1. 개요 – 그룹정책| 상속차단(Block Inheritance), 적용(Enforced)에 대하여
그룹정책의 ‘상속차단’과 ‘적용’ 기본 개념
그룹정책은 Windows 환경에서 중요한 역할을 하는 관리 도구로, 조직의 IT 인프라와 사용자 설정을 효율적으로 관리합니다. 특히, ‘상속차단(Block Inheritance)‘과 ‘적용(Enforced)‘ 기능은 그룹정책 관리의 핵심 요소입니다. ‘상속차단’은 상위 수준의 그룹정책 설정이 하위 조직 단위로 자동적으로 적용되는 것을 방지하며, ‘적용’은 설정된 그룹정책이 다른 정책에 의해 오버라이드(Override)되지 않도록 강제합니다.
이 기능들의 중요성
‘상속차단’과 ‘적용’은 복잡한 조직 구조와 다양한 IT 요구사항을 가진 환경에서 유용한 기능입니다. 이들은 특정 조직 단위에 특화된 요구사항을 충족시키며, 동시에 조직 전체의 IT 정책의 일관성과 보안을 유지하는 데 중요한 역할을 합니다.
2. 그룹정책의 ‘상속차단(Block Inheritance)’ 이해하기
상속차단(Block Inheritance)의 정의
‘상속차단’은 Active Directory 환경 내에서 그룹정책의 적용 방식을 제어하는 중요한 기능입니다. 이 기능을 사용하면, 특정 조직 단위(Organizational Unit, OU)가 상위 도메인이나 사이트에서 설정된 그룹정책의 자동 상속을 차단할 수 있습니다. 이는 해당 OU에 대해 별도의 그룹정책을 설정하고자 할 때 유용합니다.
작동 원리
‘상속차단’을 설정하면, 해당 OU는 상위 수준에서 설정된 모든 그룹정책의 영향을 받지 않게 됩니다. 이는 해당 OU에 특정 정책이 필요하거나 기존 정책과 다른 설정이 필요한 경우에 사용됩니다. 상속차단은 그룹정책 관리 콘솔(Group Policy Management Console, GPMC.msc)을 통해 설정할 수 있습니다.
적용 시나리오 및 사례
- 특정 부서에 대한 예외 정책 설정: 회사 전반적으로 적용되는 정책이 있지만, 특정 부서에서는 다른 설정이 필요한 경우, 해당 부서의 OU에 ‘상속차단’을 설정하여 예외적인 그룹정책을 적용할 수 있습니다.
3. 그룹정책의 ‘적용(Enforced)’ 이해하기
적용(Enforced)의 정의
‘적용(Enforced)’은 그룹정책에서 특정 정책을 하위 수준의 정책 변경사항에 우선하여 강제적으로 적용하는 기능입니다. (한글판에서는 ‘적용’이라고 나와 있어, ‘Apply’ 와 혼동할 수 있지만, 영어로 ‘enforced’이기에 강제로 적용)이는 특히 중요한 정책이 하위 조직 단위의 정책에 의해 덮어쓰여지는 것을 방지하고자 할 때 사용됩니다. 즉, ‘적용enforced을 한 정책은 우선 순위가 최우선 순위가 됩니다. ‘적용’ 설정은 그룹정책 관리 콘솔을 통해 쉽게 활성화할 수 있습니다.
작동 원리
‘적용’이 설정된 그룹정책은 다른 모든 그룹정책보다 우선시됩니다. 이는 상속차단이 설정된 조직 단위에도 적용되며, 해당 OU의 정책에 의해 덮어쓰여지지 않습니다. 이러한 특성 때문에, ‘적용’ 설정은 매우 중요한 정책에 대해서만 신중하게 사용되어야 합니다.
적용 시나리오 및 사례
- 보안 관련 필수 정책 적용: 조직의 중요한 보안 정책을 모든 사용자와 컴퓨터에 반드시 적용하기 위해 ‘적용’을 사용합니다. 예를 들어, 강력한 비밀번호 정책이나 액세스 제어 정책이 이에 해당할 수 있습니다.
- 일관된 설정 유지: 조직 전체적으로 일관된 설정을 유지해야 하는 경우, 예를 들어 특정 소프트웨어의 설정이나 네트워크 구성과 관련된 정책에 ‘적용’을 사용하여 일관성을 보장할 수 있습니다.
4. 상속차단과 적용의 실제 적용 테스트 및 전략
그룹정책 적용 Enforced 테스트, 가장 높은 우선순위 그룹정책
LSDOU에 따라, 그룹정책을 만들었습니다. 그리고 Site 그룹정책에 ‘적용 Enforced’를 해보겠습니다. ‘적용 enforced’를 하면, 아이콘에 자물쇠🔒모양이 나타납니다.
클라이언트PC에서 gpupdate 를 하고, ‘rsop.msc‘를 실행하여, 그룹정책이 적용된 것을 확인하면, Site 그룹정책이 적용된 것을 확인할 수 있습니다. 따라서, ‘적용 enforced’를 한다면, 제일 높은 우선순위의 그룹정책이 됩니다.
그룹정책 상속 차단 Block Inheritance 테스트
‘상속 차단 Block Inheritance’는 OU 등에 할 수 있습니다. ‘상속 차단 Block Inheritance’을 하면, 아이콘에 파란 바탕의 느낌표❕를 볼 수 있습니다.
클라이언트PC에서 gpupdate 를 하고, ‘rsop.msc‘를 실행하여, 그룹정책이 적용된 것을 확인하면, Domain 그룹정책과 Site 그룹정책이 차단되어 보이지 않습니다.
5. 상속 차단(Block Inheritance) vs 적용(Enforced)
[테스트 목적]
상속 차단(Block Inheritance)과 적용(Enforce)를 같이 적용하면 어떻게 될까? 어떤 것이 우선순위가 있을까?
[테스트 방법]
‘Domain_GPO’ 에는 ‘적용(Enforced)’, ‘Asgard’ OU에는 ‘상속 차단(Block Inheritance)’를 한다.
[예상 결과]
- ‘적용(Enforced)’가 우선순위가 높다면, ‘상속 차단(Block Inheritance)’으로 인하여 다른 정책(ParentOU_GPO, Site_GPO)은 차단되지만, ‘적용(Enforced)’한 정책만 적용된다.
- ‘상속 차단(Block Inheritance)’이 우선순위가 높다면, ‘적용(Enforced)’한 정책을 포함한 다른 모든 정책이 적용되지 않는다.
[테스트 결과]
[예상 결과 1]과 같이, ‘적용(Enforced)’한 정책만 적용되고, 나머지 정책(ParentOU_GPO, Site_GPO)은 ‘상속 차단(Block Inheritance)’된다.
‘gpresult’ 명령어로 확인하면, 나머지 정책이 차단되었다는 것을 알 수 있다.
6. 결론
그룹정책의 ‘상속차단’과 ‘적용’의 중요성 재확인
이 포스팅을 통해 우리는 그룹정책의 두 가지 핵심 기능인 ‘상속차단(Block Inheritance)’과 ‘적용(Enforced)’에 대해 깊이 있게 탐구했습니다. ‘상속차단’은 특정 조직 단위에서 상위 수준의 정책 적용을 방지하는 반면, ‘적용’은 중요한 정책을 모든 하위 수준에 우선적으로 적용합니다. 이러한 기능들은 조직의 IT 인프라 관리에 있어 중요한 역할을 하며, 특히 복잡한 네트워크 환경에서 그 중요성이 강조됩니다.
전략적인 정책 적용 및 관리
우리가 진행한 테스트를 통해, ‘적용’과 ‘상속차단’ 기능이 실제 환경에서 어떻게 작동하는지를 확인할 수 있었습니다. 이를 통해, IT 관리자들은 조직의 특정 요구사항에 맞게 그룹정책을 더 효과적으로 설정하고 관리할 수 있습니다. 중요한 것은 이러한 기능들을 신중하게 사용하여, 예상치 못한 문제를 방지하고 조직의 IT 환경을 안정적으로 유지하는 것입니다.
포스팅의 실용성 및 가치
‘상속차단’과 ‘적용’은 그룹정책 관리의 필수적인 부분이며, 이들을 올바르게 이해하고 적용하는 것은 IT 전문가들에게 매우 중요합니다. 이 포스팅은 이러한 기능들의 이해를 돕고, 그룹정책을 보다 효과적으로 관리하는 데 도움을 줄 것으로 기대합니다.
!@#끝!@#
(출처 및 참고자료)
- Group Policy 그룹정책(GPO)은 무엇이며, 왜 사용하는가? – https://wednesday1304.com/what-is-group-policy-why-use-group-policy/
- 그룹정책 | 종류와 우선 순위를 알아보자 (LSDOU) – https://wednesday1304.com/group-policy-priority-types-lsdou/
- 그룹정책 | Local, Active Directory 그룹정책 비교 – https://wednesday1304.com/local-vs-active-directory-group-policy/
- Microsoft | Group Policy Overview – https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/hh831791(v=ws.11)
- Microsoft | Group Policy troubleshooting documentation for Windows clients – https://learn.microsoft.com/en-us/troubleshoot/windows-client/group-policy/group-policy-overview
- Microsoft | Group Policy troubleshooting documentation for Windows Server – https://learn.microsoft.com/en-us/troubleshoot/windows-server/group-policy/group-policy-overview
- Microsoft | gpupdate – https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/gpupdate
- Microsoft | gpresult – https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/gpresult
- Microsoft | Windows 10 configuration recommendations for education customers – https://learn.microsoft.com/en-us/education/windows/configure-windows-for-education