Microsoft/Active Directory

그룹 정책 개체(GPO)의 구조

megapain 2017. 2. 17. 11:31

 

그룹 정책 개체(GPO)의 구조

그룹 정책 개체는 그룹 정책 컨테이너(GPC)와 그룹 정책 템플릿(GPT)으로 구성되어 있습니다.

 

GPC

GPC는 Active Directory에 저장되어 있고(ADUC - System - Policies) 그룹 정책의 사용자와 컴퓨터 노드와 관련된 특정 정보(그룹 정책 이름, GPT 위치, 그룹 정책을 처리하기 위한 CSE 목록 등)를 담고 있습니다.

 

GPT

GPT는 SYSVOL 공유 폴더 하위에 저장되어 있으며 실제로 적용될 정책 내용을 담고 있습니다. SYSVOL 폴더의 실제 경로는 %windir%\SYSVOL\sysvol 이며, 하위 폴더에 도메인명\Policies 폴더에 GUID의 형태로저장되어 있습니다.

각 GUID 폴더는 하나의 정책과 연결되며, Machine, User 폴더와 GPT.INI 파일을 포함하고 있습니다.
Machine 폴더는 그룹 정책의 컴퓨터 관련 설정을 담고 있으며, User 폴더는 그룹 정책의 사용자 관련 설정을 담고 있고, GPT.INI 파일은 그룹 정책의 구성 설정을 담고 있습니다.

GPT.INI 파일은 Version 과  displayName 을 담고 있습니다.
Version은 GPO가 변경될 때 마다 업데이트 됩니다.
displayName은 관리자가 생성한 모든 GPO에는 "새 그룹 정책 개체" 라는 이름이 들어가 있습니다. (GPMC에서 표시되는 이름과 다릅니다.)

User 폴더 혹은 Machine 폴더에 실제 그룹 정책 설정이 담겨 있습니다. 설정한 정책에 따라 폴더의 내용에는 차이가 있을 수 있습니다.

참고로, 클라이언트 컴퓨터에는 Client-Side Extensions(CSE)라는 구성 요소가 존재하고 있으며, 할당된 그룹 정책을 적용하는데 사용됩니다.

 

그룹 정책의 구조와 작동 방식을 잘 설명한 블로그가 있습니다.

Group Policy Basics – Part 1: Understanding the Structure of a Group Policy Object - https://blogs.technet.microsoft.com/musings_of_a_technical_tam/2012/02/13/group-policy-basics-part-1-understanding-the-structure-of-a-group-policy-object/

Group Policy Basics – Part 2: Understanding Which GPOs to Apply - https://blogs.technet.microsoft.com/musings_of_a_technical_tam/2012/02/15/group-policy-basics-part-2-understanding-which-gpos-to-apply/

AD DS: Group Policy Basics – Part 2: Understanding Which GPOs to Apply - https://blogs.technet.microsoft.com/scotts-it-blog/2015/02/28/ad-ds-group-policy-basics-part-2-understanding-which-gpos-to-apply/

Group Policy Basics – Part 3: How Clients Process GPOs - https://blogs.technet.microsoft.com/musings_of_a_technical_tam/2012/02/22/group-policy-basics-part-3-how-clients-process-gpos/