MicroSoft

마이크로소프트 제품에 관련된 기술 정보 페이지 입니다.

[Active Directory] 그룹 정책을 이용하여 특정 컴퓨터의 계정 정책/암호 정책 변경작성자 이완주2018-11-29조회수 184

도메인에 참여 된 모든 컴퓨터는 AD 정책에 의해 일괄적으로 계정 정책이 설정되며 로컬에서는 해당 정책을 변경할 수 없게 됩니다.

이 경우 로컬 컴퓨터의 계정을 만들 경우에도 동일한 정책을 배포하여 보안 일괄성을 부여하게 됩니다.

로컬 그룹 정책 편집기로 확인하면 아래와 같이 도메인 정책이 부여 받고 설정을 변경 할 수 없음을 확인 할 수 있습니다.

이 경우 특정 컴퓨터에만 해당 정책을 다르게 부여하고 싶다면 아래와 같은 절차로 진행하시면 됩니다.

단 계정 정책은 도메인 정책임으로 반드시 도메인 단위에서만 정책이 부여 가능합니다.

  1. 새로운 정책을 도메인

    정책 편집하여 아래와 같이 정책 수정

  2. 새롭게 만든 정책의 범위 / 보안 필터링에서 기존의 권한을 제거하고 대상 컴퓨터만

  3. 도메인의 링크 순서를 변경한다.

    그룹정책 배포 순서는 같은 위치에서는 아래의 정책이 먼저 적용되고 위의 정책이 적용되는 순서로 진행됩니다.

    즉 동일한 정책이 있다면 아래 정책을 적용하고 위의 정책을 적용하게 됩니다.

    아래의 경우는 WSUS à 파일 탐색기 à Default Domain Policy à 계정정책 순으로 받게 됩니다.

    즐겨찾기 정책을 (연결 사용)을 하지 않은 상태여서 배포하지 않습니다.

    이 경우 동일 설정이 Default Domain Policy와 계정정책에 설정이 되어 있어 정책 충돌이 발생되며 이 경우 최종적으로 계정정책의 정책이 부여 받게 됩니다.

     

해당 컴퓨터에서 로컬 그룹 정책 편집기 (gpedit.msc)로 확인하면 Default Domain Policy가 아닌 계정정책이 배포된 것을 확인 할 수 있습니다.