그룹 정책으로 소프트웨어를 배포(게시)하는 것에 대한 설명은 제 블로그에서 이미 소개한 적 있습니다.
http://mpain.tistory.com/61

위 글에서는 .exe 파일은 배포할 수 없다고 했었는데요. .exe 파일도 배포할 수 있는 방법이 있어 소개하고자 합니다.

방법은 아래와 같습니다.

.exe 파일을 배포할 때, 그에 대응하는 .zap 파일을 만들어서 배포하는 것입니다.
.zap(Zero Administration Package) 파일은 사용자에게 응용 프로그램을 게시할 수 있게 해주는 텍스트 파일이며, Active Directory 환경에서 그룹정책을 통해 설치됩니다.

실제 예제를 보시면 쉽게 이해하실 수 있을겁니다. 예제에서는 picpick 이라는 화면 캡처 툴을 배포합니다. 참고로, picpick은 프리웨어이며, 기업에서도 무료로 사용하실 수 있습니다.

 

1. 배포 지점 만들기
그룹 정책을 통한 소프트웨어 배포는 공유 폴더를 사용합니다. 공유 폴더를 생성하고 파일을 배포할 사용자 혹은 그룹에게 읽기 권한을 부여합니다. 예제에서는 everyone 그룹에 읽기 권한을 부여했습니다.

 

2. 배포할 파일을 공유 폴더에 붙여넣습니다.

 

3. 메모장에 아래의 포멧으로 입력하고, 파일명을 배포할 파일명과 동일하게 입력하고 확장자를 .zap로 저장합니다.

[application]
FriendlyName = "배포할 파일명"
SetupCommand = "배포할 파일의 UNC 경로"
DisplayVersion = 배포 파일 버전
[ext]

 

4. 그룹 정책을 생성하거나 기존 정책을 편집해서 사용자 구성 - 정책 - 소프트웨어 설정 - 소프트웨어 설치를 오른쪽 버튼 클릭하여 새로 만들기 - 패키지를 선택합니다. 

 

5. 열기 창에서 드롭 다운 리스트에서 ZAW 하위 수준 응용 프로그램을 선택하고, 배포할 .zap 파일을 선택한 후 열기 버튼을 클릭합니다.

 

6. 배포 방법에서 게시를 선택하고 확인 버튼을 클릭합니다. (.zap 파일은 게시로만 즉, 사용자에게만 배포할 수 있습니다.)

 

7. 설정된 결과가 아래와 같이 표시됩니다.

 

8. 만들어진 정책을 사용자 OU에 적용합니다.

 

9. 클라이언트 컴퓨터에 로그온 후 제어판 - 프로그램 - 프로그램 및 기능으로 들어가서 네트워크에서 프로그램 설치를 클릭하면, 그룹 정책으로 배포한 프로그램이 표시됩니다.

 

프로그램을 선택하고 설치 버튼을 클릭하면 아래와 같이 프로그램을 설치할 수 있습니다.

 

*참고 사항

혹시라도 제어판 - 네트워크에서 프로그램 설치에 배포한 프로그램이 표시되지 않는다면, 그룹 정책에서 게시한 프로그램을 오른쪽 버튼 클릭해서 속성으로 들어간 후,

 

배포 탭 - 고급 버튼을 클릭

 

Win64 컴퓨터에 이 32비트 X86 응용 프로그램을 사용에 체크 후 다시 클라이언트 컴퓨터에서 확인해 보십시오.

-끝-

 

Active Directory에서 그룹 정책을 그룹(group)에 적용하는 방법은 아래와 같습니다.

*참고 - Active Directory에서 그룹은 보안(Security) 그룹과 배포(Distribution) 그룹으로 나뉠수 있는데, 그룹 정책은 보안 그룹에만 적용할 수 있습니다.

 

1. 그룹 정책 관리 콘솔(gpmc.msc)에서 그룹 정책을 생성하거나 기존 그룹 정책을 선택하고, 범위 탭의 보안 필터링 영역에서 추가 버튼을 클릭해서 원하는 그룹을 선택합니다.

 

2. 위임 탭에서 고급 버튼을 클릭합니다.

3. Authenticated Users 그룹을 선택하고, 사용 권한 영역에서 그룹 정책 적용에 체크를 해제합니다.

 

4. 적절한 OU에 적용합니다.
이때, OU에는 그룹만 들어 있어서는 안되고 사용자 계정이 함께 들어 있어야만 합니다. 만약 사용자 계정과 그룹이 서로 다른 OU에 존재한다면, 두 OU의 상위 OU에 정책을 적용하십시오.

 

 

by megapain

essay333@naver.com

2015.05.12

 

 

그룹 정책을 사용하여 클라이언트 컴퓨터의 공유 폴더를 해제하고, 접근을 차단하는 방법을 소개합니다.


참고 1 - 공유 폴더 생성을 막지는 못합니다. 생성하더라도 곧 해제되거나 접근을 차단할 수는 있습니다.
참고 2 - 컴퓨터 정책이므로 컴퓨터가 속한 OU에 적용하셔야 합니다.

참고 3 - 테스트 환경에서 충분한 테스트를 거친 후 실제 환경에 적용하셔야 합니다.

 


1. 그룹 정책 개체를 새로 만들고 편집합니다.


 

2. 컴퓨터 구성 – 기본 설정 – 네트워크 공유 – 새로 만들기 – 네트워크 공유 선택


 

3. 작업 – 삭제 선택
작업 한정자에서 적절히 체크 후 확인
(굳이 설명 드리지 않아도 무슨 뜻인지 아실 듯 하여 각 항목에 대한 설명은 생략합니다.)


 

4. 컴퓨터 구성 – 정책 – 관리 템플릿 – 네트워크 – 네트워크 연결 – 도메인 프로필 – Windows 방화벽 : 인바운드 파일 및 프린터 공유 예외 허용사용 안 함으로 설정

 

 

5. 컴퓨터 구성 – 정책 – 관리 템플릿 – 네트워크 – 네트워크 연결 – 표준 프로필 – Windows 방화벽 : 인바운드 파일 및 프린터 공유 예외 허용사용 안 함으로 설정

 

위 정책을 클라이언트 컴퓨터가 속한 OU에 적용하시면 됩니다.


참고로, 위 절차에서 3단계까지만 적용하면, 클라이언트 컴퓨터의 공유 폴더들이 해제됩니다. 하지만 사용자가 다시 공유 폴더를 생성하면 다음 정책이 적용될 때까지(약 60분) 다른 사용자들이 공유 폴더에 접속할 수 있습니다.
4~5단계를 적용하면 파일 공유에 관련된 포트를 차단함으로써, 사용자가 새로운 공유를 생성하더라도 다른 사용자들이 접속할 수 없습니다.

 

위 정책은 테스트 환경에서 충분한 테스트를 거친 후 실제 환경에 적용하셔야 합니다.


특히 관리 드라이브 공유까지 제거하는 경우에는 더 신경 쓰셔야 합니다. 만약 관리 드라이브 공유를 사용하는 솔루션을 사용 중이라면 문제가 발생할 수도 있습니다.


-끝-

by megapain

essay333@naver.com

2015.05.01

 

 

특정 사용자 혹은 컴퓨터에 대해서만 그룹 정책을 예외 처리하는 방법을 소개합니다.


1. Active Directory 사용자 및 컴퓨터 관리 콘솔에서 그룹을 만들고(Ex. G_gpo_FilteredGroup), 그룹 정책을 적용받지 않을 사용자 혹은 컴퓨터 들을 그 그룹의 멤버로 추가합니다.

 

 

 

2. 그룹 정책 관리 콘솔(gpmc.msc)에서 화면 보호기 정책을 선택하고 위임 탭 - 고급 버튼을 클릭합니다.


 

3. 추가 버튼을 클릭해서 1단계에서 생성한 그룹(g_GPO_FilteredGroup)을 추가한 후, 읽기그룹 정책 적용에 대해서 거부에 체크합니다.

 

 

 

 

 


4. 컴퓨터에서 로그오프 후 로그온해서 그룹 정책이 적용되는지 확인해봅니다. (cmd - gpresult /r 명령을 실행해서 결과를 확인해보면, 필터링된 그룹 정책을 확인할 수 있습니다.)


- 끝 -



by megapain

essay333@naver.com

2015.03.20

 

 

그룹 정책으로 Print Screen 키 사용을 차단하는 방법을 설명합니다.
Print Screen 키 사용만 차단되고 다른 화면 캡처 도구를 사용한 화면 캡처는 차단되지 않습니다.


1.Active Directory 그룹 정책 관리 콘솔에서 적절한 이름의 그룹 정책을 만듭니다.
(예제에서는 C-Block PrintScreen 라는 이름의 정책 생성)

 


 
2.생성된 정책을 오른쪽 버튼 클릭하고 편집을 선택합니다.

 


3.컴퓨터 구성 – 기본 설정 – Windows 설정 – 레지스트리를 오른쪽 버튼 클릭하고 새로 만들기 – 레지스트리 항목을 선택합니다.

 


4.동작 – 업데이트
하 이브 – HKEY_LOCAL_MACHINE
키 경로 - SYSTEM\CurrentControlSet\Control\Keyboard Layout
값 이름 : Scancode Map
값 형식 : REG_BINARY
값 데이터 : 0000000000000000040000002AE037E0000037E00000540000000000

 

 

 

 

5.만들어진 정책을 컴퓨터가 속한 OU에 적용합니다.


 
- 끝 -

 

 

그룹 정책으로 방화벽에서 ICMP 포트를 열고 싶다면,
컴퓨터 구성 - Windows 설정 - 보안 설정 - 고급 보안이 포함된 Windows 방화벽 - 고급 보안이 포함된 Windows 방화벽 - 인바운드 규칙에서 새 규칙 만들기로 ICMP 포트를 열어주면 됩니다.
아래 URL을 참고하십시오.
http://www.hammer-software.com/icmpgphowto.shtml

 

위 링크에서는 사용자 지정(Custom)으로 만들고있지만, 미리 정의됨 - 파일 및 프린터 공유를 선택하고 파일 및 프린터 공유(에코 요청- ICMPv4-In)에만 체크하고 연결 허용해도 동일한 결과를 얻을 수 있습니다.

 

 

 

 

 

참고로, 개인 컴퓨터에서 방화벽 ICMP 포트 오픈은
고급 보안이 포함된 Windows 방화벽(WF.msc)에서 인바운드 규칙 - 파일 및 프린터 공유(에코 요청 - ICMPv4-In)사용함으로 변경하시면 됩니다.

 

 

-끝-

 

 

 

 

(그룹 정책) 이동식 디스크(USB) 차단 정책

 

 

by megapain

essay333@naver.com

2015-01-30

 

개요

Active Directory 그룹 정책을 활용하면 USB, CD 등의 이동식 미디어의 읽기 및 쓰기를 제한할 수 있습니다. 이 정책은 사용자 구성과 컴퓨터 구성 모두 존재합니다.

 

1. 그룹 정책 생성

  1. 적절한 이름으로 정책을 만듭니다.
    (예제에서는 U-Drive Mapping (R) 이라는 이름의 정책 생성)
     

     

  2. 생성된 정책을 오른쪽 버튼 클릭하고 편집을 선택합니다.
     

     

  3. 컴퓨터에 적용할 정책으로 구성할 경우,
    컴퓨터 구성 – 정책 – 관리 템플릿 – 시스템 – 이동식 저장소 액세스
    선택


    사용자에 적용할 정책으로 구성할 경우,
    사용자 구성 – 정책 – 관리 템플릿 – 시스템 – 이동식 저장소 액세스 선택
     

     

  4. 이동식 디스크 : 실행 권한 거부 - 사용
    이동식 디스크 : 읽기 권한 거부 – 사용
    이동식 디스크 : 쓰기 권한 거부 - 사용


2. 정책 적용

만들어진 정책을 사용자 혹은 컴퓨터가 속한 OU에 적용합니다.

 

3. 클라이언트 컴퓨터에서 확인

정책이 올바로 적용됐는지 확인해봅니다.

  • 정책 적용 후

     

 

 

끝 -

 

 

 

by megapain

2015-01-12

essay333@naver.com

 

 

 

개요
Active Directory 환경에서는 그룹 정책을 사용하여 소프트웨어를 사용자에게 배포할 수 있습니다.
주의하셔야 할 것은, 모든 소프트웨어를 배포할 수 있는게 아니라 .msi 확장자를 가진 파일만 배포할 수 있습니다. 즉 .exe 파일은 배포할 수 없습니다.

*수정합니다 - .exe 파일도 배포할 수 있습니다. 자세한 내용은 아래 블로그를 참고하시기 바랍니다.
http://mpain.tistory.com/155

 

 

소프트웨어 배포는 할당(Assigning)과 게시(Publishing)로 나뉩니다.

 

할당
할당은 사용자와 컴퓨터 개체에 적용할 수 있습니다.
사용자에게 할당한 소프트웨어는 시작 메뉴에 표시되며, 사용자가 클릭할 때 설치됩니다.
컴퓨터에게 할당한 소프트웨어는 컴퓨터가 시작될 때 설치됩니다.

 

게시
게시는 사용자 개체에만 적용할 수 있습니다.
프로그램 추가/제거 – 네트워크에서 프로그램 설치 메뉴에 표시되고, 사용자가 필요할 때 설치할 수 있습니다.

 

이 가이드에서는 소프트웨어 게시를 사용하여 7zip을 배포하는 방법에 대해서 설명합니다.

 

1. 배포 지점 만들기
공유 폴더 생성 후 배포할 파일을 저장합니다. 공유 권한은 파일을 배포할 사용자에게 읽기 권한을 부여합니다. (이 가이드에서는 기본, 즉 everyone에 읽기 권한을 부여합니다.)


 

2. 그룹 정책 생성

1. Active Directory 그룹 정책 관리 콘솔에서 적절한 이름의 그룹 정책을 만듭니다.
(예제에서는 U-Software Deployment (Publishing)이라는 이름의 정책 생성)


 

2. 그룹 정책 편집 – 사용자 구성 – 소프트웨어 설정 – 소프트웨어 설치 오른쪽 버튼 클릭 – 새로 만들기 – 패키지


 

3. UNC 경로를 사용하여 배포 지점의 파일 선택 (*주의 - .msi 만 배포할 수 있습니다.)
(\\FileServer\SoftwareDploymentFolder\7Zip\7z920-x64.msi)

 

 

4. 소프트웨어 배포 – 게시 선택 후 확인

 

 

5. 게시된 소프트웨어 확인

 

 

 

3. 정책 적용
만들어진 정책을 사용자가 속한 OU에 적용합니다. 사용자 정책으로 생성하였으므로 사용자가 속한 OU에 적용해야 합니다. 컴퓨터가 속한 OU에 걸면 아무 소용 없습니다.

 

 

 


 

4. 게시된 소프트웨어 확인


1. 제어판 - 프로그램 추가/제거 – 네트워크에서 프로그램 설치 메뉴를 선택합니다.

 


 

2, 게시된 소프트웨어가 보이는지 확인합니다.

 


 

- 끝 -

 

 

 

by megapain

2015-01-08

essay333@naver.com

 

개요

Active Directory 그룹 정책 – 사용자 정책 중 드라이브 맵을 사용하여 네트워크 드라이브를 연결하는 방법을 소개합니다.

사용자 정책이므로 사용자가 속한 OU에 적용하셔야 합니다.

시나리오에서는 R 드라이브를 연결하는 방법을 소개합니다.

파일 서버에 존재하는 공유 폴더를 네트워크 드라이브로 연결하는 방법을 소개하며, 공유 폴더 생성 및 권한 부여에 대한 설명은 생략합니다.

 

1. 그룹 정책 생성

  1. Active Directory 그룹 정책 관리 콘솔에서 적절한 이름의 그룹 정책을 만듭니다.
    (예제에서는 U-Drive Mapping (R) 이라는 이름의 정책 생성)
     

     

  2. 생성된 정책을 오른쪽 버튼 클릭하고 편집을 선택합니다.
     

     

  3. 사용자 구성 – 기본 설정 – Windows 설정 – 드라이브 맵 오른쪽 버튼 클릭 – 새로 만들기매핑된 드라이브 선택
     

     

  4. 일반
    동작에서 삭제 선택
    드라이브 문자 영역에서 다음부터 모두 삭제 선택 후 삭제할 네트워크 드라이브 레터 시작 알파벳 지정 후 확인
    (예를 들어, F 드라이브부터 Z 드라이브까지 지운다면 F 지정, R 드라이브부터 Z 드라이브 까지 지운다면 R을 지정)
     

     

  5. 드라이브 맵 오른쪽 버튼 클릭 – 새로 만들기매핑된 드라이브 선택
     

     

  6. 일반
    동작에서 바꾸기 선택
    위치 입력란에 네트워크 공유 경로 입력
    다시 연결 체크, 지정할 레이블에 적절한 이름 입력
    드라이브 문자 사용 선택 후 적절한 드라이브 레터 선택
    연결 계정(옵션)은 필요한 경우 입력 (Ex. WORKGROUP 혹은 타 도메인의 경우에 주로 사용)
     

     

  7. 생성된 정책 확인
     

     

2. 정책 적용

만들어진 정책을 사용자가 속한 OU에 적용합니다. 사용자 정책으로 생성하였으므로 사용자가 속한 OU에 적용해야 합니다. 컴퓨터가 속한 OU에 걸면 아무 소용 없습니다.

 

 

3. 클라이언트 컴퓨터에서 확인

윈도우 탐색기에서 네트워크 드라이브가 연결된 것을 확인할 수 있습니다..

  • 정책 적용 후
     

 

- 끝 -

 

개요

Active Directory 그룹 정책 – 컴퓨터 정책 중 무선 네트워크(IEEE 802.11) 정책을 사용하여 사용자 컴퓨터의 무선 네트워크 연결 사용을 차단하는 방법을 소개합니다..

컴퓨터 정책이므로 컴퓨터가 속한 OU에 적용해야 합니다.

   그룹 정책 생성

    1. Active Directory 그룹 정책 관리 콘솔에서 적절한 이름의 그룹 정책을 만듭니다.
      (예제에서는 C-Block Wireless Connection 이라는 이름의 정책 생성)
          

       

    2. 생성된 정책을 오른쪽 버튼 클릭하고 편집을 선택합니다.
       

       

    3. 컴퓨터 구성 – 정책 – Windows 설정 – 보안 설정 – 무선 네트워크(IEEE802.11) 정책 오른쪽 버튼 클릭 – Windows Vista 및 이후 릴리스용 새 무선 네트워크 정책 만들기 선택
       

       

    4. 일반 탭 – 정책 이름을 적절히 입력
       

       

    5. 네트워크 사용 권한 탭 – 추가 버튼 클릭
       

       

    6. 네트워크 이름(SSID) 입력란에 적절한 이름 입력
      네트워크 종류 : 인프라
      사용 권한 : 허용 선택 후 확인
       

       

    7. 애드혹 네트워크에 연결 안 함 체크
      인프라 네트워크에 연결 안 함 체크 후 확인
       

       

정책 적용

만들어진 정책을 컴퓨터가 속한 OU에 적용합니다. 컴퓨터 정책으로 생성하였으므로 컴퓨터가 속한 OU에 적용해야 합니다. 사용자가 속한 OU에 걸면 아무 소용 없습니다.

 

클라이언트 컴퓨터에서 확인

클라이언트 컴퓨터에서 무선 네트워크 연결을 확인해봅니다.

  • 정책 적용 전

     

  • 정책 적용 후

 

- 끝 -

+ Recent posts

티스토리 툴바