Active Directory
Last updated
Was this helpful?
Last updated
Was this helpful?
GPO는 도메인 내 사용자와 컴퓨터의 동작 환경을 제어하는 정책 설정 모음입니다. 도메인 관리자는 GPO를 통해 비밀번호 정책, 계정 잠금, 소프트웨어 설치/제한과 같은 규칙을 정의하여 객체들에게 적용시킬 수 있습니다. GPO는 사이트, 도메인, OU 등 하나 이상의 AD 객체에 연결되어야 규칙이 발효됩니다. GPO와 연결된 객체들의 하위 객체는 자연스럽게 상위 객체의 GPO를 상속받습니다. 예를 들어 회사의 정책을 정해 본사에 적용시켰을 때, 본사의 하위 역할을 하는 모든 지사는 기본적으로 본사가 귀속받는 회사 정책을 따릅니다.
대부분의 실습 환경(HackTheBox, VulnLab 등)에서는 AD 환경 자체가 간결하게 구성되어 있기 때문에 경험하기 힘들지만, 실무 환경에서는 조직의 규모가 커질 수록 AD 관리에 대해 어려움이 있어 GPO가 중복되기도 하고 여러 객체에 대해 뒤섞이기도 합니다. 예를 들어 Kerberos 인증 대신 NTLM 인증을 사용하는 것을 제한하기 위해 도메인 전체에 대해 NTLM 인증을 제한했지만, OU와 연결된 GPO에서는 NTLM 인증 제한이 없다면 도메인 객체들은 NTLM 인증을 사용할 수 있습니다.
하위 객체들에 대해서 여러 GPO가 연결되었을 때 적용되는 순서는 다음과 같습니다.
① Local
컴퓨터 자체에 설정된 개별 정책
도메인에 가입되지 않아도 모든 컴퓨터에 존재하는 기본적인 정책
② 사이트
물리적 위치나 네트워크 단위로 적용된 정책
특정 지점이나 지역의 모든 계정에게 동일하게 적용되며 로컬 정책을 덮어씀
③ 도메인
도메인 전체에 설정된 정책
도메인 내 모든 계정에 대해 공통적으로 적용되며 사이트 정책을 덮어씀
④ OU
특정 부서나 그룹별로 적용된 정책
조직 내 부서나 팀 단위로 구분하여 설정된 정책이며 도메인 정책을 덮어씀
표에서 확인할 수 있듯이 적용 단위가 중복된 객체들에게 최종적으로 적용되는 GPO는 후순위에 있는 적용 단위 GPO입니다. 또한 같은 적용 단위 내에서도 이러한 현상이 일어날 수 있는데, 예를 들어 상위 도메인에 적용된 GPO는 OU에 적용된 GPO에 의해서 덮어써지지만, 상위 OU에 적용된 GPO는 하위 OU에 적용된 GPO에 의해 덮어써집니다. 그러나 이렇게 덮어써지는 것을 원치 않을 경우 아래와 같은 방법 등을 통해서 기본적인 적용 순서 및 규칙을 벗어날 수 있습니다.
링크 순서 변경
같은 적용 범위 내 GPO에 대해서 링크 순서를 지정하여 우선권을 부여
상속 차단
상위 OU의 GPO는 하위 OU에게 상속되지만 이를 차단합니다.
GPO 링크 강제 적용
상위 OU의 GPO는 하위 OU의 GPO에 의해 덮어써지지만 GPO 링크를 강제하여 이 동작을 무효화 합니다.
GPO 링크 비활성화
특정 GPO 링크를 비활성화하여 해당 GPO 적용을 차단합니다.
본사와 지사의 물리적 거리가 클 경우 본사 도메인에서 자식 도메인을 생성하여 관리하는 경우도 있지만, 일반적으로 조직, 부서 등을 분리하여 관리할 때는 OU를 사용합니다. OU의 기능은 조직/부서 등을 관리하기 위한 개념으로 Active Directory에서 기본적으로 제공하는 컨테이너와는 다르게 GPO와 연결이 가능하다는 점에서 조직 관리에 용이합니다. 도메인 그룹과의 차이점으로는 OU마다 관리자를 지정할 수 있으며, 각각의 OU 관리자는 다른 OU 및 객체에 대해서는 관리 권한이 없습니다.
위 그림과 같이 도메인 하위에 전체 직원인 Employees가 있고, 해당 OU의 하위에는 HR, Engineering, Development OU가 있다고 가정했을 때, 각각의 OU에는 해당 OU 객체들을 관리할 수 있는 관리자를 임명할 수 있습니다.
