Windows Server 2008이 나오면... (55) - 고급 그룹 정책 관리 (1)

Windows Server 2008 RC1에는 그룹 정책 기본 설정(Group Policy Preferences)라는 기능이 추가되었습니다. 2006년 10월에 인수한 DesktopStandard 사의 PolicyMaker를 Windows에 탑재한 것이라고 생각하시면 됩니다. 그룹 정책 기본 설정을 살펴보기에 앞서, Windows Server 2008에서 향하고 있는 그룹 정책 관리 방안에 대해서 살펴보도록 하겠습니다.

Windows Server 2008 Advanced Group Policy Management Overview라는 문서를 참고하시면 조금은 더 자세히 아실 수 있지 않을까 합니다. 고급 그룹 정책 관리를 줄여서 AGPM라고 표현하고 있습니다.

AGPM는 MDOP(Microsoft Desktop Optimization Pack)의 중요한 파트입니다. MDOP가 무엇인지에 대해서 자세히 언급하기엔 포스팅으로 다소 부족할 수 있기 때문에(MDOP는 12월 21일에 진행하는 TechNet 세미나에서 Microsoft Korea의 이기영차장님께서 다루실 예정입니다.), 이중 AGPM만 다루도록 하겠습니다.

그룹 정책을 사용하시는 IT Pro 분들께서 많이 피드백을 주셨던 사항들은 아래와 같습니다.

1. 그룹 정책을 좀더 쉽게 생성하고, 설정하고 싶다.
2. 그룹 정책을 생성하는 역할 모델을 만들고 싶다. 예를 들어, 그룹 정책 편집가, 그룹 정책 검토자, 그룹 정책 승인 및 배포
3. 그룹 정책 설정 후, 원상 복구하는 방법이 없는가?
4. 여러개의 그룹 정책을 비교하여 다른 부분만 리포팅해주면 좋겠다.
5. 오프라인에서 그룹 정책을 설정하고, 온라인에서 가져오기만 하고 싶다 등...

1번의 경우에는 그룹 정책 기본 설정에서 해결해줍니다. 2~5번까지의 기능은 GPOVault라는 기능을 통해, 사용하실 수 있습니다. 제목이 Windows Server 2008이 나오면이지만, GPOVault라는 기능은 현재 Windows Server 2003에서도 사용이 가능합니다. 오늘 포스팅을 1편이라고 쓴 이유는 바로 GPOVault에 대해서 먼저 다루려고 하기 때문입니다. 2편에서 그룹 정책 기본 설정을 다루겠습니다.

image

그룹 정책 기본 설정, GPOVault 모두, GPMC(Group Policy Management Console)을 사용합니다. GPOVault는 GPMC에서 추가적으로 Change Control이라는 노드를 생성합니다.

먼저 GPOVault를 이용하면, 역할별 위임이 가능해집니다. 그룹 정책의 편집, 리뷰, 승인에 대한 처리를 나눌 수 있다는 것이죠. 기존 액티브 디렉터리에서도 비슷한 설정을 퍼미션을 통해 구축이 가능했지만, 권한이 없는 경우에 이를 요청할 수 있는 워크 플로우를 제공하지는 않았습니다. GPOVault는 권한이 없는 경우에, 상위 관리자 및 승인자에게 이를 메일로 요청할 수 있습니다.

image image

두번째 오프라인에서 그룹 정책을 생성하고, 이를 차후에 온라인화 시킬 수 있습니다. SharePoint의 기능인 Check-In/Check-Out을 이용하여, 그룹 정책에 대해 다른 사람이 설정을 건들일 수 없도록 할 수 있습니다. Check-In/Check-Out시 변경 사항 히스토리가 정리되어, 차후에 원상 복구 기능도 제공합니다. 덤(?)으로 삭제시, 복구가 가능한 휴지통 기능도 포함되어져 있고요.

image image

image

image

업무상 시나리오로는 그룹 정책을 만드는 A라는 인물에 대해서 Editor 권한을 부여합니다. 해당 A가 그룹 정책을 생성합니다. 이 생성된 그룹 정책이 GPOVault가 있기 전에는 바로 실환경에 반영되지만, 이러한 그룹 정책은 반영전 반드시 테스트 및 승인이 필요할 수 있습니다.

image

그룹 정책 워크 플로우상 승인이 가능한 관리자가 해당 정책을 승인합니다. 이런 후, 편집자인 A는 그룹 정책을 설정하고 배포를 요청합니다.

image

image

이렇게 요청된 정책을 관리자가 승인하면, 그제서야 그룹 정책으로 현업 환경에 동작하게 됩니다.

마지막으로.. 그룹 정책에 대한 리포팅 기능을 살펴보죠. 그룹 정책 하나에 대한 리포팅은 이미 GPMC에서 제공되던 기능입니다만, 그룹 정책간의 설정 비교 기능이 GPOVault의 기능입니다.

image

image

# 파란색의 의미는 양쪽에 동일하게 적용된 셋팅
- 빨간색의 의미는 첫번째 그룹 정책에만 있는 셋팅
+ 녹색의 의미는 두번째 그룹 정책에만 있는 셋팅

어떠세요? 매우 유용할 것 같지 않으신가요?

그룹 정책을 사용하시면서 느끼셨던 여러가지들... 그룹 정책에 대한 추가적인 가치를 현업 IT Pro 분들에게 제공할 수 있는 고급 그룹 정책 관리... 오늘은 그중 첫번째인 GPOVault를 살펴보았습니다. 다음 포스팅에서는 PolicyMaker라고 불리었던, 그룹 정책 기본 설정을 알아보겠습니다. 보다 자세한 데모와 설명이 필요하신 분들께서는 12월 13일 웹캐스트를 꼭 참석하시기 바랍니다!