Windows/Active Directory

[Active Directory] AD GPO 설정(4) - 소프트웨어 설치 및 특정 프로그램 실행 차단

Richard.Ryu 2022. 5. 3. 13:52
반응형

 

클라이언트 측에서 AD에 JOIN시,

 

현재 회사에서 사용 중인 기본적인 프로그램(msi, exe 확장자 가능)들을 지정하여

 

AD에 공유한 설치 파일을 통해

클라이언트에서 설치 파일을 실행, 설치할 수 있으며, 특정 프로그램을 지정하여 실행을 차단하도록할 수 있습니다.

 

msi의 경우 GPO에서 바로 등록이 가능하나, EXE 확장자의 경우, ZAP(Zero Administrator Pakage)으로 만들어 배포

 

먼저 전과 같이, GPO 창에서 시작합니다.

 

1. 소프트웨어 설치

ex)반디집으로 test를 진행합니다.(개인 및 기업 무료사용)

해당 파일을 각 클라이언트에 배포하기 위해, 배포 지점(공유 폴더)을 만듭니다.

 

폴더 하나를 생성하고, 아래와 같이 지정합니다.

적용 후, Download 해둔, 반디집 설치 파일(exe)를 넣어줍니다.

Share 폴더 안에서 New -> Notepad 선택 후, 아래 포맷을 입력합니다.

[application]
FriendlyName = "파일 이름(BANDIZIP-SETUP-STD-ALL.EXE)"
SetupCommand = "UNC 경로(\\Server Name\Share\BANDIZIP-SETUP-STD-ALL.EXE"
DisplayVersion = 7.25
[ext]

생성 완료 후, 만든 Text 파일은 ZAP 확장자로 변경 후, GPO에서 작업합니다.

해당 정책을 생성 한 후, Edit으로 정책을 설정합니다.

위와 같이 Package를 누르면, 아래와 같이 Open 창이 열리면서, 지정을 할 수 있습니다.

지정한 배포 폴더로 이동하여, File Name 옆의 Undo하여 ZAW로 변경한 후, ZAP 파일을 Open해줍니다.

게시를 선택하고, OK 선택하면, 아래와 같이 나옵니다.

만들어진 정책을 사용자 OU에 적용합니다.

마지막으로 AD에 Join 중인, 클라이언트 PC에서 Control Panel -> Program ->

왼쪽에 위치한, Install a program from the network 를 선택

아래와 같이 지정했던 반디집 설치 파일이 나오면 정상적으로 완료된 것입니다.

 

 

 

 

* 막상 위처럼 지정은 다 했는데, 화면 상에 안나와서 혼자 헤맸는데 약간의 변경 작업이 필요합니다.

 

GPO 상에서 만들어둔 정책에서 아래와 같이 Properties 로 이동

 

위와 같이 64bit Machines에서 32bit 응용프로그램 사용을 체크합니다.

 

클라이언트 PC에서 다시 확인.

 

 

 

 

 

 

2. 특정 프로그램 제한

1과 같이 GPO에서 신규 정책 또는 기존 정책에 추가합니다.

오른 쪽에 생긴 Object Type 중 Additional Rules 오른쪽 클릭

위치는 바꿀 수가 있으므로 의심가는 모든 경로(%Program Files%, %WinDir% 등)를 추가해준 후,

 

정책을 적용합니다.

 

마지막으로 클라이언트 PC에서 해당 프로그램이 실행되는지 확인.

반응형