에 포트 예외 추가 확인란 선택을 취소할 수 있습니다.

5.변경을 클릭하고 설치가 완료되면 마침을 클릭합니다.

6.AGPM 서비스가 수신 대기하는 포트를 변경한 경우에는 각 그룹 정책 관리자에 대한 AGPM 서버 연결의 포트를 수정하십시오. 자세한 내용은 AGPM 서버 연결 구성을 참조하십시오.

7.구성 변경 내용을 적용할 각 AGPM 서버에 대해 위 단계를 반복합니다.

추가 참조



AGPM 서버와 아카이브가 호스팅되는 서버를 교체할 경우 AGPM 서비스와 아카이브를 옮겨야 합니다. 원한다면 AGPM 서비스와 아카이브를 따로 옮길 수 있습니다.

참고

AGPM 서버는 AGPM 서비스를 호스팅하고 Microsoft Advanced Group Policy Management 서버가 설치되어 있는 컴퓨터입니다.

기본적으로 아카이브는 AGPM 서버에서 호스팅되지만 아카이브 경로를 지정하여 다른 서버에서 아카이브를 호스팅할 수 있습니다.

이 절차를 완료하려면 Domain Admins 그룹의 구성원이고 이전 AGPM 서버 및 새 AGPM 서버에 대한 액세스 권한이 있는 사용자 계정이 있어야 합니다. 또한 이 절차를 완료하려면 새 AGPM 서버에서 사용되는 AGPM 서비스 계정에 대한 자격 증명을 제공해야 합니다.

AGPM 서비스와 아카이브를 다른 서버로 옮기려면 다음을 수행하십시오.

1.아카이브를 백업합니다. 자세한 내용은 아카이브 백업을 참조하십시오.

2.AGPM 서비스를 옮깁니다.

a.AGPM 서비스를 중지합니다. 자세한 내용은 AGPM 서비스 시작 및 중지를 참조하십시오.

b.AGPM 서비스를 호스팅할 새 서버에 Microsoft Advanced Group Policy Management 서버를 설치합니다. 이 과정에서 AGPM 서버와 관련된 아카이브의 위치인 새 아카이브 경로를 지정합니다. 자세한 내용은 Microsoft Advanced Group Policy Management 4.0용 단계별 가이드(http://go.microsoft.com/fwlink/?LinkId=153505)와 Microsoft Advanced Group Policy Management용 계획 가이드(http://go.microsoft.com/fwlink/?LinkId=156883)를 참조하십시오.

c.AGPM 관리자(모든 권한)는 새 AGPM 서버를 사용할 모든 그룹 정책 관리자에 대해 AGPM 서버 연결을 구성하고 기존 AGPM 서버에 대한 연결을 제거해야 하고 각 그룹 정책 관리자는 새 AGPM 서버 연결을 수동으로 구성하고 컴퓨터에서 AGPM 스냅 인에 대해 기존 AGPM 서버 연결을 제거해야 합니다. 자세한 내용은 AGPM 서버 연결 구성을 참조하십시오.

참고

모범 사례로 기존 AGPM 서버에서 Microsoft Advanced Group Policy Management 서버를 제거해야 합니다. 이렇게 하면 해당 서버에서 AGPM 서비스가 의도하지 않게 다시 시작될 수 없으며 해당 서버에 대한 AGPM 서버 연결이 남아 있을 경우 혼란을 초래하지 않을 수 있습니다.

3.백업에서 아카이브를 호스팅할 새 서버로 아카이브를 복사합니다. 자세한 내용은 백업에서 아카이브 복원을 참조하십시오.

중요

동시에 AGPM 서비스를 옮기지 않고 아카이브를 옮긴 경우 다음을 수행하십시오.

a.아카이브 경로가 AGPM 서버와 관련된 아카이브의 새 위치를 가리키도록 변경해야 합니다. 자세한 내용은 AGPM 서비스 수정을 참조하십시오.

b.도메인 위임 탭에서 암호를 다시 입력하고 확인해야 합니다. 자세한 내용은 전자 메일 알림 구성을 참조하십시오.

추가 참조

아카이브 백업




Microsoft Advanced Group Policy Management 4.0용 단계별 가이드(http://go.microsoft.com/fwlink/?LinkId=153505)

Microsoft Advanced Group Policy Management용 계획 가이드 (http://go.microsoft.com/fwlink/?LinkId=156883)


편집자 작업 수행

고급 그룹 정책 관리(AGPM)에서 편집자는 AGPM 관리자(모든 권한)가 그룹 정책 개체(GPO)를 변경하고 GPO 템플릿을 만들 수 있는 권한을 부여한 사람입니다. 또한 편집자는 GPO 만들기, 삭제 또는 복원을 요청할 수 있습니다. 승인자는 GPO에 대한 요청을 승인해야 합니다. 편집자는 다른 포리스트의 도메인으로 복사할 수 있도록 GPO를 파일로 내보낼 수 있으며 다른 도메인에서 복사된 GPO를 가져올 수 있습니다.

중요

GPO의 중앙 아카이브에 연결되어 있는지 확인하십시오. 자세한 내용은 AGPM 서버 연결 구성을 참조하십시오.

GPO 만들기 또는 제어

GPO 편집


GPO 배포 요청

템플릿 만들기 및 기본 템플릿 설정

GPO 삭제 또는 복원

참고

편집자 역할에는 검토자 역할의 권한도 포함되므로 편집자는 설정 검토 및 GPO 비교 작업도 수행할 수 있습니다. 자세한 내용은 검토자 작업 수행을 참조하십시오.


기본적으로 편집자 역할에는 다음과 같은 권한이 제공됩니다.

내용 나열

설정 읽기

설정 편집

GPO 내보내기

GPO 가져오기

템플릿 만들기


고급 그룹 정책 관리(AGPM)를 사용하여 그룹 정책 개체(GPO)에 대한 변경 제어를 제공하려면 먼저 AGPM을 사용하여 GPO를 제어해야 합니다. 변경 제어 폴더를 통해 만든 새 GPO는 자동으로 제어됩니다. 편집자에게는 GPO 제어, 만들기 또는 삭제를 완료할 권한이 없을 수도 있습니다. 그러나 프로세스를 시작하여 요청을 승인자에게 제출하는 데 필요한 권한은 있습니다.

제어되지 않은 GPO의 제어 요청


프로덕션에서 GPO 가져오기

제어되지 않은 GPO의 제어 요청

기존 그룹 정책 개체(GPO)에 대해 변경 제어 기능을 제공하려면 GPO를 제어해야 합니다. 승인자나 AGPM 관리자(모든 권한)가 아닌 경우에는 GPO 제어를 요청해야 합니다.

이 절차를 완료하려면 편집자 또는 검토자 역할이나 고급 그룹 정책 관리(AGPM)의 필수 권한이 있는 사용자 계정이 있어야 합니다. 이 항목의 "추가 고려 사항"에 있는 세부 내용을 검토하십시오.

제어되지 않은 GPO를 제어하려면 다음을 수행하십시오.


2.세부 정보 창의 내용 탭에서 제어되지 않음 탭을 클릭하여 제어되지 않은 GPO를 표시합니다.

3.AGPM으로 제어할 GPO를 마우스 오른쪽 단추로 클릭한 다음 제어를 클릭합니다.

4.GPO를 제어할 수 있는 특별 권한이 없으면 제어 요청을 제출해야 합니다. 요청 복사본을 받으려면 자신의 전자 메일 주소를 참조 필드에 입력합니다. GPO의 기록에 표시할 설명을 입력하고 제출을 클릭합니다.

5.진행률 창에 전체 진행이 완료된 것으로 나타나면 닫기를 클릭합니다. GPO가 제어되지 않음 탭의 목록에서 제거되며 보류 중 탭에 추가됩니다. 승인자가 요청을 승인하면 GPO는 제어됨 탭으로 이동됩니다.


기본적으로 이 절차를 수행하려면 편집자 또는 검토자여야 합니다. 구체적으로, 도메인에 대한 내용 나열 및 설정 읽기 권한이 있어야 합니다.

요청을 승인 전에 취소하려면 보류 중 탭을 클릭합니다. 마우스 오른쪽 단추로 GPO를 클릭한 다음 취소를 클릭합니다. 그러면 GPO가 제어되지 않음 탭으로 돌아갑니다.

추가 참조



승인자나 AGPM 관리자(모든 권한)가 아닌 경우에는 새 그룹 정책 개체(GPO) 만들기를 요청해야 합니다.

이 절차를 완료하려면 편집자 또는 검토자 역할이나 고급 그룹 정책 관리(AGPM)의 필수 권한이 있는 사용자 계정이 있어야 합니다. 이 항목의 "추가 고려 사항"에 있는 세부 내용을 검토하십시오.

AGPM을 통해 변경 제어를 관리하는 새 GPO를 만들려면 다음을 수행하십시오.


2.변경 제어를 마우스 오른쪽 단추로 클릭하고 제어된 새 GPO를 클릭합니다.

3.GPO를 만들 수 있는 특별 권한이 없으면 만들기 요청을 제출해야 합니다. 제어된 새 GPO 대화 상자에서 다음을 수행합니다.

a.요청 복사본을 받으려면 자신의 전자 메일 주소를 참조 필드에 입력합니다.

b.새 GPO의 이름을 입력합니다.

c.옵션: 새 GPO의 설명을 입력합니다.

d.승인되는 즉시 새 GPO를 도메인의 프로덕션 환경으로 배포하려면 라이브로 만들기를 클릭합니다. 오프라인으로 새 GPO를 만들고 승인 직후에 배포하지 않으려면 오프라인으로 만들기를 클릭합니다.

e.새 GPO를 만들 때 시작 지점으로 사용할 GPO 템플릿을 선택합니다.

f.제출을 클릭합니다.

4.진행률 창에 전체 진행이 완료된 것으로 나타나면 닫기를 클릭합니다. 새 GPO가 보류 중 탭의 GPO 목록에 표시됩니다. 승인자가 요청을 승인하면 GPO는 제어됨 탭으로 이동됩니다.


기본적으로 이 절차를 수행하려면 편집자 또는 검토자여야 합니다. 구체적으로, 도메인에 대한 내용 나열 권한이 있어야 합니다.

요청을 승인 전에 취소하려면 보류 중 탭을 클릭합니다. 마우스 오른쪽 단추로 GPO를 클릭한 다음 취소를 클릭합니다. GPO가 소멸됩니다.

추가 참조


프로덕션에서 GPO 가져오기

고급 그룹 정책 관리(AGPM) 외부에서 제어된 그룹 정책 개체(GPO)를 변경하는 경우 GPO의 복사본을 도메인의 프로덕션 환경에서 가져와 아카이브에 저장하면 아카이브와 프로덕션 환경을 일관된 상태로 유지할 수 있습니다. 제어되지 않은 GPO를 가져오려는 경우에는 먼저 GPO를 제어하십시오. 제어되지 않은 GPO의 제어 요청을 참조하십시오.

이 절차를 완료하려면 편집자, 승인자 또는 AGPM 관리자(모든 권한) 역할이나 AGPM의 필요한 권한을 가진 사용자 계정이 있어야 합니다. 이 항목의 "추가 고려 사항"에 있는 세부 내용을 검토하십시오.

도메인의 프로덕션 환경에서 GPO를 가져오려면 다음을 수행하십시오.



3.GPO를 마우스 오른쪽 단추로 클릭한 다음 프로덕션에서 가져오기를 클릭합니다.

4.GPO의 감사 내역에 대한 설명을 입력하고 확인을 클릭합니다.


기본적으로 이 절차를 수행하려면 편집자, 승인자 또는 AGPM 관리자(모든 권한)여야 합니다. 구체적으로, GPO에 대한 내용 나열 및 설정 편집, GPO 배포 또는 GPO 삭제 권한이 있어야 합니다.

추가 참조


GPO 편집

그룹 정책 개체(GPO)는 고급 그룹 정책 관리(AGPM)으로 제어해야 편집할 수 있습니다. GPO 제어에 대한 자세한 내용은 GPO 만들기 또는 제어를 참조하십시오.

프로덕션 환경에 있는 GPO의 배포된 복사본에 직접적으로 영향을 주지 않은 채 오프라인으로 GPO를 변경하려면 아카이브에서 GPO 복사본을 체크 아웃합니다. 변경이 완료되면 GPO를 아카이브로 다시 체크 인하고 테스트한 다음 프로덕션 환경으로 GPO를 배포하도록 요청하십시오.


현재 버전의 GPO에 레이블 지정

GPO 또는 템플릿 이름 바꾸기


제어된 그룹 정책 개체(GPO)를 변경하려면 먼저 GPO 복사본을 아카이브에서 체크 아웃해야 합니다. 그러면 다시 체크 인할 때까지 다른 사용자가 해당 GPO를 수정할 수 없으므로, 여러 그룹 정책 관리자의 동시 변경으로 인한 충돌이 발생하지 않습니다. GPO 수정이 끝나면 GPO를 검토하고 프로덕션 환경으로 배포할 수 있도록 아카이브로 체크 인합니다.

편집자 또는 AGPM 관리자(모든 권한) 역할이 있는 사용자 계정, GPO를 만든 승인자의 사용자 계정 또는 고급 그룹 정책 관리(AGPM)에 필수 권한이 있는 사용자 계정이 있어야 이 절차를 완료할 수 있습니다. 이 항목의 "추가 고려 사항"에 있는 세부 내용을 검토하십시오.


GPO를 편집하려면 아카이브에서 GPO를 체크 아웃하여 오프라인으로 편집한 다음, GPO를 검토 및 배포하고 다른 편집자가 수정할 수 있도록 아카이브로 다시 체크 인합니다.

편집을 위해 아카이브에서 GPO 체크 아웃


아카이브로 GPO 체크 인

편집을 위해 아카이브에서 GPO를 체크 아웃하려면 다음을 수행하십시오.



3.편집할 GPO를 마우스 오른쪽 단추로 클릭한 다음 체크 아웃을 클릭합니다.

4.GPO가 체크 아웃된 상태에서 GPO 기록에 표시할 설명을 입력하고 확인을 클릭합니다.

5.진행률 창에 전체 작업이 완료되었다고 표시되면 닫기를 클릭합니다. 제어됨 탭에서 GPO의 상태가 체크 아웃됨으로 표시됩니다.

오프라인으로 GPO를 편집하려면 다음을 수행하십시오.

1.제어됨 탭에서 편집할 GPO를 마우스 오른쪽 단추로 클릭하고 편집을 클릭합니다.

2.I그룹 정책 관리 편집기 창에서 오프라인 GPO 복사본을 변경합니다.

참고

모든 컴퓨터 구성 설정 또는 모든 사용자 구성 설정을 사용하지 않도록 설정하려면 그룹 정책 관리 편집기 창에서 GPO를 마우스 오른쪽 단추로 클릭하고 속성을 클릭합니다. 컴퓨터 구성 설정 사용 안 함이나 사용자 구성 설정 사용 안 함 중 해당하는 항목을 클릭합니다.

3.GPO 수정이 끝나면 그룹 정책 관리 편집기 창을 닫습니다.

아카이브로 GPO를 체크 인하려면 다음을 수행하십시오.

1.제어됨 탭에서 다음을 수행합니다.

GPO를 변경하지 않은 경우 GPO를 마우스 오른쪽 단추로 클릭하고 체크 아웃 취소를 클릭한 다음 예를 클릭하여 확인합니다.

GPO를 변경한 경우에는 GPO를 마우스 오른쪽 단추로 클릭하고 체크 인을 클릭합니다.

2.GPO 감사 내역에 표시할 설명을 입력하고 확인을 클릭합니다.

3.진행률 창에 전체 진행이 완료된 것으로 나타나면 닫기를 클릭합니다. 제어됨 탭에서 GPO의 상태가 체크 인됨으로 표시됩니다.


GPO를 체크 아웃 및 편집하려면 기본적으로 GPO를 만들거나 제어한 승인자, 편집자 또는 AGPM 관리자(모든 권한)여야 합니다. 구체적으로, GPO에 대한 내용 나열 및 설정 편집 권한이 있어야 합니다. 또한 GPO를 체크 아웃한 사람만 GPO를 편집할 수 있습니다.

GPO를 체크 인하려면 기본적으로 편집자, 승인자 또는 AGPM 관리자(모든 권한)여야 합니다. 구체적으로, GPO에 대한 내용 나열 및 설정 편집이나 GPO 배포 권한이 있어야 합니다. 승인자나 AGPM 관리자 또는 GPO 배포 권한이 있는 기타 그룹 정책 관리자가 아닌 경우에는 GPO를 체크 아웃한 편집자여야 합니다.

GPO를 편집할 때는 다른 GPO의 패키지 그룹 정책 소프트웨어 설치 업그레이드가 체크 아웃된 복사본이 아닌 배포된 GPO를 참조해야 합니다.

추가 참조

GPO 편집

GPO 검토

GPO 설정 검토

GPO 링크 검토

GPO, GPO 버전 또는 템플릿 간의 차이점 확인

GPO 배포

GPO 배포 요청

GPO 배포

현재 버전의 GPO에 레이블 지정

그룹 정책 개체(GPO)를 해당 기록에서 쉽게 식별할 수 있도록 현재 버전의 GPO에 레이블을 지정할 수 있습니다. 레이블을 사용하면 문제가 발생했을 때 롤백할 수 있는 알려진 정상 버전을 확인할 수 있습니다. 또한 동일한 레이블을 여러 GPO에 동시에 지정할 수 있으므로, 나중에 롤백이 필요한 경우에 동일한 지점으로 롤백해야 하는 관련 GPO를 표시할 수 있습니다.

이 절차를 완료하려면 편집자, 승인자 또는 AGPM 관리자(모든 권한) 역할이나 고급 그룹 정책 관리(AGPM)의 필요한 권한을 가진 사용자 계정이 있어야 합니다. 이 항목의 "추가 고려 사항"에 있는 세부 내용을 검토하십시오.

GPO 기록에서 현재 버전의 GPO에 레이블을 지정하려면 다음을 수행하십시오.



3.현재 버전에 레이블을 지정할 GPO를 클릭합니다. 여러 GPO를 선택하려면 Shift 키를 누르고 연속하는 GPO 그룹에서 마지막 GPO를 클릭하거나, Ctrl 키를 누르고 개별 GPO를 클릭합니다. 선택한 GPO를 마우스 오른쪽 단추로 클릭한 다음 레이블을 클릭합니다.

4.선택한 각 GPO의 기록에 표시할 레이블 및 설명을 입력하고 확인을 클릭합니다.

5.진행률 창에 전체 진행이 완료된 것으로 나타나면 닫기를 클릭합니다.


이 절차를 수행하려면 기본적으로 편집자, 승인자 또는 AGPM 관리자(모든 권한)여야 합니다. 구체적으로, GPO에 대한 내용 나열 및 설정 편집이나 GPO 배포 권한이 있어야 합니다.

추가 참조

GPO 편집

GPO 또는 템플릿 이름 바꾸기

제어된 그룹 정책 개체(GPO) 또는 템플릿의 이름을 바꿀 수 있습니다.

편집자 또는 AGPM 관리자(모든 권한) 역할이 있는 사용자 계정, GPO를 만든 승인자의 사용자 계정 또는 고급 그룹 정책 관리(AGPM)에 필수 권한이 있는 사용자 계정이 있어야 이 절차를 완료할 수 있습니다. 이 항목의 "추가 고려 사항"에 있는 세부 내용을 검토하십시오.

GPO 또는 템플릿의 이름을 바꾸려면 다음을 수행하십시오.


2.내용 탭에서 제어됨 또는 템플릿 탭을 클릭하여 이름을 바꿀 항목을 표시합니다.

3.이름을 바꿀 GPO 또는 템플릿을 마우스 오른쪽 단추로 클릭하고 이름 바꾸기를 클릭합니다.

4.GPO 또는 템플릿의 새 이름과 설명을 입력하고 확인을 클릭합니다.

5.진행률 창에 전체 진행이 완료된 것으로 나타나면 닫기를 클릭합니다. 해당 GPO 또는 템플릿이 내용 탭의 새 이름 아래에 표시됩니다.


기본적으로 이 절차를 수행하려면 GPO를 만들거나 제어한 승인자, 편집자 또는 AGPM 관리자(모든 권한)여야 합니다. 구체적으로, GPO에 대한 내용 나열 및 설정 편집 권한이 있어야 합니다.

배포된 GPO의 이름을 바꾸면 아카이브에서는 해당 이름이 즉시 변경되며, 프로덕션 환경에서는 GPO를 다시 배포하는 경우에만 해당 이름이 변경됩니다. GPO를 다시 배포하거나 프로덕션 복사본을 삭제하기 전까지는 이전 이름이 프로덕션 환경에서 계속 사용되므로, 다른 GPO에 해당 이름을 사용할 수 없습니다. 마찬가지로, GPO를 배포하여 프로덕션 복사본의 이름을 변경하거나 프로덕션 복사본을 삭제하기 전까지는 아카이브의 GPO 이름을 원래대로 다시 바꿀 수 없습니다.

추가 참조

GPO 편집


그룹 정책 개체(GPO)가 프로덕션 환경에 배포되도록 요청하기 전에 테스트 환경에서 GPO를 테스트해야 합니다. 테스트 포리스트의 도메인에서 GPO를 개발하는 경우 GPO를 파일로 내보낸 후 프로덕션 포리스트의 도메인으로 가져올 수 있습니다. 그런 다음 GPO를 테스트 컴퓨터 및 사용자가 포함된 OU(조직 구성 단위)에 연결하여 테스트할 수 있습니다.

파일로 GPO 내보내기

microsoftdownload.microsoft.com/.../agpm40_operationsguide.docx · web viewurl 및 다른 인터넷...

Documents