이 페이지에서 다루게 될 항목
down소개
down계획
down컴퓨터 제한 정책
down사용자 제한 정책
down비 정책 설정
down추가 제한 사항
down요약
down관련 링크

Microsoft Corporation

게시일: 2003년 7월

개요

본 문서에서는 Microsoft Windows ServerTM 2003 터미널 서버 세션을 관리자가 허용하는 기능으로 제한하는 Active Directory의 기능을 설명합니다. 중요한 그룹 정책들을 집중 조명하고, 광범위한 배치 환경에 알맞게 운영체제에 따라 사용자 상호 작용을 구성하려면 어떤 점을 고려해야 하는지 개략적으로 설명합니다.

소개 Back to Top

Windows Server 2003의 터미널 서버를 사용하면 Microsoft Word 및 Microsoft Excel과 같은 32비트 응용 프로그램을 언제 어디서든 가동할 수 있습니다. 터미널 서버는 중앙집중식 응용 프로그램 처리, 관리 및 유지보수를 제공합니다. 이러한 융통성을 갖춘 터미널 서버는 다양한 응용 프로그램 및 환경에서 사용할 수 있습니다.

서버는 안전한 서버 룸에 배치하고, 사무실, 키오스크, 강의실, 연구실, 공장(factory floor) 또는 다른 국가의 인터넷 상에 터미널을 구축할 수 있습니다. 예를 들어, ASP(응용 프로그램 서비스 제공자)는 터미널 서버를 사용하여 고객들이 인터넷을 통해 다수의 응용 프로그램에 액세스하게끔 할 수 있습니다. 특정한 배치의 경우, 미리 정의된 응용 프로그램 또는 Window 운영체제 기능 만 사용할 수 있도록 사용자의 활동을 제한해야 할 수도 있습니다.

구현 방법

본 백서는 이미 터미널 서버 및 Active Directory에 대해 잘 알고 있는 관리자를 대상으로 작성되었습니다. 여기에서는 Active Directory의 기능을 통해 관리자가 필수적이라고 생각하는 응용 프로그램과 데스크톱 기능 만 사용할 수 있도록 터미널 서버의 사용자 세션을 제한하는 방법을 설명합니다. 또, 특정 그룹 정책을 집중 조명하면서 각각 어떤 이점이 있는지도 간략히 설명합니다. 모든 설정이 필수 사항은 아니며, 이를 모두 적용할 경우 매우 제한된 사용자 인터페이스가 생성될 수도 있습니다. 본 문서를 참조하여 귀하의 환경에 맞게 터미널 서버를 구성하십시오. 언급된 각 정책에 대한 자세한 설명을 보려면 Group Policy Object Editor의 Explain(설명) 탭을 확인하십시오.

Active Directory를 사용할 수 없는 경우 관리자는 NFS 승인이나 로컬 정책 편집기를 사용하여 응용 프로그램 액세스를 제한할 수 있습니다. Active Directory 없이도 로컬 정책 편집기를 사용하여 많은 정책을 적용할 수 있지만, 이는 권장 방안이 아닙니다. 로컬 정책 편집기로 이러한 정책들을 활성화하면, 관리자 계정을 비롯한 터미널 서버의 모든 계정을 제한하게 됩니다. 또한 로컬 정책 편집기를 사용하는 방법은 번거로울 수도 있으며, 본 문서에서는 이 내용을 다루지 않습니다. Windows Server 2003의 터미널 서버 세션을 제한하려면 Active Directory를 사용하여 기능을 제한하는 것이 좋습니다.

참고:    본 문서에서는 악의적인 공격으로부터 터미널 서버를 보호하는 방법은 다루지 않습니다. 또한 본 문서에서는 언급된 제한 사항을 교묘히 피해가는 해커, 독창적인 사용자, 응용 프로그램 또는 드라이버에 대한 보증을 제공하지 않습니다. Microsoft Windows 2000의 터미널 서비스를 안전하게 보호하는 방법은 http://go.microsoft.com/fwlink/?LinkId=18404 에서 Securing Windows 2000 Terminal Services를 참조하십시오.

계획 Back to Top

본 문서에서 설명된 정책들은 운영체제용 사용자 인터페이스에 대한 기본 제한 사항입니다. 모든 정책이 필수 사항은 아니며, 일부는 특정 환경에 적합할 수도 있습니다. 적용하기에 앞서 구현을 테스트해 보십시오. 귀하의 환경에 적합한 제한 사항을 결정하고, 나아가 이러한 정책을 어떻게 구현할지도 결정하십시오.

본 문서에서 언급된 정책을 사용하여 관리자 계정에 대해서도 기능을 엄격히 제한할 수 있습니다. 새로운 조직 단위(OU: Organizational Unit)와 그룹 정책 개체(GPO: Group Policy Object)를 생성할 것을 적극 권장합니다.

시스템 수준의(system-wide) 제한이 터미널 서버에 적용되어야 하는 경우 터미널 서버 컴퓨터 개체를 잠긴 OU에 배치합니다. 이렇게 하면 터미널 서버에서 컴퓨터 기반 제한이 시행됩니다. 관리자는 터미널 서버에 로그온하는 관리자를 포함한 모든 사용자에게 사용자 기반 제한을 적용하는 옵션을 보유하게 됩니다. 추가 정보에 대해서는 컴퓨터 루프백(loopback) 정책을 참조하십시오.

사용자별 제한을 적용해야 하는 경우, 사용자 계정 개체를 잠긴 OU에 배치합니다. 그러나 이렇게 하면 사용자가 도메인에 로그온하기 위해 어떤 컴퓨터를 사용하든 상관없이 해당 사용자 계정에 사용자 기반 제한이 적용됩니다.

그룹 정책 구현에는 다음 두 가지 사항이 권장됩니다.

  1. 사용자 계정을 잠긴 OU에 배치합니다.

    터미널 서버 전용 사용자 계정을 생성하여 잠긴 OU에 배치합니다. 터미널 서버 구성 MMC 스냅 인(snap-in)을 사용해 이러한 사용자들만 터미널 서버에 로그온할 수 있도록 합니다. 사용자들에게 터미널 서버에서 이러한 계정 만 사용하도록 지시합니다. 컴퓨터 제한 정책과는 별도로, 사용자는 동일한 터미널 서버에서 서로 다른 수준의 제한을 설정할 수 있습니다. 관리자는 이와 같은 구현을 통해 사용자가 활성 상태일 때 터미널 서버에서 일부 작업을 수행할 수 있습니다.

  2. 터미널 서버 컴퓨터 개체만 잠긴 OU에 배치합니다.

    터미널 서버에 모든 응용 프로그램을 설치 및 구성한 후 터미널 서버 컴퓨터 개체를 잠긴 OU에 배치합니다. 루프백 프로세싱을 활성화합니다. 그러면 사용자가 어느 OU에 위치하든 상관없이, 터미널 서버에 로그온한 사용자는 모두 잠긴 GPO에 의해 정의된 대로 사용자 기반 정책에 따라 제한됩니다. 이렇게 하면 수많은 로컬 변경이 터미널 서버에 적용되지 않도록 하는 한편, 서버를 계속적으로 원격적으로 유지 관리할 수 있게 됩니다. 관리자가 터미널 서버에 액세스해야 하는 경우 모든 사용자를 로그오프시킨 다음, 일시적으로 터미널 서버에 로그온하지 못하도록 액세스를 제한합니다. 터미널 서버 컴퓨터 개체를 잠긴 OU 밖으로 이동시킨 다음, 로그온합니다. 유지보수가 완료되면 터미널 서버 컴퓨터 개체를 잠긴 OU로 되돌리고 사용자 로그인을 다시 활성화합니다. 이러한 구현에서는 사용자가 복수의 사용자 계정을 가져야 할 필요가 없습니다. 또한 터미널 서버가 작동 중일 때 구성을 변경하지 못하게 할 수 있습니다.

보안 설정 구성에 대한 자세한 내용은 http://go.microsoft.com/fwlink/?linkid=18541 의 "그룹 정책 개체 상의 보안 편집하기(To edit a security on a Group Policy object)"를 참조하십시오.

터미널 서버 배치

Windows Server 2003 컴퓨터에 터미널 서버를 배치할 때, 높은 수준의 보안(Full Security) 또는 낮은 수준의 보안(Relaxed Security)에 대한 권한 호환성 설정을 선택하라는 메시지가 나타납니다. 이러한 설정은 나중에 터미널 서버 구성 MMC 스냅 인을 사용하여 변경할 수 있습니다.

높은 수준의 보안 옵션을 선택할 것을 권장합니다. 그러면 터미널 서버 사용자에 대한 권한이 사용자 그룹으로 제한됩니다. 그러나 높은 수준의 보안 설정을 선택하면 일부 레거시 응용 프로그램과의 호환성 문제가 발생할 수 있습니다. 이 경우에는 낮은 수준의 보안 설정을 선택하십시오. 낮은 수준의 보안 설정을 사용하면 터미널 서버 사용자들이 거의 고급 사용자 수준으로 특정 시스템 폴더와 레지스트리 키에 액세스할 수 있습니다. 낮은 수준의 보안 설정을 선택할 경우에는 레지스트리 편집기와 파일 브라우저에 대한 액세스를 제한하는 정책을 설정할 것을 고려해 보십시오.

컴퓨터 제한 정책 Back to Top

이러한 정책은 잠긴 OU에 배치된 컴퓨터 개체에만 적용됩니다. 이러한 설정은 시스템 수준으로 모든 사용자에게 영향을 미치게 됩니다.

[Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options]

  • Device: Restrict CD-ROM access to locally logged-on user only

    권장 설정: 사용(Enabled)

    이 정책은 터미널 서버 콘솔에 로그온하는 사용자만 CD-ROM 드라이브를 액세스할 수 있도록 합니다. 사용자 및 관리자가 CD-ROM에 있는 프로그램이나 데이터를 원격에서 액세스할 수 없게 하려면 이 정책을 사용하는 것이 좋습니다.

  • Device: Restrict floppy access to locally logged-on user only

    권장 설정: 사용(Enabled)

    이 정책은 터미널 서버 콘솔에 로그온하는 사용자만 플로피 디스크 드라이브를 액세스할 수 있도록 합니다. 사용자 및 관리자가 플로피 디스크에 있는 프로그램이나 데이터를 원격에서 액세스할 수 없게 하려면 이 정책을 사용하는 것이 좋습니다.

  • Interactive logon: Do not display last user name

    이 정책은 터미널 서버 콘솔의 Windows 로그온 요청 시 사용자 계정에 마지막으로 로그온한 사용자가 표시되지 않도록 합니다. 이 정책은 로그온 사용자 이름을 로컬에 캐싱하는 터미널 서버 클라이언트에는 영향을 주지 않습니다.

[Computer Configuration\Windows Settings\Security Settings\System Services]

  • Help and Support

    권장 설정: 사용 안함(Disabled)

    이 정책은 Help and Support Center 서비스를 사용할 수 없도록 합니다. 또한 사용자가 새로운 Windows Help and Support Center 응용 프로그램을 시작할 수 없게 됩니다. 또한, 이 정책을 사용하면 *.chm과 같은 기존 도움말 파일이나 다른 응용 프로그램의 도움말을 사용할 수 없습니다. 이 서비스를 사용할 수 없을 경우, 이 서비스에 종속된 다른 프로그램 및 서비스와 문제가 발생할 수 있습니다. 이 서비스를 사용하지 못하도록 함으로써, 사용자가 다른 응용 프로그램을 시작하거나, 터미널 서버에 대한 시스템 정보를 볼 수 없도록 하는 것이 좋습니다.

[Computer Configuration\Administrative Templates\Windows Components\Terminal Services]

  • Restrict Terminal Services users to a single remote session

    이 정책은 단일 사용자가 터미널 서버에서 단일 사용자 계정을 이용해 복수의 세션을 생성하는 것을 금지시킵니다.

  • Remove Disconnect option from Shut Down dialog box

    이 정책은 Windows 종료 대화 상자에서 연결 끊기(Disconnect) 옵션을 제거합니다. 그러나 사용자는 다른 방법으로 터미널 서버 세션을 종료할 수 있습니다. 사용자가 세션을 쉽게 종료하지 못하도록 해야 하며,Windows 종료 대화 상자를 아직 제거하지 않았다면 이 정책을 사용하십시오.

[Computer Configuration\Administrative Templates\Windows Components\Terminal Services \Client/Server data redirection]

  • Do not allow drive redirection

    권장 설정: 사용(Enabled)

    기본적으로, 터미널 서버는 연결 시 클라이언트 드라이브를 자동으로 매핑합니다. 사용자가 로컬 컴퓨터에서 응용 프로그램에 쉽게 액세스할 수 없도록 하려면, 이 정책을 사용하는 것이 좋습니다.

[Computer Configuration\Administrative Templates\Windows Components\Terminal Services \Sessions]

  • Set time limit for disconnected sessions

    기본적으로, 터미널 서버에서는 사용자가 세션을 종료하고, 시간 제한 없이 모든 응용 프로그램을 활성 상태로 유지할 수 있습니다. 이 정책을 사용해 종료된 터미널 서버 세션이 활성 상태를 유지하는 시간 제한을 설정합니다. 종료된 세션이 터미널 서버에서 오랫동안 활성 상태를 유지하도록 하려면 이 정책을 사용하십시오.

[Computer Configuration\Administrative Templates\Windows Components\Windows Installer]

  • Disable Microsoft Windows Installer

    권장 설정: 사용(Enabled) - 항상(Always)

    이 정책이 관리되지 않는 응용 프로그램에만 설정되어 있을 경우, Windows Installer는 그룹 정책에 의해 게시되거나, 지정되는 응용 프로그램에 대해 계속해서 작동하게 됩니다. 이 정책이 항상(Always)로 설정되면, Windows Installer는 완전히 비활성화됩니다. 이 정책은 터미널 서버에 일부 원치 않는 응용 프로그램이 게시되거나, 지정되어 있을 경우 유용합니다. Window Installer를 비활성화하더라도 다른 설치 프로그램이나 메서드를 사용하면 응용 프로그램을 설치할 수 있습니다. 이 정책을 활성화하기 전에 응용 프로그램을 설치 및 구성하는 것이 좋습니다. 이 정책이 활성화된 후에는 관리자가 Windows Installer를 사용하는 응용 프로그램을 설치할 수 없습니다.

[Computer Configuration\Administrative Templates\System\Group Policy]

  • User Group Policy loopback processing mode

    터미널 서버 컴퓨터 개체가 잠긴 OU에 배치되고 사용자 계정은 그렇지 못할 경우, 루프백 프로세싱은 사용자 제한 구성 정책을 터미널 서버의 모든 사용자에게 적용합니다. 이 정책이 활성화되면 사용자 계정의 위치와 관계 없이 터미널 서버에 로그온하는 관리자를 비롯한 모든 사용자들은 사용자 제한 구성 정책의 영향을 받습니다. 두 가지 모드를 사용할 수 있습니다. Merge 모드가 먼저 사용자 고유의 GPO에 적용된 다음 잠긴 정책에 적용됩니다. 잠긴 정책은 사용자의 GPO보다 우선 순위를 가집니다. 바꾸기(Replace) 모드는 잠긴 정책만 사용하고 사용자 고유의 GPO는 사용하지 않습니다. 이 정책은 사용자 계정 대신 컴퓨터 기반 제한에 사용됩니다.

    이 정책이 비활성화되고 터미널 서버 컴퓨터 개체가 OU에 배치되면 컴퓨터 구성 정책만 터미널 서버에 적용됩니다. 각 사용자 계정은 사용자 구성 제한이 해당 사용자에게 적용되도록 OU에 배치되어야 합니다.

사용자 제한 정책 Back to Top

이러한 정책은 잠긴 OU에 있는 사용자 계정에 적용됩니다. 루프백 프로세싱이 사용되는 경우, 잠긴 OU에 있는 컴퓨터에 로그온하는 모든 사용자 계정에도 이러한 제한이 적용됩니다.

[User Configuration\Windows Settings\Folder Redirection]

  • Application Data

    권장 설정: Basic redirection and create a folder for each user under the root path.

    설정(Settings) 탭에서 사용자에게 독점 권한 부여(grant the user exclusive rights)를 실행하고, 폴더의 내용을 새 위치로 이동하기(move contents of folder to new location)를 선택합니다. 정책을 제거하면 폴더를 로컬 사용자 프로필 위치로 리디렉션합니다.

  • Desktop

    권장 설정: Basic redirection and create a folder for each user under the root path.

    설정 탭에서 사용자에게 독점 권한 부여(grant the user exclusive rights)를 실행하고, 폴더의 내용을 새 위치로 이동하기(move contents of folder to new location)를 선택합니다. 정책을 제거하면 폴더를 로컬 사용자 프로필 위치로 리디렉션합니다.

  • My Documents

    권장 설정: Basic redirection and create a folder for each user under the root path.

    설정 탭에서 사용자에게 독점 권한 부여(grant the user exclusive rights)를 실행하고, 폴더의 내용을 새 위치로 이동하기(move contents of folder to new location)를 선택합니다. 정책을 제거하면 폴더를 로컬 사용자 프로필 위치로 리디렉션합니다.

  • Start Menu

    권장 설정: Basic redirection and redirect to the following location.

    설정 탭에서, 정책을 제거하면 폴더를 로컬 사용자 프로필 위치로 리디렉션합니다. 이 공유 폴더에서 \Programs\Startup 폴더를 만듭니다.

    이 정책은 사용자 데이터 백업을 위한 중심 지점을 제공하게 됩니다. 또한 로컬 드라이브에 대한 액세스를 제한하는 정책이 설정되는 경우, 사용자가 자신의 액세스가 제한됐다는 메시지가 나타나는 것을 원치 않는 경우, 폴더를 리디렉션해야 합니다.

    로밍 프로필 서버를 사용할 수 없는 경우, 로컬 공유를 사용할 수 있습니다. 모든 사용자 데이터에 대한 마스터 폴더를 생성합니다(예: C:\userdata). 각 폴더 유형별로 1개씩, 네 개의 하위 폴더를 생성합니다(예: AppData, Desktop, MyDocs, Start). 각 하위 폴더를 공유하고 "모든" 그룹이 "변경"할 수 있도록 공유 권한을 설정합니다. 각 경로를 각 해당 공유에 설정합니다.

    시작 메뉴는 다르게 구성할 수 있으며, 모든 사용자가 공유할 수 있습니다. 여기에서 응용 프로그램에 대한 링크를 만듭니다. "모든" 그룹에게 "읽기"가 허용되도록 공유 권한을 변경하십시오. 공유 Startup 폴더(C:\userdata\Start\Programs\Startup) 하위에 수동으로 "Programs\Startup" 폴더를 만들 수 있습니다.

[User Configuration\Administrative Templates\Windows Components\Internet Explorer]

  • Search: Disable Find Files via F3 within the browser

    권장 설정: 사용(Enabled)

    이 정책은 Microsoft Internet Explorer 및 Windows 탐색기에서 검색 기능을 지원하는 F3 키를 사용할 수 없도록 합니다. 사용자들은 F3을 눌러 인터넷을 검색하거나(Internet Explorer의 경우), 하드 디스크를 검색할 수 없습니다(Windows 탐색기의 경우). 사용자가 F3를 누르면 이 기능을 사용할 수 없게 되었다는 메시지가 나타납니다. 이 정책을 사용하면, 사용자들이 하드 디스크에서 응용 프로그램을 쉽게 검색하지 못하게 됩니다. 사용자들이 하드 드라이브에서 응용 프로그램을 검색하거나 인터넷을 검색할 수 없도록 하려면 이 정책을 사용하는 것이 좋습니다.

[User Configuration\Administrative Templates\Windows Components\Internet Explorer\Browser menus]

  • Disable Context menu

    권장 설정: 사용(Enabled)

    이 정책은 브라우저 사용 중 마우스 오른쪽 단추를 누를 때 바로가기 메뉴가 나타나지 않도록 합니다. 사용자가 명령을 실행하는 대체 방안으로 바로가기 메뉴를 사용할 수 없게 하려면 이 정책을 사용하는 것이 좋습니다.

  • Hide Favorites menu

    이 정책은 사용자가 즐겨찾기(Favorites) 링크의 목록을 추가, 제거 또는 편집할 수 없도록 합니다. 이 정책을 사용하면, 즐겨찾기 메뉴가 인터페이스에서 제거되고 브라우저 도구 모음의 즐겨찾기 메뉴가 흐리게 표시됩니다. Windows 탐색기에서 즐겨찾기 메뉴를 제거하거나, 사용자가 Internet Explorer에 액세스할 수 없도록 하려면 이 정책을 사용하십시오.

[User Configuration\Administrative Templates\Windows Components\Application Compatibility]

  • Prevent access to 16-bit applications

    권장 설정: 사용(Enabled)

    이 정책은 MS-DOS 하위 시스템(ntvdm.exe)이 각 사용자에 대해 실행되지 못하도록 합니다. 이 설정은 운영체제의 모든 16비트 응용 프로그램을 시작하는데 영향을 미치게 됩니다. 기본적으로, MS-DOS 하위 시스템은 모든 사용자에 대해 실행됩니다. 많은 MS-DOS 응용 프로그램은 터미널 서버에 익숙하지 않으며, 일정한 키보드 폴링(polling)으로 인해 CPU 점유율이 높아질 수 있습니다. 16비트 명령 인터프리터 Command.com이 실행되지 않게 하려면 이 정책을 사용하는 것이 좋습니다.

참고:    "Prevent access to 16-bit applications" 정책은 시스템 수준의 컴퓨터 구성 및 사용자 고유의 사용자 구성 모두에서 구성할 수 있습니다.

[User Configuration\Administrative Templates\Windows Components\Windows Explorer]

  • Removes the Folder Options menu item from the Tools menu

    권장 설정: 사용(Enabled)

    모든 Windows 탐색기 메뉴에서 폴더 옵션(Folder Options) 항목을 제거하고 제어판에서 폴더 옵션(Folder Options)을 제거합니다. 이에 따라, 사용자는 폴더 옵션 대화 상자를 사용할 수 없습니다. 사용자가 액티브 데스크톱, 웹 보기, 오프라인 파일, 숨겨진 시스템 파일, 파일 유형 등의 Windows 탐색기 속성을 구성할 수 없도록 하려면 이 정책을 사용하는 것이 좋습니다.

  • Remove File menu from Windows Explorer

    권장 설정: 사용(Enabled)

    이 정책은 내 컴퓨터 및 Windows 탐색기에서 파일(File) 메뉴를 제거합니다. 그러나 다른 방법을 사용하면 File 메뉴에서 가능한 작업을 수행할 수 있습니다. "새로 만들기", "연결 프로그램" 및 일부 응용 프로그램에 대한 쉘 확장(shell extension)과 같은 작업에 액세스할 수 없게 하려면 이 정책을 사용하는 것이 좋습니다. 또한 이 정책을 사용하면 실행 모듈의 바로가기를 쉽게 만들 수 없습니다.

  • Remove Map Network Drive and Disconnect Network Drive

    권장 설정: 사용(Enabled)

    이 정책은 사용자가 Windows 탐색기에 대한 공유 연결 및 차단을 수행할 수 없도록 합니다. 그러나 다른 응용 프로그램이나 실행 명령을 사용하면 드라이브를 매핑 및 차단할 수 있습니다. Windows 탐색기에서 도메인을 쉽게 검색할 수 없게 하려면 이 정책을 사용하는 것이 좋습니다. 매핑된 드라이브가 필수적인 경우 로그온 스크립트에서 매핑할 수 있습니다.

  • Remove Search button from Windows Explorer

    권장 설정: 사용(Enabled)

    사용자가 Windows 탐색기에서 응용 프로그램을 검색할 수 없게 하려면 이 정책을 사용하는 것이 좋습니다. 이 정책을 사용하더라도 다른 응용 프로그램이나 시작 메뉴의 검색 루틴은 사용할 수 있습니다.

  • Remove Security Tab

    권장 설정: 사용(Enabled)

    이 정책은 Windows 탐색기에서 보안(Security) 탭을 제거합니다. 사용자가 폴더, 파일, 바로가기 및 드라이브 등의 파일 시스템 개체에 대한 속성 대화 상자를 열 수 없으면 보안 탭에 액세스할 수 없습니다. 사용자가 보안 설정을 변경하고 해당 개체에 액세스할 수 있는 모든 사용자의 목록을 볼 수 없게 하려면 이 정책을 사용하는 것이 좋습니다.

  • Remove Windows Explorer's default context menu

    권장 설정: 사용(Enabled)

    이 설정은 Windows 탐색기에서 바로가기 메뉴를 제거합니다. 바로가기 메뉴로 연결되는 응용 프로그램에 쉽게 액세스할 수 없게 하려면 이 정책을 사용하는 것이 좋습니다. 이 정책을 사용하더라도 바로가기 단축키를 사용하는 것과 같은 다른 방법을 통해 바로가기 메뉴의 응용 프로그램에 액세스할 수 있습니다.

  • Hides the Manage item on the Windows Explorer shortcut menu

    권장 설정: 사용(Enabled)

    이 정책은 Windows 탐색기 또는 내 컴퓨터에서 관리(Manage) 옵션을 제거합니다. 관리 옵션을 사용해 컴퓨터 관리 MMC 스냅 인(compmgmt.msc)을 열 수 있습니다. 컴퓨터 관리(Computer Management)에서 Event Viewer, System Information 및 Disk Administrator와 같은 항목에 액세스할 수 있습니다. 이 정책을 사용하더라도 제어판 및 실행 명령과 같은 다른 방법으로 이들 작업에 액세스할 수 있습니다. 터미널 서버에 대한 시스템 정보에 쉽게 액세스할 수 없도록 하려면 이 정책을 사용하는 것이 좋습니다.

  • Hide these specified drives in My Computer

    권장 설정: 사용(Enabled) - Restrict A, B, C, and D drives only

    이 정책은 내 컴퓨터, Windows 탐색기, 표준 파일 대화 상자에서 아이콘 만 제거합니다. 명령 프롬프트와 같은 다른 방법을 사용하면 이 드라이브에 액세스할 수 있습니다. 이 정책으로는 드라이브 A-D만 숨길 수 있습니다. 플로피 디스크 드라이브, CD-ROM 드라이브, 운영체제 파티션을 숨기려면 이 정책을 사용하는 것이 좋습니다. 공용 데이터에 대한 파티션은 사용자들이 볼 수 있는 드라이브로만 구성할 수 있습니다. 필요할 경우, NTFS 권한을 사용하여 이 파티션에 대한 액세스를 제한할 수 있습니다.

  • Prevent access to drives from My Computer

    권장 설정: 사용(Enabled) - A, B, C and D drives only

    이 정책은 내 컴퓨터, Windows 탐색기, 표준 파일 대화 상자를 통해 드라이브 A~D에 액세스할 수 없도록 합니다. 이 정책을 사용하더라도 공통 대화 상자를 사용하지 않는 프로그램에는 액세스할 수 있습니다. 사용자는 계속해서 제한된 드라이브 상에 있는 응용 프로그램을 실행시킬 수 있습니다. 시스템 파티션의 파일 검색을 제한하려면 이 정책을 사용하는 것이 좋습니다.

  • Remove Hardware tab

    권장 설정: 사용(Enabled)

    이 정책은 제어판의 마우스, 키보드 그리고, 사운드 및 오디오 장치(Sounds and Audio Devices)에서 하드웨어(Hardware) 탭을 제거합니다. 또한 하드 드라이브, 플로피 디스크 드라이브 및 CD-ROM 드라이브 등의 모든 로컬 드라이브에 대한 속성 대화 상자에서 하드웨어 탭을 제거합니다. 사용자가 하드웨어 탭을 사용해 장치 목록이나 장치 속성을 볼 수 없도록 하려면 이 정책을 사용하는 것이 좋습니다.

  • Remove Order Prints from Picture Tasks

    권장 설정: 사용(Enabled)

    My Pictures 폴더에서 "Order Prints Online from Picture Tasks"를 제거하려면 이 정책을 사용하는 것이 좋습니다.

  • Remove Publish to Web from File and Folders Tasks

    권장 설정: 사용(Enabled)

    이 정책을 설정하면 Windows 탐색기에서 Publish this file to the Web(이 파일을 웹으로 게시하기), Publish this folder to the Web(이 폴더를 웹으로 게시하기), Publish the selected items to the Web from File and Folder(파일 및 폴더에서 웹으로 선택된 항목을 게시하기) 작업이 제거됩니다.

  • No “Computers Near Me” in My Network Places

    권장 설정: 사용(Enabled)

    이 정책은 Windows 탐색기와 내 네트워크 환경의 네트워크 리소스 목록에서 사용자 도메인에 있는 컴퓨터를 제거합니다. 이 정책을 사용하더라도 명령 프롬프트 또는 네트워크 드라이브 연결(Map Network Drive) 대화 상자와 같은 다른 방법을 사용하면 다른 컴퓨터에 연결할 수 있습니다. 도메인을 쉽게 검색할 수 없게 하려면 이 정책을 설정하는 것이 좋습니다.

  • No “Entire Network” in My Network Places

    권장 설정: 사용(Enabled)

    이 정책은 Windows 탐색기와 내 네트워크 환경의 네트워크 리소스 목록에서 사용자의 로컬 도메인 외부에 있는 모든 컴퓨터를 제거합니다. 이 정책을 사용하더라도 명령 프롬프트 또는 네트워크 드라이브 연결 대화 상자와 같은 다른 방법을 사용하면 다른 컴퓨터에 연결할 수 있습니다. 네트워크를 쉽게 검색할 수 없게 하려면 이 정책을 사용하는 것이 좋습니다.

  • Turn off Windows+X hotkeys

    권장 설정: 사용(Enabled)

    이 정책은 Windows+X 단축키를 해제합니다. Windows 로고 키가 있는 키보드에서는 공통 쉘(shell) 기능으로 연결되는 바로가기 키를 사용할 수 있습니다. 예를 들어, Windows+R을 연속해서 누르면 실행(Run) 대화 상자가 열리고, Windows+E를 누르면 Windows 탐색기가 시작됩니다. 사용자가 Windows 로고 바로가기 키로 응용 프로그램을 시작할 수 없게 하려면 이 정책을 사용하는 것이 좋습니다.

  • Turn on Classic Shell

    권장 설정: 사용(Enabled)

    이 정책은 Active Desktop과 웹 보기 기능을 제거합니다. 이 설정을 활성화하면 Active Desktop과 웹 보기 기능이 비활성화됩니다. 또한 사용자는 제어판의 마우스에서 처럼 한 번 눌러서 항목을 열 수 있도록 시스템을 구성할 수 없습니다. 결과적으로 사용자 인터페이스는 외관과 작동 방식 측면에서 Windows NT 4.0의 인터페이스와 유사하며, 사용자는 새로운 기능을 복구할 수 없습니다. Folder Task를 제거하려면 이 정책을 사용하는 것이 좋습니다. My Music 폴더에 대한 작업과 같은 일부 Folder Task는 Internet Explorer를 실행할 수 있습니다.

[User Configuration\Administrative Templates\Windows Components\Windows Explorer \Common Open File Dialog]

  • Hide the common dialog places bar

    권장 설정: 사용(Enabled)

    이 정책은 일반 파일 열기(Common Open File) 대화 상자에서 바로가기 표시줄을 제거합니다. 이 기능은 원래 Windows 2000에 추가된 기능이었기 때문에, 이 기능을 사용할 수 없도록 하면, Windows NT 4.0과 이전 버전처럼 보입니다. 이 정책은 공통 대화 상자를 사용하는 프로그램에만 영향을 미치게 됩니다. 네트워크나 로컬 컴퓨터를 쉽게 검색할 수 없게 하려면 이 정책을 사용하는 것이 좋습니다.

  • Items displayed in Places Bar

    이 정책은 일반 파일 열기 대화 상자의 Place Bar 항목을 미리 정의한 항목으로 바꿀 수 있도록 합니다. 이 표시줄을 표시하려면 메모장(Notepad)을 실행해, 파일(File)을 선택한 다음, 열기(Open)를 클릭합니다.

[User Configuration\Administrative Templates\Windows Components\Task Scheduler]

  • Hide Property Pages

    권장 설정: 사용(Enabled)

    사용자가 기존 작업의 속성을 보고 변경할 수 없게 하려면 이 정책을 사용하는 것이 좋습니다.

  • Prohibit Task Deletion

    이 정책은 관리자가 예약된 작업 폴더에서 작업을 삭제할 수 없도록 합니다. 이 정책을 사용하더라도 관리자는 AT 명령을 사용하거나 원격 컴퓨터에서 작업을 삭제할 수 있습니다.

  • Prevent Task Run or End

    이 정책은 관리자가 작업을 시작 및 중지할 수 없도록 합니다.

  • Prohibit New Task Creation

    권장 설정: 사용(Enabled)

    사용자가 예약된 작업을 새로 만들고 응용 프로그램을 검색할 수 없도록 하려면 이 정책을 사용하는 것이 좋습니다. 이 정책을 사용하더라도 관리자는 AT 명령을 사용하거나 원격 컴퓨터에서 새로운 작업을 만들 수 있습니다.

[User Configuration\Administrative Templates\Windows Components\Windows Messenger]

  • Do not allow Windows Messenger to be run

    권장 설정: 사용(Enabled)

[User Configuration\Administrative Templates\Windows Components\Windows Update]

  • Remove access to use all Windows Update features 이 정책은 Windows Update에 대한 액세스를 제거합니다. 이 설정을 사용하면 모든 Windows Update 기능이 제거됩니다. 그러면 Microsoft Windows Update 웹 사이트(http://go.microsoft.com/fwlink/?LinkId=18539), 시작 메뉴의 Windows Update 하이퍼링크, Internet Explorer의 도구(Tools) 메뉴를 통한 액세스가 모두 차단됩니다. Windows 자동 업데이트도 사용할 수 없게 되므로, 중요한 업데이트에 대한 통보를 받을 수도, Windows Update로부터 중요한 업데이트를 받을 수도 없습니다. 또한 이 설정을 사용하면 장치 관리자가 Windows Update 웹 사이트로부터 드라이버 업데이트를 설치할 수 없게 됩니다. 터미널 서버가 작동 중일 때 변경할 수 없게 하려면 이 정책을 사용합니다. Windows Update를 비활성화하려면 최신 중요 Windows 업데이트를 수행했다는 것을 확인하는 주기적인 확인 일정을 예약해야 합니다./P>

[User Configuration\Administrative Templates\Start Menu & Taskbar]

  • Remove links and access to Windows Update

    권장 설정: 사용(Enabled)

    이 정책은 Windows Update 웹 사이트에 대한 링크와 액세스를 제거합니다. Windows Update 웹 사이트는 관리자만 사용할 수 있습니다. 사용자가 Internet Explorer에 쉽게 액세스할 수 없게 하려면 이 정책을 사용하는 것이 좋습니다.

  • Remove common program groups from Start Menu

    권장 설정: 사용(Enabled)

    이 정책은 모든 사용자의 프로필에서 프로그램으로 연결되는 바로가기를 제거합니다. 사용자 프로필의 시작 메뉴 또는 리디렉트된 시작 메뉴만 사용할 수 있습니다. 게임, 계산기 및 미디어 플레이어와 같은 내장형 응용 프로그램에 쉽게 액세스할 수 없게 하려면 이 정책을 사용하는 것이 좋습니다.

  • Remove pinned programs list from Start Menu

    이 정책은 새 시작 메뉴에서 Pinned Programs 목록을 제거합니다. 또한 고정된(pinned) 프로그램인 경우, Internet Explorer와 Outlook Express에 대한 기본 링크를 제거하며, 사용자가 새로운 프로그램을 시작 메뉴에 고정할 수 없도록 합니다. Frequently Used Program 목록에는 아무 영향도 없습니다.

  • Remove programs on Settings menu

    권장 설정: 사용(Enabled)

    이 정책은 이전 시작 메뉴, 내 컴퓨터, Windows 탐색기의 설정에서 제어판, 프린터, 네트워크 연결을 제거합니다. 또한 이 폴더가 나타내는 프로그램(예: Control.exe)을 실행할 수 없도록 합니다. 그러나 사용자들은 여전히 바탕화면을 마우스 오른쪽 단추로 눌러 디스플레이 속성을 열거나 내 컴퓨터를 마우스 오른쪽 단추로 눌러 시스템 속성을 여는 등의 다른 방법으로 제어판 항목을 시작할 수 있습니다. 시스템 설정을 쉽게 보거나 변경할 수 없게 하려면 이 정책을 사용하는 것이 좋습니다

  • Remove Network Connections from Start Menu

    권장 설정: 사용(Enabled)

    이 정책을 사용하면, 네트워크 연결 폴더를 열 수 없게 됩니다. 또한 시작 메뉴의 설정에서 네트워크 연결을 제거합니다. 네트워크 연결은 여전히 제어판과 Windows 탐색기에 표시되지만, 사용자가 네트워크 연결을 실행시키려 하면 작동할 수 없도록 설정되었다는 메시지가 나타납니다. 사용자가 VPN 또는 전화접속과 같은 새로운 연결을 생성할 수 없도록 하려면 이 정책을 사용하는 것이 좋습니다.

  • Remove the Search menu from Start Menu

    권장 설정: 사용(Enabled)

    이 정책을 사용하여 시작 메뉴에서 검색 기능을 제거합니다. 이 설정을 사용하면 시작 메뉴와 시작 메뉴를 마우스 오른쪽 단추로 누르면 나타나는 바로가기 메뉴에서 검색(Search)이 제거됩니다. 또한 시스템은 사용자가 Windows+F 또는 F3을 누를 때 반응하지 않습니다. Windows 탐색기에서 표준 단추 도구 모음에는 검색 항목이 여전히 표시되어 있지만, 사용자가 CTRL+F를 누를 때 시스템은 반응하지 않습니다. 또한, 드라이브 또는 폴더를 나타내는 아이콘을 마우스 오른쪽 단추로 누를 때 검색은 바로가기 메뉴에 나타나지 않습니다. 이 설정은 지정된 사용자 인터페이스 요소에만 영향을 미칩니다. Internet Explorer에는 영향을 주지 않으며, 다른 방법을 사용하면 검색할 수 있습니다. 사용자가 자신에게 지정되지 않은 응용 프로그램은 쉽게 검색할 수 없게 하려면 이 정책을 사용하는 것이 좋습니다.

  • Remove Drag-and-Drop shortcut menus on Start Menu

    권장 설정: 사용(Enabled)

    이 정책은 사용자가 드래그 앤 드롭 방법으로 시작 메뉴의 항목을 제거하거나 순서를 바꿀 수 없도록 합니다. 이 설정을 사용하더라도 다른 방법을 사용하여 시작 메뉴를 사용자 정의하거나 바로가기 메뉴에서 사용 가능한 작업을 수행할 수 있습니다. 시작 메뉴에서 새 바로가기 만들기(creating a new shortcut) 등의 바로가기 메뉴를 제거하려면 이 정책을 사용하는 것이 좋습니다.

  • Remove Favorites menu from Start Menu

    이 정책은 사용자가 시작 메뉴 또는 이전 시작 메뉴에 즐겨찾기 메뉴를 추가할 수 없게 합니다. 사용자가 Internet Explorer를 실행하지 못하게 하려면 이 정책을 사용하십시오.

    참고:    즐겨찾기 메뉴는 기본적으로 시작 메뉴에 표시되지 않지만, 이 정책을 사용하면 Favorites 링크를 사용할 수 없습니다. 이 설정은 시작 메뉴에만 영향을 줍니다. 즐겨찾기 메뉴는 Windows 탐색기 및 Internet Explorer에는 그대로 존재합니다.
  • Remove Help menu from Start Menu

    권장 설정: 사용(Enabled)

    이 정책은 시작 메뉴에서 도움말 연결을 제거합니다. 이 설정은 시작 메뉴에만 영향을 미치게 됩니다. 새로운 도움말 및 지원 응용 프로그램을 비활성화하려면 컴퓨터 구성(Computer Configuration)의 서비스를 비활성화하십시오(컴퓨터 제한 정책 참조). 사용자가 터미널 서버에 대한 시스템 정보를 쉽게 볼 수 없게 하려면 이 정책을 사용하는 것이 좋습니다.

  • Remove Run menu from Start Menu

    권장 설정: 사용(Enabled)

    사용자가 응용 프로그램을 실행하려고 시도할 수 없게 하려면 이 정책을 사용할 것을 적극 권장합니다. 이 정책을 사용하면 시작 메뉴에서 실행 명령이 제거되고 작업 관리자에서 새 작업이 제거되며, 사용자는 주소 표시줄에 UNC 경로, 로컬 드라이브 및 로컬 폴더를 입력할 수 없도록 차단됩니다. 또한 확장 키보드를 사용하는 사용자는 더 이상 Windows+R을 눌러 실행 대화 상자를 표시할 수 없습니다.

    참고:    "Remove Run menu from Start Menu" 설정은 지정된 인터페이스에만 영향을 줍니다. 사용자는 다른 방법을 사용하여 프로그램을 실행할 수 있습니다.
  • Remove My Network Place icon from Start Menu

    권장 설정: 사용(Enabled)

    이 정책은 시작 메뉴에서 내 네트워크 환경 아이콘을 제거합니다. 네트워크를 쉽게 검색할 수 없게 하려면 이 정책을 사용하는 것이 좋습니다.

  • Add Logoff to Start Menu

    권장 설정: 사용(Enabled)

    사용자가 터미널 서버 세션을 쉽게 로그오프할 수 있게 하려면 이 정책을 사용하는 것이 좋습니다. 이 정책을 사용하면 시작 메뉴에 "로그오프 <사용자 이름>" 항목이 추가되며 사용자는 이 항목을 제거할 수 없습니다. 이 설정은 시작 메뉴에만 영향을 줍니다. 터미널 서버 클라이언트에서 CTRL+ALT+DEL 또는 CTRL+ALT+END를 누를 때 나타나는 Windows 보안 대화 상자의 로그오프 항목에는 영향을 미치지 않습니다.

  • Remove and prevent access to Shut Down command

    권장 설정: 사용(Enabled)

    이 정책은 사용자가 시작 메뉴 및 Windows 보안 대화 상자에서 시스템 종료 대화 상자를 열 수 없도록 합니다(CTRL+ALT+DEL). 이 정책을 사용하더라도 사용자는 프로그램을 실행하여 Windows를 종료할 수 있습니다. 사용자의 혼란을 없애고 관리자가 시스템 작동 중에 시스템을 종료할 수 없도록 하려면 이 설정을 사용하는 것이 좋습니다.

  • Prevent changes to Taskbar and Start Menu settings

    권장 설정: 사용(Enabled)

    이 정책은 작업 표시줄과 시작 메뉴를 사용자 정의할 수 없도록 합니다. 관리자가 설정한 구성을 준수함으로써 데스크톱을 단순화할 수 있습니다. 응용 프로그램의 위치를 찾거나 입력하여 시작 메뉴에 다른 응용 프로그램을 추가할 수 없도록 제한하려면 이 정책을 사용하는 것이 좋습니다.

  • Remove access to the shortcut menus for the taskbar

    권장 설정: 사용(Enabled)

    이 정책은 작업 표시줄에서 마우스 오른쪽 단추를 누를 때 나타나는 메뉴를 제거합니다. 이 설정을 사용하더라도 사용자는 다른 방법을 사용하여 이 메뉴에 표시되는 명령을 실행할 수 있습니다. Windows 탐색기 또는 검색을 실행해 파일 및 응용 프로그램을 액세스하는 것을 차단하려면 이 정책을 사용하는 것이 좋습니다.

  • Force Classic Start Menu

    이 정책은 시작 메뉴의 표시에 영향을 미치게 됩니다. Windows 2000의 이전 시작 메뉴를 사용하면 공통 작업을 시작할 수 있으며, 새 시작 메뉴는 하나의 메뉴에 공통 항목을 통합하고 있습니다. 이전 시작 메뉴를 사용하면 내 문서, My Picture, My Music, 내 컴퓨터 및 내 네트워크 환경 아이콘이 바탕화면에 생깁니다. 새 시작 메뉴에서는 이를 직접 시작할 수 있습니다. 새 시작 메뉴를 비활성화하면 프린터 및 팩스가 제거됩니다. 프린터 및 팩스에서, 사용자는 서버 속성을 확인하고 스풀 폴더가 설치된 위치를 확인할 수 있습니다.

[User Configuration\Administrative Templates\Desktop]

  • Remove Properties from My Documents shortcut menu

    권장 설정: 사용(Enabled)

    이 설정은 내 문서의 바로가기 메뉴의 속성을 숨깁니다. 바로가기 메뉴가 비활성화되어 있지 않거나 사용자가 My Document 폴더의 위치를 쉽게 확인 또는 편집하지 못하게 하려면 이 정책을 사용하는 것이 좋습니다.

  • Remove Properties from My Computer shortcut menu

    권장 설정: 사용(Enabled)

    이 설정을 사용해 내 컴퓨터에 대한 바로가기 메뉴의 속성을 숨길 수 있습니다. 바로가기 메뉴가 비활성화되어 있지 않고 사용자가 터미널 서버에 대한 구성 정보를 쉽게 확인하지 못하게 하려면 이 정책을 사용하는 것이 좋습니다.

  • Remove Properties from Recycle Bin shortcut menu

    권장 설정: 사용(Enabled)

    이 정책은 휴지통 바로가기 메뉴에서 Properties 옵션을 제거합니다. 바로가기 메뉴가 비활성화되어 있지 않고 사용자가 휴지통 설정을 쉽게 확인 또는 변경하지 못하게 하려면 이 정책을 사용하는 것이 좋습니다.

  • Hide My Network Places icon on desktop

    권장 설정: 사용(Enabled)

    네트워크에서 응용 프로그램을 쉽게 검색할 수 없게 하려면 이 정책을 사용하는 것이 좋습니다. 이 설정은 바탕화면 아이콘에만 영향을 줍니다. 사용자는 다른 방법을 사용하여 네트워크에 연결하거나 네트워크 상의 공유 컴퓨터를 검색할 수 있습니다.

  • Hide Internet Explorer Icon on the desktop

    이 정책을 사용하여 바탕화면에서 Internet Explorer 아이콘을 제거합니다. 이 설정을 사용하더라도 사용자는 다른 방법을 사용하여 Internet Explorer를 시작할 수 있습니다.

  • Prohibit user from changing My Documents path

    권장 설정: 사용(Enabled)

    이 정책을 사용하여 내 문서의 위치를 지정된 위치로 제한합니다. 응용 프로그램을 검색할 수 없게 하려면 이 정책을 사용하는 것이 좋습니다.

  • Hide and disable all items on the desktop

    이 정책을 사용하여 바탕화면에서 서류 가방, 휴지통, 내 컴퓨터 및 내 네트워크 환경 등을 비롯한 아이콘, 바로가기, 기타 기본 및 사용자 정의 항목을 제거합니다. 아이콘과 바로가기를 제거하더라도 사용자는 다른 방법을 사용하여 프로그램을 시작하거나 표시하는 항목을 열 수 있습니다. 사용자는 일반 파일 대화 상자 또는 Windows 탐색기를 사용하여 바탕화면에 있는 항목들을 저장하고 열 수 있습니다. 그러나 바탕화면에는 항목이 표시되지 않습니다.

  • Remove My Documents icon on the desktop

    이 정책을 사용하여 만들어진 내 문서 아이콘을 대부분 제거합니다. 다른 방법을 사용하여 내 문서 폴더의 내용에 액세스할 수 있습니다.

  • Remove My Computer icon on the desktop

    권장 설정: 사용(Enabled)

    이 정책을 사용하여 바탕화면과 새 시작 메뉴에서 내 컴퓨터를 숨깁니다. 또한 모든 Explorer 창의 웹 보기에서 내 컴퓨터로 연결되는 링크를 숨기고, Explorer 폴더 트리 창에서 내 컴퓨터를 숨깁니다. 이 설정이 활성화되어 있는 동안 Up 아이콘을 사용해 사용자가 내 컴퓨터를 탐색하면, 비어 있는 내 컴퓨터 폴더를 확인할 수 있습니다. 사용자에게 더욱 간편한 바탕화면 환경을 제공하고, 아이콘을 마우스 오른쪽 단추로 누르는 동작을 더 이상 지원하지 않음으로써 컴퓨터 관리 및 시스템 속성에 쉽게 액세스할 수 없게 하려면 이 정책을 사용하는 것이 좋습니다.

    참고:    내 컴퓨터와 이 폴더의 내용을 숨기더라도, 내 컴퓨터의 하위 폴더에 포함된 내용은 숨겨지지 않습니다. 예를 들어, 사용자가 하드 드라이브 중 하나로 이동하면 이 설정이 활성화되어 있더라도 여기 포함된 모든 폴더와 파일을 볼 수 있습니다.

[User Configuration\Administrative Templates\Control Panel]

  • Prohibit access to the Control Panel

    권장 설정: 사용(Enabled)

    이 정책은 제어판에 액세스할 수 없도록 하며, 모든 제어판 프로그램을 비활성화합니다. 또한 제어판의 프로그램 파일인 Control.exe를 시작할 수 없도록 합니다. 사용자가 터미널 서버에 대한 구성 정보를 볼 수 없도록 하려면 이 설정을 사용하는 것이 좋습니다.

[User Configuration\Administrative Templates\Control Panel\Add or Remove Programs]

  • Remove Add or Remove Programs

    권장 설정: 사용(Enabled)

    이 정책은 제어판에서 프로그램 추가/제거를 제거하고, 메뉴에서 프로그램 추가/제거 항목을 제거합니다. 제어판에 대한 액세스가 금지되어 있는 경우 이 정책을 사용해 내 컴퓨터와 같은 위치에서 프로그램 추가/제거로 연결되는 링크를 제거할 수 있습니다. 링크를 누르면 액세스 거부 메시지가 표시됩니다. 이 설정을 사용하더라도 사용자는 다른 툴과 방법을 사용하여 프로그램을 설치 및 제거할 수 있습니다. 사용자가 터미널 서버 구성 정보를 볼 수 없게 하려면 이 정책을 사용하는 것이 좋습니다.

[User Configuration\Administrative Templates\Control Panel\Printers]

  • Prevent addition of printers

    권장 설정: 사용(Enabled)

    이 정책은 사용자가 익숙한 방법으로 로컬 및 네트워크 프린터를 추가할 수 없도록 합니다. 사용자가 네트워크를 검색하거나 프린터에 대한 액티브 디렉터리를 검색할 수 없도록 하려면 이 정책을 사용하는 것이 좋습니다. 이 정책을 사용하더라도 터미널 서버의 리디렉션 프린터를 자동 생성하거나 다른 프로그램을 실행하여 프린터를 추가할 수 있습니다.

[User Configuration\Administrative Templates\System]

  • Prevent access to the command prompt

    권장 설정: 사용(Enabled) - "Disable the command prompt script processing also"를 No로 설정

    이 정책은 사용자가 Cmd.exe라는 대화식 명령 프롬프트를 실행할 수 없도록 합니다. 사용자는 명령 프롬프트로부터 응용 프로그램을 시작할 수 있습니다. 또한 이 설정에 따라 배치 파일(.cmd와 .bat)이 컴퓨터에서 실행 가능한지 여부가 결정됩니다.

    참고:    컴퓨터가 터미널 서버에서 배치 파일을 실행할 수 없게 하지 마십시오. 이 정책을 사용하는 경우에도, Command.com(16비트 명령 인터프리터)에 액세스할 수 있습니다. Command.com을 비활성화하려면 NTFS 권한으로 액세스를 제한하거나 "Prevent access to 16-bit application" 정책으로 모든 16비트 응용 프로그램을 비활성화할 수 있습니다.

    사용자가 Windows 탐색기 대신 명령 프롬프트를 쉘(shell)로 사용함으로써, 다른 정책을 우회하는 것을 막으려면, "Prevent access to the command prompt" 정책을 사용하는 것이 좋습니다.

  • Prevent access to registry editing tools

    권장 설정: 사용(Enabled)

    이 정책은 사용자가 Regedit.exe를 비활성화시켜 레지스트리 설정을 변경하는 것을 제한하게 됩니다. 사용자가 명령 프롬프트에 대한 쉘을 변경하거나 몇몇 다른 정책을 우회할 수 없도록 하려면 이 정책을 사용하는 것이 좋습니다. 이 정책을 사용하더라도 다른 응용 프로그램을 사용하여 레지스트리를 편집할 수 있습니다.

  • Run only allowed Windows applications

    권장 설정: 사용(Enabled) - 허용된 응용 프로그램 목록 정의

    사용자가 허용된 응용 프로그램 목록에 추가된 프로그램만 실행할 수 있도록 제한하려면, 이 정책을 사용하는 것이 좋습니다. 이 설정을 사용하더라도 시스템 프로세스로 시작할 수 있는 작업 관리자와 같은 프로그램을 실행할 수 있습니다. 또한 사용자가 Cmd.exe라는 명령 프롬프트에 액세스하는 경우 이 설정을 사용하더라도 Windows 탐색기로 시작하도록 허용되지 않은 명령 창에서 프로그램을 시작할 수 있습니다.

[User Configuration\Administrative Templates\System\CTRL+ALT+DEL Options]

  • Remove Task Manager

    권장 설정: 사용(Enabled)

    이 정책은 사용자가 작업 관리자를 시작할 수 없도록 합니다. 사용자가 작업 관리자를 사용하여 프로그램을 시작 및 정지하고, 터미널 서버의 성능을 모니터하며, 응용 프로그램의 실행 파일 이름을 찾을 수 없도록 하려면 이 정책을 사용하는 것이 좋습니다.

  • Remove Lock Computer

    권장 설정: 사용(Enabled)

    이 정책은 사용자가 세션을 잠글 수 없도록 합니다. 사용자는 여전히 종료 및 로그오프할 수 있습니다. 데스크톱은 잠겨 있는 동안 사용할 수 없습니다. 시스템을 잠근 사용자나 시스템 관리자만 잠금을 해제할 수 있습니다.

[User Configuration\Administrative Templates\System\Scripts]

  • Run legacy logon scripts hidden

    권장 설정: 사용(Enabled)

    이 정책은 Windows NT 4.0 및 이전 버전용으로 작성된 로그온 스크립트의 지침을 숨깁니다. 사용자가 Windows NT 4.0 및 이전 버전용으로 작성된 로그온 스크립트를 보거나 중단할 수 없도록 하려면 이 정책을 사용하는 것이 좋습니다.

비 정책 설정 Back to Top

Internet Explorer Search Companion 비활성화

사용자는 도구 모음에서 검색을 누르거나 Internet Explorer에서 CTRL-E를 눌러 Internet Explorer Search Companion에 액세스할 수 있습니다. Internet Explorer Search Companion를 사용하면 파일 및 폴더를 검색할 수 있습니다. Internet Explorer Search Companion을 비활성화하는 정책은 없습니다. 이 작업은 수동으로 수행해야 합니다.

  1. 로컬 파티션에서 텍스트 파일을 만듭니다(c:\windows\nosearch.txt).
  2. 텍스트 파일의 내용으로 "Search is disabled"를 입력할 수 있습니다.
  3. 파일의 NTFS 권한을 "Everyone - Read and Execute"로 설정합니다.
  4. 그 다음, 다음 레지스트리 값을 수정합니다. 
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search

    “SearchAssistant” = REG_SZ: c:\windows\nosearch.txt

    “CustomizeSearch” = REG_SZ: c:\windows\nosearch.txt

사용자가 Search Companion을 열 때 텍스트 파일의 내용이 표시됩니다. 텍스트 파일 대신 하이퍼텍스트(Html) 파일을 사용할 수 있습니다.

새 시작 메뉴에서 프린터 및 팩스 제거

새 시작 메뉴는 프린터 및 팩스 폴더로 연결되는 링크를 제공합니다. 이 폴더에서 사용자는 인쇄 스풀러에 대한 서버 속성을 확인할 수 있습니다. 고급 탭에서 사용자는 스풀 폴더의 위치를 확인할 수 있습니다(편집 불가). 서버 속성 대화 상자에 쉽게 액세스할 수 없도록 하려면 다음 중 하나를 수행하십시오.

  1. "Turn on Classic Shell" 및 "Remove File menu from Windows Explorer" 정책을 사용합니다.
  2. 다음 레지스트리 값을 설정합니다.

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

    "Start_ShowPrinters" = REG_DWORD: 0x00000000

  3. "Prevent changes to Taskbar and Start Menu Settings" 정책을 사용합니다. (레지스트리 설정은 로그온 스크립트에 의해 적용할 수 있습니다(regedit /s hideprinters.reg 실행) 또는 사용자 정의 ADM 파일 사용)
  4. 시작 단추를 마우스 오른쪽 단추로 누르고, 속성 및 시작 메뉴 탭을 차례로 선택한 다음, 사용자 지정을 누릅니다.
  5. 고급 탭을 선택하고, 프린터 및 팩스 확인란의 선택을 취소한 다음, "Prevent changes to Taskbar and Start Menu Settings" 정책을 사용합니다. (시작 메뉴 바로가기 메뉴를 제거한 다음 제어판에 액세스할 수 없게 하는 것이 좋습니다.)

Windows 탐색기의 전체 경로 비활성화

기본적으로, Windows 탐색기의 현재 폴더의 전체 경로가 표시됩니다. 폴더 리디엑션(Folder Redirection)이 사용되고 사용자가 내 문서 폴더의 상위 경로로 이동하면 주소 표시줄에는 폴더의 전체 경로가 표시됩니다. 이것은 그룹 정책별로 설정될 수 없는 구성 가능한 폴더 옵션입니다. 전체 경로를 비활성화하려면 다음 중 하나를 수행하십시오.

  1. Windows 탐색기에서, 도구 모음의 도구를 누른 다음 폴더 옵션을 선택합니다.
  2. 보기 탭을 누른 다음 주소 표시줄에 전체 경로 표시(Display the full path in the address bar)및 제목 표시줄에 전체 경로 표시(Display the full path in the title bar) 확인란의 선택을 취소합니다.
  3. "Remove Folder Options menu item from Tools menu" 정책을 사용합니다.
  4. 다음 레지스트리 값을 설정합니다.

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState]

    “FullPathAddress” = REG_DWORD: 0x00000000

    “FullPath” = REG_DWORD: 0x00000000

레지스트리 설정은 로그온 스크립트(regedit \s addressbar.reg)나 사용자 정의 ADM 파일을 사용하여 적용할 수 있습니다.

Quick Launch 표시줄에서 Internet Explorer 및 Windows 탐색기 제거

기본적으로 Internet Explorer 및 Windows 탐색기로 연결되는 링크가 빠른 실행 표시줄에 추가됩니다. 다음 행을 추가하여 로그온 스크립트에서 이러한 링크를 제거할 수 있습니다.

del "%userprofile%\Application Data\Microsoft\Internet Explorer\Quick Launch\explorer.exe.lnk"
del "%userprofile%\Application Data\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk"

도움말 비활성화

F1을 누르면 여러 응용 프로그램에서 도움말 파일을 열 수 있습니다. 이러한 도움말 파일에는 사용자가 일반적인 경우에는 액세스하지 못할 기타 응용 프로그램과 웹 사이트로 연결되는 링크가 포함될 수 있습니다. Group Policy는 응용 프로그램의 도움말에 대한 액세스를 제한하기 위한 것이 아닙니다. .chm 및 .hlp 파일을 액세스하는 NTFS 권한을 제한해야 합니다. 대다수의 Windows 도움말 파일은 %SystemRoot%\Help 폴더(일반적으로 c:\windows\help)에 있습니다. 해당 폴더에 대한 액세스 제어 목록에서 사용자 그룹을 제거하십시오. 그런 다음 모든 하위 개체에 대한 권한 항목을 교체하는 옵션을 선택하십시오. 이렇게 하면 사용자가 도움말 파일을 열지 못하게 됩니다.

일반 파일 열기/저장 속성 대화 상자를 사용해 네트워크 검색

많은 응용 프로그램에서 일반 파일 열기/저장 대화 상자를 사용해 파일을 열거나 저장할 수 있습니다. 메모장과 같은 응용 프로그램에서 파일메뉴의 열기 또는 저장을 선택하면 이 대화 상자를 볼 수 있습니다. 경로 입력란에서, 사용자는 네트워크를 검색할 수 있습니다. 파일 열기/저장 대화 상자에서, 사용자는 \\localhost와 같은 UNC 경로를 입력한 다음 로컬 서버에 대한 공유를 검색할 수 있습니다. 사용자는 위쪽 화살표를 사용하여 상위 개체로 이동함으로써 도메인이나 네트워크를 검색할 수 있습니다. 사용자가 서버 및 공유 이름을 볼 수는 있지만, 여전히 공유 레벨 및 NTFS 레벨 권한의 제한을 받습니다. 사용자가 서버나 공유 이름을 볼 수 없게 하려면 다음 옵션을 사용할 수 있습니다.

  1. RestrictAnonymous 레지스트리 값을 공유 및 NTFS 권한과 함께 사용하여 액세스를 제한합니다. 자세한 내용은 http://go.microsoft.com/fwlink/?LinkId=18396에서 기술 자료 246261 "How to Use the RestrictAnonymous Registry Value in Windows 2000"을 참조하십시오.
  2. 공유 이름 끝에 추적을 위한 $를 추가하여 공유 이름을 숨깁니다. 자세한 내용은 http://go.microsoft.com/fwlink/?LinkId=18403에서 기술 자료 246261 "Share Names With a "$" Character at the End Are Hidden"을 참조하십시오.
  3. 도메인에서 브라우저에 알림을 보낼 수 없도록 컴퓨터를 구성합니다. 다음 레지스트리 값을 추가하거나 다음 명령을 실행하여 이를 수행할 수 있습니다.

    레지스트리:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters

    값 이름: hidden

    데이터 유형: REG_DWORD

    값 데이터: 1

    로그온 스크립트에 의해(regedit /s addressbar.reg 실행) 또는 사용자 정의 ADM 파일을 사용하여 레지스트리 설정을 적용할 수 있습니다.

    명령행:

    “net config server /hidden:yes”

자세한 내용은 http://go.microsoft.com/fwlink/?LinkId=18397에서 기술 자료 321710 "HOW TO: Hide a Windows 2000-Based Computer from the Browser List:를 참조하십시오.

추가 제한 사항 Back to Top

소프트웨어 제한 정책

소프트웨어 제한 정책은 Microsoft Windows 및 Windows Server 2003의 새로운 기능입니다. 이 중요한 기능은 관리자에게 도메인의 컴퓨터에서 실행되는 소프트웨어 프로그램을 식별하기 위한 정책 중심 메커니즘을 제공하며, 이러한 프로그램의 실행 능력을 제어합니다. 정책을 사용하여 악의적인 스크립트를 차단하고 컴퓨터를 잠그거나 원치 않는 응용 프로그램이 실행되지 않도록 할 수 있습니다.

소프트웨어 제한 정책에 대한 추가 정보는 "Using Software Restriction Policies to Protect Against Unauthorized Software" 백서(http://www.microsoft.com/korea/technet/prodtechnol/winxppro/maintain/rstrplcy.asp)와 기술 자료 324036 "HOW TO: Use Software Restriction Policies in Windows Server 2003"(http://go.microsoft.com/fwlink/?LinkId=18400)을 참조하십시오.

키오스크 모드의 Internet Explorer

관리자는 표준 Windows 탐색기 사용자 인터페이스를 키오스크 모드의 Internet Explorer로 바꿀 수 있습니다. Internet Explorer를 키오스크 모드로 실행하면 Internet Explorer 제목 표시줄, 메뉴, 도구 모음 및 상태 표시줄이 표시되지 않으며, Internet Explorer는 전체 화면 모드로 실행됩니다. 다음 정책을 설정하면 키오스크 모드의 Internet Explorer를 사용할 수 있습니다.

[User Configuration\Administrative Templates\System]

  • Custom user interface

    권장 설정: 사용(Enabled)

    인터페이스 파일 이름: "%ProgramFiles%\Internet Explorer\IExplore.exe" ?K

키오스크 모드의 Internet Explorer를 사용자 인터페이스로 사용하는 경우, 다음 섹션 하에서 Internet Explorer 제한 정책을 검토하고 사용할 것을 적극 권장합니다.

[Computer Configuration\Administrative Templates\Windows Components\Internet Explorer]

[User Configuration\Administrative Templates\Windows Components\Internet Explorer]

요약 Back to Top

Windows Server 2003은 풍부한 기능을 갖춘 플랫폼으로서, 광범위한 환경에 터미널 서버의 기능을 제공할 수 있습니다. 이러한 배치에는 다양한 등급의 제어 및 관리 용이성이 필요합니다. Active Directory를 사용하여 터미널 서버를 다양한 환경과 통합되도록 빠르고 쉽게 구성함으로써, 데스크톱 기능을 제어하고 응용 프로그램에 대한 액세스를 관리할 수 있습니다.

Related Links Back to Top

관련 링크

저작자표시

'Infrastructure' 카테고리의 다른 글

윈도우7 떨어져 있는 여러파일 마우스만으로 선택하기  (0) 2010.03.11
USB장치의 안전성과 성능을 높이는 방법  (0) 2010.03.11
보안 오류 때문에 클라이언트가 터미널 서버에 연결되지 못했습니다  (0) 2010.03.10
터미널 서비스가 안될때 확인 할 사항  (0) 2010.03.10
되던 터미널서비스가 접속이 되지 않을경우  (0) 2010.03.10

+ Recent posts

티스토리툴바