편집

다음을 통해 공유


Microsoft Entra Domain Services 관리되는 도메인에서 그룹 정책 관리

Microsoft Entra Domain Services의 사용자 및 컴퓨터 개체에 대한 설정은 GPO(그룹 정책 개체)를 사용하여 관리되는 경우가 많습니다. Domain Services에는 AADDC 사용자AADDC 컴퓨터 컨테이너에 대한 기본 제공 GPO가 포함되어 있습니다. 이러한 기본 제공 GPO를 사용자 지정하여 사용자 환경에 필요한 그룹 정책을 구성할 수 있습니다. AAD DC Administrators 그룹의 구성원은 Domain Services 도메인에서 그룹 정책 관리 권한을 가지며 사용자 지정 GPO 및 OU(조직 구성 단위)를 만들 수도 있습니다. 그룹 정책의 개념과 작동 방식에 대한 자세한 내용은 그룹 정책 개요참조하세요.

하이브리드 환경에서는 온-프레미스 AD DS 환경에 구성된 그룹 정책이 Domain Services와 동기화되지 않습니다. Domain Services에서 사용자 또는 컴퓨터에 대한 구성 설정을 정의하려면 기본 GPO 중 하나를 편집하거나 사용자 지정 GPO를 만듭니다.

이 문서에서는 그룹 정책 관리 도구를 설치한 다음 기본 제공 GPO를 편집하고 사용자 지정 GPO를 만드는 방법을 보여줍니다. GPO를 변경한 후 백업하는 것이 좋습니다. GPO를 백업하고 복원하는 방법에 대한 자세한 내용은 백업, 복원, 마이그레이션 및 복사 그룹 정책 개체참조하세요.

Azure의 머신 및 하이브리드 연결포함한 서버 관리 전략에 관심이 있는 경우 Azure Policy게스트 구성 기능에 대해 알아봅니다.

필수 조건

이 문서를 완료하려면 다음 리소스 및 권한이 필요합니다.

  • 활성 Azure 구독입니다.
    • Azure 구독이 없는 경우 계정 만들있습니다.
  • 온-프레미스 디렉터리 또는 클라우드 전용 디렉터리와 동기화된 구독과 연결된 Microsoft Entra 테넌트입니다.
  • Microsoft Entra 테넌트에서 사용하도록 설정되고 구성된 Microsoft Entra Domain Services 관리되는 도메인입니다.
    • 필요한 경우 자습서를 완료하여 Microsoft Entra Domain Services 관리되는 도메인 만들고 구성할있습니다.
  • Domain Services 관리되는 도메인에 가입된 Windows Server 관리 VM입니다.
    • 필요한 경우 자습서를 완료하여 Windows Server VM을 만들고 관리되는 도메인 조인하는.
  • Microsoft Entra 테넌트의 AAD DC 관리자 그룹의 구성원인 사용자 계정입니다.

메모

새 템플릿을 관리 워크스테이션에 복사하여 그룹 정책 관리 템플릿을 사용할 수 있습니다. .admx 파일을 %SYSTEMROOT%\PolicyDefinitions 복사하고 로캘별 .adml 파일을 %SYSTEMROOT%\PolicyDefinitions\[Language-CountryRegion]복사합니다. 여기서 Language-CountryRegion.adml 파일의 언어 및 지역과 일치합니다.

예를 들어 영어, 미국 버전의 .adml 파일을 \en-us 폴더에 복사합니다.

그룹 정책 관리 도구 설치

GPO(그룹 정책 개체)를 만들고 구성하려면 그룹 정책 관리 도구를 설치해야 합니다. 이러한 도구는 Windows Server에서 기능으로 설치할 수 있습니다. Windows 클라이언트에 관리 도구를 설치하는 방법에 대한 자세한 내용은 RSAT(원격 서버 관리 도구)설치를 참조하세요.

  1. 관리 VM에 로그인합니다. Microsoft Entra 관리 센터를 사용하여 연결하는 방법에 대한 단계는 Windows Server VM 연결을 참조하세요.

  2. 서버 관리자 VM에 로그인할 때 기본적으로 열립니다. 그렇지 않은 경우 시작 메뉴에서 서버 관리자선택합니다.

  3. 서버 관리자 창의 대시보드 창에서 역할 및 기능 추가 선택합니다.

  4. 역할 및 기능 추가 마법사시작하기 전에 페이지에서 다음 선택합니다.

  5. 설치 유형역할 기반 또는 기능 기반 설치 옵션을 선택한 상태로 두고 다음 선택합니다.

  6. 서버 선택 페이지에서 서버 풀에서 현재 VM(예: myvm.aaddscontoso.com)을 선택한 다음, 다음선택합니다.

  7. 서버 역할 페이지에서 다음클릭합니다.

  8. 기능 페이지에서 그룹 정책 관리 기능을 선택합니다.

    기능 페이지 '그룹 정책 관리'를 설치합니다.

  9. 확인 페이지에서 설치선택합니다. 그룹 정책 관리 도구를 설치하는 데 1~2분 정도 걸릴 수 있습니다.

  10. 기능 설치가 완료되면 닫기를 선택하여 역할 및 기능 추가 마법사를 종료합니다.

그룹 정책 관리 콘솔을 열고 개체 편집

관리되는 도메인의 사용자 및 컴퓨터에 대한 기본 GPO(그룹 정책 개체)가 있습니다. 이전 섹션에서 설치한 그룹 정책 관리 기능을 사용하여 기존 GPO를 보고 편집해 보겠습니다. 다음 섹션에서는 사용자 지정 GPO를 만듭니다.

메모

관리되는 도메인에서 그룹 정책을 관리하려면 AAD DC Administrators 그룹의 구성원인 사용자 계정에 로그인해야 합니다.

  1. 시작 화면에서 관리 도구선택합니다. 이전 섹션에 설치된 그룹 정책 관리 포함하여 사용 가능한 관리 도구 목록이 표시됩니다.

  2. GPMC(그룹 정책 관리 콘솔)를 열려면 그룹 정책 관리 선택합니다.

    그룹 정책 관리 콘솔이 열리고 그룹 정책 개체를 편집할 준비가

관리되는 도메인에는 두 개의 기본 제공 GPO(그룹 정책 개체)가 있습니다. 하나는 AADDC 컴퓨터 컨테이너용이고 다른 하나는 AADDC 사용자 컨테이너용입니다. 관리되는 도메인 내에서 필요에 따라 그룹 정책을 구성하도록 이러한 GPO를 사용자 지정할 수 있습니다.

  1. 그룹 정책 관리 콘솔에서 포리스트: aaddscontoso.com 노드를 확장합니다. 다음으로 도메인 노드를 확장합니다.

    AADDC 컴퓨터 및 AADDC 사용자 두 개의 기본 제공 컨테이너가 있습니다. 이러한 각 컨테이너에는 기본 GPO가 적용됩니다.

    기본 'AADDC 컴퓨터' 및 'AADDC 사용자' 컨테이너

  2. 이러한 기본 제공 GPO는 관리되는 도메인에서 특정 그룹 정책을 구성하도록 사용자 지정할 수 있습니다. AADDC 컴퓨터 GPO 같은 GPO 중 하나를 마우스 오른쪽 선택한 다음 편집....

    기본 제공 GPO 중 하나를 '편집' 하는 옵션을 선택합니다.

  3. 그룹 정책 관리 편집기 도구가 열리면 계정 정책같은 GPO를 사용자 지정할 수 있습니다.

    그룹 정책 관리 편집기의 스크린샷

    완료되면 파일 > 저장을 선택하여 정책을 저장합니다. 컴퓨터는 기본적으로 90분마다 그룹 정책을 새로 고치고 변경 내용을 적용합니다.

사용자 지정 그룹 정책 개체 만들기

비슷한 정책 설정을 그룹화하려면 필요한 모든 설정을 단일 기본 GPO에 적용하는 대신 추가 GPO를 만드는 경우가 많습니다. Domain Services를 사용하면 사용자 고유의 사용자 지정 그룹 정책 개체를 만들거나 가져와서 사용자 지정 OU에 연결할 수 있습니다. 먼저 사용자 지정 OU를 만들어야 하는 경우 관리되는 도메인 사용자 지정 OU 만들기참조하세요.

  1. 그룹 정책 관리 콘솔에서 MyCustomOU같은 사용자 지정 OU(조직 구성 단위)를 선택합니다. OU를 마우스 오른쪽 단추로 선택하고 이 도메인에서 GPO를 만들고 여기에 연결합니다..

    그룹 정책 관리 콘솔 사용자 지정 GPO 만들기

  2. 사용자 지정 GPO 같은 새 GPO의 이름을 지정한 다음 확인 선택합니다. 필요에 따라 이 사용자 지정 GPO는 기존 GPO 및 정책 옵션 집합을 기반으로 할 수 있습니다.

    새 사용자 지정 GPO 이름을 지정합니다.

  3. 사용자 지정 GPO가 만들어지고 사용자 지정 OU에 연결됩니다. 이제 정책 설정을 구성하려면 사용자 지정 GPO를 마우스 오른쪽 선택하고 편집...:

    사용자 지정 GPO '편집' 옵션을 선택합니다.

  4. GPO를 사용자 지정할 수 있도록 그룹 정책 관리 편집기 열립니다.

    GPO를 사용자 지정하여 필요에 따라 설정을 구성하는

    완료되면 파일 > 저장을 선택하여 정책을 저장합니다. 컴퓨터는 기본적으로 90분마다 그룹 정책을 새로 고치고 변경 내용을 적용합니다.