Group Policy를 이용해서 Vista의 UAC기능을 해제하는 방법
1. Vista 를 Windows 2003 Domain 에 Join 시킵니다.
2. W2K3 DC에서 Vista가 설치된 PC를 별도관리하기 위한 OU를 만듭니다. (예 OU명이 "Vista Computers" 인 경우)
2.1 시작- 실행 - dsa.msc실행하여 그림과 같이 OU를 생성한 후 Vista 가 설치된 PC를 모두 선택하여 "이동 - Vista Computers" OU 로 이동시킵니다.
< 그림1 >
2.2 GPMC.msi파일 (version 1.0)을 설치합니다.
(GPMC가 설치되어 있어도 Vista 관련 정책을 UI상으로 확인은 불가능합니다.)
3. Vista와 관련된 정책파일을 Vista(Source machine)에서 PDC Role을 갖는 DC(Target machine)에 복사합니다.
- Source 위치(Vista) : C:\Windows\PolicyDefinitions 폴더 전체
- Target 위치(W2K3 PDC role소유한 DC): C:\Windows\sysvol\domain\policies
- Source File (Vista에서 복사해야할 파일 및 폴더 전체)
참고! 아래의 <그림2>는 영문 Vista이며, 한글 Vista를 위해서 C:\Windows\PolicyDefinitions\ko-KR 폴더전체입니다.
< 그림2 > 한글 Viata에서 복사해야할 폴더 및 파일 (Source files)
< 그림 3 > 영문 Vista를 위해서 복사해야할 폴더 및 파일 (source files)
- 참고 : Vista이전에는 정책관련 파일이 *.ADM파일형태로 관리되었으나, Vista에서는 *.admx와 *.adml 로 변경합니다.
- *.admx파일은 C:\windows\sysvol\domain\policies 경로에 복사합니다 (Target path).
- *.adml파일은 언어별로 각각 다른 경로에 복사합니다.
영문일 경우. C:\windows\sysvol\domain\policies\en-US (Target path)
한글일 경우. C:\windows\sysvol\domain\ ko-KR (Target path)
4. Vista에서 GMPC.msc실행하여 Vista 관련 정책을 설정합니다.
4.1 Vista에서 Domain Amins권한을 갖는 계정으로 도메인 로그온합니다. (예: domadmin인 경우)
4.2 시작 - 실행 - gpmc.msc 를 실행한 후 UAC창에 domadmin과 암호 입력합니다.
4.3 “Vista computers” OU에서 GPO를 생성후, 오른쪽 클릭하여 편집을 선택합니다.
< 그림4 >
4.4 “사용자 계정 컨트롤(UAC)”관련 설정 변경합니다 (그림5. 참조).
“컴퓨터 구성 - Windows 설정 - 보안 설정 - 로컬 정책 - 보안 옵션” 세부 항목을 변경합니다.
< 그림5 >
4.5 설정 변경을 완료한 후 해당 GPO에 대한 적용 대상 지정(“Viats computers” OU)을 적용합니다.
< 그림6 >
4.6 Vista 컴퓨터들에 대해 Default Domain Policy을 우선적용 후 UAC GPO 적용 (동시 적용)을 진행합니다.
5. Windows 2003 PDC role 갖는 DC에서 정책이 정상적으로 설정되었는 지 확인합니다.
5.1 도스 명령창에서 "gpupdate /force" 명령을 실행합니다.
5.2 윈도우 탐색기를 실행하여 아래의 경로에 파일이 생성되어 있는 지 확인합니다.
C:\WINDOWS\SYSVOL\domain\Policies\{53B07630-BE40-4F7A-8044-A5E911A7DAD3}\Machine\Microsoft\Windows NT\SecEdit
5.3 GptTmpl.inf 파일을 메모장에서 오픈 후 어떤 설정이 적용되었는지의 여부를 확인합니다.
(세부 내용은 아래의 <그림7> 참조)
< 그림7 > UAC관련 설정이 실제 DC에 적용되었는 지 여부 확인
6. Vista PC에서 UAC관련 설정이 정상적으로 동작하고 있는 지 여부를 확인합니다.
6.1 Vista PC를 시스템 재 시작합니다.
6.2 Vista PC에서 도메인에 domadmin으로 로그인 후 시작 - 실행 - rsop.msc 를 실행합니다.
- 실제 로그온한 Vista 컴퓨터에 적용된 설정을 확인합니다.
< 그림8 > Default Domain Policy가 정상적으로 적용되는 지 여부 확인
< 그림9 > UAC 관련 GPO가 정상적으로 적용되는지 여부 확인
6.3 Vista PC에서 일반 도메인 사용자 계정(Authenticated User)으로 도메인 로그온 후 UAC가 정상적으로 해제되었는지 확인합니다.
6.3.1 시작 - 실행 - cmd 를 실행 합니다.
이 때, 도스명령창 title bar에 기본적으로 관리자권한으로 실행되고 있음을 알 수 있습니다.
< 그림10 >
6.3.2 시작 - 컴퓨터(오른쪽 클릭) - 속성을 클릭 후 고급 시스템 설정 을 클릭합니다.
이 때, UAC Prompt 화면이 나타나지 않음을 확인합니다.
< 그림11 >
6.3.3 네트워크 공유센터 - 네트워크 연결 관리 - 로컬 영역 연결 - 속성 을 실행합니다.
à UAC Prompt 화면이 나타나지 않음을 확인합니다.
참고 자료!
Deploying Group Policy Using Windows Vista (참고 자료)
http://technet2.microsoft.com/WindowsVista/en/library/5ae8da2a-878e-48db-a3c1-4be6ac7cf7631033.mspx?mfr=true
How to create a Central Store for Group Policy Administrative Templates in Window Vista
http://support.microsoft.com/kb/929841
