그룹정책을 적용을 하다보면 정책 자체에는 문제가 없는데, 정책이 적용되지 않는 경우가 있다.
1. Filtering 조건을 설정하지 않은 경우
이럴 경우 기본적으로 확인을 해봐야 하는 부분이 'Security filtering'과 'WMI filtering'을 확인을 해봐야 한다. 정책 생성시 적용할 대상이 명확하지 않으면 정책이 적용되지 않는다.
Security Filtering 경우, 정책 생성시 적용할 대상이 전체 인원을 대상을 할지(전체 인원이면 상위 이미지처럼 'Authenticated User'로 설정), 아니면 일부 사용자 혹은 PC 아니면 Security Group을 대상으로 정책을 설정할지(해당 Group을 대상으로 설정할 경우 당.연.히. Authenticated User 그룹은 빠져야 한다. )
WMI FIlter 경우는 PC환경적인 부분에 따라 정책 적용 여부를 결정하는 필터링으로 보통의 경우 OS 혹은 비트에 따라 스크립트를 추가하여 설정한다. 필터링 추가는 Group Policy Management 콘솔에서 Domain 하단에 있는 'WMI Filters'에서 신규 생성하면 된다. 생성시 아래 조건에 따라 쿼리문에 추가하면 된다. (참고로 Namespace는 root\CIMv2 기본 설정)
2. 유사한 정책 우선순위에 따른 충돌
다음에 정책이 설정이 안되는 경우는 한 OU에서 동일한 Lv로 유사한 정책이 설정이 된 경우이다.
기본적으로 GPO, 그룹정책은 기본적으로 '상속'의 개념이 적용된다. 1) 상위 OU의 정책이 하위 OU에 적용이되며, 2) 동일한 정책에서 일부 설정값이 다를 경우 상위 정책이 우선적으로 적용되고 밑의 정책은 무시된다. 3) 적용 순서는 하위 OU --> 상위 OU 순으로 적용이 된다. 즉, 정책을 설정할 때 그 우선순위에 따라서 적용 여부가 달라질 수 있다는 의미이다.
아래 예를 통해서 알아보면, OU1 아래 유사한 정책이 설정되어 있다.
OU1
1. Filtering 조건을 설정하지 않은 경우
이럴 경우 기본적으로 확인을 해봐야 하는 부분이 'Security filtering'과 'WMI filtering'을 확인을 해봐야 한다. 정책 생성시 적용할 대상이 명확하지 않으면 정책이 적용되지 않는다.
Security Filtering 경우, 정책 생성시 적용할 대상이 전체 인원을 대상을 할지(전체 인원이면 상위 이미지처럼 'Authenticated User'로 설정), 아니면 일부 사용자 혹은 PC 아니면 Security Group을 대상으로 정책을 설정할지(해당 Group을 대상으로 설정할 경우 당.연.히. Authenticated User 그룹은 빠져야 한다. )
WMI FIlter 경우는 PC환경적인 부분에 따라 정책 적용 여부를 결정하는 필터링으로 보통의 경우 OS 혹은 비트에 따라 스크립트를 추가하여 설정한다. 필터링 추가는 Group Policy Management 콘솔에서 Domain 하단에 있는 'WMI Filters'에서 신규 생성하면 된다. 생성시 아래 조건에 따라 쿼리문에 추가하면 된다. (참고로 Namespace는 root\CIMv2 기본 설정)
- 서버 : SELECT * FROM Win32_OperatingSystem WHERE (Caption LIKE "%Server%")
- 윈도우7 & 32bit : select * from Win32_OperatingSystem where Version like "6.%" and ProductType = "1" and OSArchitecture="32-bit"
- 윈도우7 & 64bit : select * from Win32_OperatingSystem where Version like "6.%" and ProductType = "1" and OSArchitecture="64-bit"
2. 유사한 정책 우선순위에 따른 충돌
다음에 정책이 설정이 안되는 경우는 한 OU에서 동일한 Lv로 유사한 정책이 설정이 된 경우이다.
기본적으로 GPO, 그룹정책은 기본적으로 '상속'의 개념이 적용된다. 1) 상위 OU의 정책이 하위 OU에 적용이되며, 2) 동일한 정책에서 일부 설정값이 다를 경우 상위 정책이 우선적으로 적용되고 밑의 정책은 무시된다. 3) 적용 순서는 하위 OU --> 상위 OU 순으로 적용이 된다. 즉, 정책을 설정할 때 그 우선순위에 따라서 적용 여부가 달라질 수 있다는 의미이다.
아래 예를 통해서 알아보면, OU1 아래 유사한 정책이 설정되어 있다.
OU1
- 기본화면보호기정책(authentication users 적용 / 일부 group deny 적용)
- 화면보호기정책_10분(group1 대상 적용)
- 화면보호기정책_30분(group2 대상 적용)
이 경우 OU1의 일부 group들은 상위 정책에서 이미 deny 필터링이 되어 적용되지 않으며, 상속의 개념으로 상위의 정책이 우선적으로 적용되고 바로 밑에 있는 정책들은 무시된다(상위 2)번에 해당 )에 해당). 따라서 이 경우에는 아래와 같이 정책을 설정해야 정상적으로 적용이 된다.
OU1
- 기본화면보호기정책(authentication users 적용 / 일부 group deny 적용)
- OU1-1
- 화면보호기정책_10분(group1 대상 적용)
- 화면보호기정책_30분(group2 대상 적용)
일부에만 적용하는 정책들을 OU1 하단에 OU1-1의 OU를 지정하여 설정해줌으로써 정상적으로 정책이 적용이 된다. (상위 3)번에 해당) 이처럼 정책이 적용이 안되는 경우를 잘 살펴보고 해당 PC에서 적용된 정책 혹은 필터링되거나 Deny된 정책이 무엇인지 커맨트 콘솔에서 'gpresult -v | more' 등 명령어를 통해서 확인을 해보며 살펴본다.
그 외 GPO정책이 적용되지 않을 경우 Troubleshooting 방법은 아래 링크를 참고하세요
#GPO #grouppolicy #activedirectory #troubleshooting
0 comments:
Post a Comment