액티브 디렉터리 사용자 및 컴퓨터

사용자 계정 관리는 액티브 디렉터리 환경에서 가장 기본적이고 빈번하게 수행되는 관리 작업이다. 이 기능을 통해 관리자는 도메인 내 모든 사용자의 디지털 신원을 생성, 수정, 삭제하며, 각 계정에 다양한 속성과 권한을 부여할 수 있다. 사용자 계정은 단순한 로그인 자격 증명을 넘어, 이메일 주소, 전화번호, 부서 정보, 그룹 정책 적용 대상 등 사용자와 관련된 광범위한 정보를 저장하는 객체 역할을 한다.

관리자는 사용자 계정 관리를 통해 신규 입사자나 역할이 변경된 사용자를 위한 계정을 생성한다. 계정 생성 시 사용자 로그온 이름, 표시 이름, 초기 암호 등을 설정하며, 이후 필요에 따라 직함, 사무실 위치, 관리자 정보 등의 상세 속성을 추가할 수 있다. 또한 계정을 특정 조직 구성 단위(OU)에 배치하여 관리의 편의성을 높이고, 그룹 정책의 적용 범위를 세분화할 수 있다.

사용자 계정의 상태를 효율적으로 관리하는 것도 중요하다. 장기 휴직이나 퇴사와 같은 상황에서는 계정을 일시적으로 비활성화하거나 완전히 삭제하여 보안 위협을 방지해야 한다. 액티브 디렉터리 사용자 및 컴퓨터 콘솔에서는 이러한 작업을 직관적인 그래픽 인터페이스를 통해 수행할 수 있으며, 대량의 계정을 처리해야 할 경우 PowerShell 스크립트를 연동하여 자동화할 수도 있다.

액티브 디렉터리 사용자 및 컴퓨터 도구에서 컴퓨터 계정 관리는 도메인에 속한 물리적 또는 가상의 컴퓨터 시스템을 디렉터리 서비스에 등록하고 관리하는 핵심 기능이다. 컴퓨터 계정은 도메인 컨트롤러와의 상호 인증을 가능하게 하여 네트워크 리소스에 대한 안전한 접근을 보장한다. 이 계정 관리를 통해 시스템 관리자는 도메인 환경 내 모든 컴퓨터를 중앙에서 제어할 수 있다.

컴퓨터 계정 생성은 주로 새 컴퓨터를 도메인에 가입시킬 때 이루어진다. 관리자는 수동으로 새 컴퓨터 객체를 생성하거나, 컴퓨터 자체에서 도메인 가입 절차를 수행함으로써 계정이 자동 생성되도록 할 수 있다. 생성된 컴퓨터 계정에는 이름, DNS 호스트 이름, 위치, 담당자 정보와 같은 속성을 설정할 수 있으며, 이는 조직 구성 단위(OU)에 따라 논리적으로 그룹화된다.

컴퓨터 계정 관리는 그룹 정책 적용의 기초가 된다. 특정 조직 구성 단위(OU)에 배치된 컴퓨터 계정에는 해당 OU에 연결된 그룹 정책 객체(GPO)의 설정이 자동으로 적용되어, 운영체제 설정, 보안 정책, 소프트웨어 배포 등을 중앙 집중식으로 관리할 수 있다. 또한, 컴퓨터 계정을 보안 그룹에 추가함으로써 리소스에 대한 접근 권한을 부여받을 수 있다.

계정 수명 주기 관리도 중요한 부분이다. 사용되지 않는 컴퓨터 계정은 비활성화하거나 삭제하여 액티브 디렉터리 데이터베이스를 정리하고 보안 위험을 줄여야 한다. 또한, 컴퓨터 계정 암호는 정기적으로 자동 갱신되지만, 복제 문제나 네트워크 장애로 인해 암호 불일치가 발생할 경우 수동 재설정이 필요할 수 있다.

조직 구성 단위(OU) 관리는 액티브 디렉터리 사용자 및 컴퓨터 콘솔의 핵심 기능 중 하나로, 도메인 내의 사용자, 컴퓨터, 그룹 및 기타 객체를 논리적이고 계층적인 구조로 배치하고 관리하는 역할을 한다. OU는 디렉터리 서비스 내에서 관리와 정책 적용의 기본 단위로 사용되며, 주로 관리 위임과 그룹 정책의 효율적 배포를 위해 설계되었다.

OU 관리를 통해 관리자는 도메인 트리 내에 폴더와 유사한 컨테이너를 생성하여 객체들을 부서, 지리적 위치, 기능별로 그룹화할 수 있다. 예를 들어, '영업부', 'IT부서', '서울사무소'와 같은 OU를 만들어 관련 계정들을 한데 모을 수 있다. 이렇게 구조화된 OU 계층은 액티브 디렉터리의 관리 효율성을 크게 높이며, 복잡한 인프라에서도 명확한 관리 경계를 설정하는 데 필수적이다.

OU의 가장 중요한 활용도는 그룹 정책 객체(GPO)를 연결하는 것이다. 관리자는 특정 OU에 GPO를 연결함으로써 해당 OU 내의 모든 사용자와 컴퓨터에게 일관된 보안 설정, 소프트웨어 배포, 환경 설정 등을 자동으로 적용할 수 있다. 또한, OU 단위로 관리 권한을 위임할 수 있어, 중앙 관리자가 아닌 부서 담당자에게 해당 부서 OU 내 객체들의 제한된 관리 권한(예: 암호 재설정 권한)을 부여하는 세밀한 접근 제어가 가능해진다.

OU 설계는 액티브 디렉터리 구현의 초기 단계에서 신중하게 계획해야 할 사항이다. 일반적으로 조직의 행정 구조나 업무 기능을 반영하는 방식과 그룹 정책 요구사항에 기반한 방식 등이 혼합되어 사용된다. 잘 구성된 OU 구조는 장기적인 시스템 관리 비용을 절감하고 보안 정책의 효과적인 적용을 보장한다.

액티브 디렉터리 사용자 및 컴퓨터 콘솔은 그룹 정책 객체(GPO)를 조직 구성 단위나 도메인에 연결하는 기본적인 관리를 제공한다. 관리자는 콘솔 트리에서 대상 OU나 도메인을 마우스 오른쪽 버튼으로 클릭한 후 '속성'을 선택하여 '그룹 정책' 탭으로 이동할 수 있다. 이 탭에서는 기존 GPO의 연결 순서를 변경하거나, 새 GPO를 연결하거나, 기존 연결을 제거하는 작업을 수행한다. 또한 GPO의 설정을 편집하기 위해 별도의 그룹 정책 관리 편집기를 실행할 수 있는 옵션도 제공된다.

그룹 정책 관리는 주로 계층 구조를 통해 이루어진다. GPO는 사이트, 도메인, 조직 구성 단위에 연결될 수 있으며, 액티브 디렉터리 사용자 및 컴퓨터에서는 도메인과 OU 수준의 관리에 초점을 맞춘다. 상위 수준에서 적용된 정책은 하위 OU로 상속되지만, 필요에 따라 상속을 차단하거나 정책 적용을 강제할 수 있는 옵션이 존재한다. 이 콘솔을 통해 관리자는 특정 OU에 포함된 사용자와 컴퓨터에게만 적용되는 세분화된 정책을 구성할 수 있다.

이 도구에서 수행하는 GPO 연결 작업은 실제 정책 설정 내용을 정의하지는 않는다. 정책의 상세 설정은 별도의 그룹 정책 관리 편집기에서 구성하며, 여기서는 레지스트리 설정, 보안 정책, 소프트웨어 설치, 스크립트 등 광범위한 컴퓨터 및 사용자 환경을 제어할 수 있다. 액티브 디렉터리 사용자 및 컴퓨터는 이러한 정책 객체를 디렉터리 구조에 배치하고 연결하는 출발점 역할을 한다.

보다 복잡한 그룹 정책 관리, 예를 들어 GPO 생성, 백업, 복원, 보고서 생성, WMI 필터 설정 등은 전용 그룹 정책 관리 콘솔(GPMC)을 사용하는 것이 일반적이다. 그러나 기본적인 연결 작업과 빠른 편집을 위해서는 액티브 디렉터리 사용자 및 컴퓨터 콘솔 내의 그룹 정책 관리 기능이 편리하게 활용된다.

보안 주체 관리 기능은 액티브 디렉터리 도메인 내에서 인증과 권한 부여의 기본 단위가 되는 객체들을 관리하는 역할을 한다. 이 기능은 사용자 계정, 컴퓨터 계정, 보안 그룹과 같은 다양한 유형의 보안 주체를 생성, 구성 및 모니터링하는 데 중점을 둔다. 각 보안 주체는 도메인 내에서 고유한 보안 식별자(SID)를 가지며, 이 SID는 리소스에 대한 접근 권한을 결정하는 액세스 제어 목록(ACL)에서 핵심적인 역할을 한다.

관리자는 이 기능을 통해 보안 그룹의 멤버십을 효율적으로 관리할 수 있다. 유니버설 그룹, 글로벌 그룹, 도메인 로컬 그룹 등 그룹의 범위와 유형에 따라 적절한 그룹을 생성하고, 사용자나 컴퓨터를 그룹에 추가함으로써 권한을 일괄적으로 할당한다. 또한, 보안 주체의 계정 속성, 예를 들어 암호 정책, 계정 만료 날짜, 로그온 시간 제한 등을 설정하여 보안 정책을 적용한다.

이 관리 기능은 위임된 관리 모델과도 깊이 연관되어 있다. 특정 조직 구성 단위(OU)나 객체 집합에 대한 관리 권한을 다른 사용자나 그룹에 위임할 수 있으며, 이 과정에서 보안 주체의 권한이 명확히 정의된다. 또한, 그룹 정책을 통해 보안 주체의 동작과 설정을 중앙에서 제어할 수 있어, 일관된 보안 기준을 유지하는 데 기여한다.

액티브 디렉터리 사용자 및 컴퓨터의 사용자 인터페이스는 마이크로소프트 관리 콘솔 기반으로 구성되어 있으며, 그 핵심 구성 요소 중 하나가 콘솔 트리이다. 콘솔 트리는 좌측 창에 위치하여 액티브 디렉터리 도메인 내의 객체 계층 구조를 트리 형태로 시각적으로 표시한다. 이 트리 구조는 관리자가 도메인, 조직 구성 단위, 컨테이너, 사용자, 컴퓨터, 그룹 등의 객체를 쉽게 탐색하고 접근할 수 있도록 돕는다.

콘솔 트리의 최상위 노드는 연결된 도메인 자체를 나타내며, 이를 확장하면 기본적으로 'Builtin', 'Computers', 'Domain Controllers', 'ForeignSecurityPrincipals', 'Managed Service Accounts', 'Users'와 같은 기본 컨테이너와 관리자가 생성한 조직 구성 단위들이 표시된다. 이 구조는 도메인 네임 시스템의 논리적 구조를 반영하며, 관리 작업의 범위를 정의하는 데 중요한 역할을 한다.

관리자는 콘솔 트리에서 특정 조직 구성 단위나 컨테이너를 선택하면, 우측의 세부 정보 창에 해당 컨테이너에 포함된 모든 객체 목록이 표시된다. 또한, 트리 내의 객체를 마우스 오른쪽 버튼으로 클릭하면 해당 객체에 적용 가능한 모든 관리 작업(예: 새로 만들기, 삭제, 속성, 위임)을 포함한 상황에 맞는 메뉴가 나타난다. 이 콘솔 트리를 통해 관리자는 복잡한 디렉터리 서비스 구조를 직관적으로 이해하고 효율적으로 관리할 수 있다.

세부 정보 창은 액티브 디렉터리 사용자 및 컴퓨터 콘솔의 주요 작업 영역이다. 콘솔 트리에서 선택한 컨테이너나 객체의 내용을 표시하는 역할을 한다. 예를 들어, 특정 조직 구성 단위를 선택하면 그 안에 포함된 모든 사용자 계정, 컴퓨터 계정, 그룹, 하위 조직 구성 단위 등의 목록을 보여준다.

이 창은 기본적으로 목록 보기 형식으로 정보를 제공하며, 관리자는 열 머리글을 클릭하여 항목을 정렬하거나, 보기 메뉴를 통해 표시할 열을 추가 및 제거할 수 있다. 또한 객체를 더블클릭하거나 마우스 오른쪽 버튼으로 클릭하여 속성 대화 상자를 열어 상세한 설정을 확인하고 변경할 수 있다. 이는 사용자 계정의 전화번호나 부서 정보를 수정하거나, 컴퓨터 계정의 설명을 추가하는 등의 일상적인 관리 작업에 필수적이다.

세부 정보 창의 또 다른 중요한 기능은 고급 검색 결과를 표시하는 것이다. 관리자가 특정 조건에 맞는 사용자 계정이나 컴퓨터 계정을 검색하면, 그 결과가 이 창에 목록으로 나타난다. 이를 통해 대규모 도메인 환경에서도 효율적으로 객체를 찾고 일괄 작업을 수행할 수 있다.

이 창의 인터페이스는 직관적이어서, 관리자는 콘솔 트리에서 탐색한 후 세부 정보 창에서 실제 객체를 확인하고 관리 작업을 실행하는 일반적인 흐름으로 도구를 사용한다. 따라서 액티브 디렉터리 관리의 효율성은 세부 정보 창을 통해 정보를 얼마나 빠르게 파악하고 조작할 수 있는지에 크게 의존한다고 볼 수 있다.

작업 메뉴는 액티브 디렉터리 사용자 및 컴퓨터 콘솔의 핵심적인 명령 인터페이스이다. 이 메뉴는 콘솔 트리나 세부 정보 창에서 선택한 개체의 유형에 따라 동적으로 변경되며, 해당 개체에 대해 수행할 수 있는 모든 관리 작업을 제공한다. 관리자는 이 메뉴를 통해 사용자 계정 생성, 컴퓨터 계정 관리, 조직 구성 단위 설정, 그룹 정책 연결 등 다양한 작업을 직관적으로 실행할 수 있다.

메뉴의 주요 항목으로는 '새로 만들기', '모든 작업', '보기', '도움말' 등이 있다. '새로 만들기' 하위 메뉴에서는 선택한 컨테이너(도메인 또는 조직 구성 단위) 내에 새로운 사용자, 컴퓨터, 그룹, 조직 구성 단위 등을 생성할 수 있다. '모든 작업'은 선택한 특정 개체(예: 사용자 계정)에 적용 가능한 모든 작업, 예를 들어 비밀번호 재설정, 계정 이동, 속성 편집, 계정 비활성화 등을 집중적으로 보여준다.

작업 메뉴는 마우스 오른쪽 버튼을 클릭했을 때 나타나는 상황에 맞는 메뉴(컨텍스트 메뉴)와 그 내용이 동일하다. 이는 관리자가 원하는 개체를 마우스 오른쪽 버튼으로 클릭하는 것만으로도 빠르게 작업 메뉴에 접근할 수 있도록 하여 작업 효율성을 높인다. 또한, 메뉴에 표시되는 명령은 현재 로그인한 관리자 계정의 권한에 따라 달라질 수 있으며, 권한이 없는 작업은 회색으로 비활성화되어 표시된다.

이 메뉴를 통해 수행되는 작업들은 대부분 액티브 디렉터리 데이터베이스에 직접 변경을 가하므로, 관리자는 작업 실행 전에 신중을 기해야 한다. 특히 계정 삭제나 조직 구성 단위 이동과 같은 작업은 신속한 롤백이 어려울 수 있다.

사용자 생성 및 속성 설정은 액티브 디렉터리 사용자 및 컴퓨터 콘솔에서 가장 빈번하게 수행되는 관리 작업 중 하나이다. 관리자는 콘솔 트리에서 적절한 조직 구성 단위(OU)나 컨테이너를 선택한 후, 작업 메뉴나 마우스 오른쪽 버튼 클릭을 통해 '새로 만들기' > '사용자'를 선택하여 새 사용자 계정을 만들 수 있다. 마법사가 실행되면 관리자는 사용자의 이름, 성, 로그온 이름, 초기 암호 및 암호 정책(예: 다음 로그온 시 암호 변경 요구)을 설정하게 된다.

생성된 사용자 계정은 더블 클릭하거나 속성 메뉴를 통해 다양한 속성을 상세히 구성할 수 있다. 주요 설정 탭으로는 '계정', '프로필', '회원', '전화 번호' 등이 있다. '계정' 탭에서는 로그온 시간 제한, 로그온 가능한 워크스테이션, 계정 만료 날짜, 계정 옵션(예: 스마트 카드 필요, 암호 변경 불가) 등을 관리한다. '프로필' 탭에서는 사용자의 홈 폴더 경로와 로그온 스크립트, 프로필 경로를 지정할 수 있다.

'회원' 탭에서는 해당 사용자를 하나 이상의 보안 그룹이나 배포 그룹에 추가하여 권한과 리소스 접근을 효율적으로 관리한다. '전화 번호'나 '조직' 탭과 같은 다른 탭들을 통해 이메일 주소, 직위, 부서, 관리자 정보와 같은 추가적인 식별 및 연락처 정보를 입력할 수 있다. 이러한 속성들은 LDAP 쿼리를 통한 사용자 검색이나 그룹 정책을 통한 조건부 설정 적용 시 중요한 기준으로 활용된다.

사용자 계정을 대량으로 생성하거나 복잡한 속성을 설정해야 할 경우, CSVDE나 LDIFDE와 같은 명령줄 도구를 사용하거나, PowerShell의 Active Directory 모듈(예: New-ADUser cmdlet)을 활용하여 자동화할 수 있다. 이는 반복적인 작업의 효율성을 크게 높여준다.

액티브 디렉터리 사용자 및 컴퓨터 콘솔에서 컴퓨터를 추가하는 것은 새로운 컴퓨터 계정을 도메인에 생성하는 과정이다. 이 작업은 주로 새로운 물리적 또는 가상 워크스테이션이나 서버가 조직의 네트워크에 도입될 때 수행된다. 관리자는 콘솔 트리에서 적절한 조직 구성 단위(OU)를 선택한 후, '새로 만들기' 작업 메뉴에서 '컴퓨터'를 선택하여 마법사를 시작한다. 마법사에서는 컴퓨터의 NetBIOS 이름을 지정하고, 해당 컴퓨터를 도메인에 가입시킬 권한을 가진 사용자 또는 그룹을 선택할 수 있다.

생성된 컴퓨터 계정은 실제 해당 하드웨어가 도메인에 가입되기 전까지는 일종의 자리 표시자 역할을 한다. 실제 컴퓨터를 도메인에 가입시키는 작업은 해당 컴퓨터의 운영 체제 설정 내에서 수행된다. Windows 시스템의 경우, '시스템 속성'의 '컴퓨터 이름' 탭에서 '변경'을 클릭하여 도메인 이름을 입력하고, 미리 생성된 컴퓨터 계정에 대한 인증 정보를 제공하면 된다. 이 과정에서 도메인 컨트롤러는 미리 생성된 계정 이름과 가입 요청을 한 컴퓨터 이름이 일치하는지 확인하고, 인증이 성공하면 컴퓨터를 도메인에 등록한다.

컴퓨터가 성공적으로 도메인에 가입되면, 해당 컴퓨터 계정은 액티브 디렉터리 보안 주체로서 기능하게 된다. 이 컴퓨터는 이제 도메인 기반 인증을 받을 수 있으며, 할당된 그룹 정책 설정을 적용받고, 도메인 내의 공유 리소스에 접근할 수 있는 권한을 부여받을 수 있다. 관리자는 컴퓨터 계정의 속성에서 설명 정보를 추가하거나, 관리자를 지정하거나, 해당 컴퓨터가 속한 보안 그룹을 변경하는 등의 관리를 수행할 수 있다.

컴퓨터 계정 관리는 자산 관리와 보안의 기초가 된다. 올바른 OU에 컴퓨터를 배치하면 부서나 지점, 역할별로 세분화된 그룹 정책 객체(GPO)를 적용하는 데 유리하다. 또한, 더 이상 사용되지 않거나 퇴역한 컴퓨터의 계정을 비활성화하거나 삭제하는 것은 불필요한 보안 위협 표면을 줄이는 중요한 관리 작업이다.

조직 구성 단위(OU)는 액티브 디렉터리 내에서 사용자, 컴퓨터, 그룹 및 기타 객체를 논리적으로 그룹화하고 관리하기 위한 컨테이너이다. OU를 생성하고 구조화하는 작업은 관리 효율성과 그룹 정책의 효과적인 적용을 위한 핵심 단계이다. 관리자는 액티브 디렉터리 사용자 및 컴퓨터 콘솔에서 도메인 또는 기존 OU를 마우스 오른쪽 버튼으로 클릭하여 새 OU를 만들고 이름을 지정할 수 있다.

OU 구조는 일반적으로 회사의 지리적 위치, 부서 구조, 기능적 역할 또는 관리 책임 범위를 반영하여 설계된다. 예를 들어, "본사", "영업부", "IT부서"와 같은 상위 OU 아래에 "사용자"와 "컴퓨터" OU를 별도로 생성하거나, "지사_서울" OU 내에 "관리자"와 "일반사용자" OU를 구성할 수 있다. 이러한 논리적 계층 구조는 관리 작업을 특정 OU에 위임하거나, 해당 OU에 연결된 그룹 정책 객체(GPO)를 통해 그 안에 포함된 모든 객체에 일관된 설정을 적용하는 데 필수적이다.

OU 구조 설계 시 고려해야 할 주요 원칙은 관리 편의성과 그룹 정책 적용의 용이성이다. 지나치게 복잡하거나 깊은 OU 계층 구조는 정책 상속을 복잡하게 만들고 관리 부담을 증가시킬 수 있다. 또한, OU는 보안 경계가 아니므로, 보안 목적으로는 도메인이나 포리스트를 분리하거나 보안 그룹을 활용해야 한다. 적절히 구조화된 OU는 액티브 디렉터리 관리의 기초를 형성하여, 계정 관리, 정책 배포, 리소스 보안 유지 등 일상적인 작업을 체계적으로 수행할 수 있게 한다.

그룹 정책 객체(GPO) 연결은 조직 구성 단위나 도메인에 그룹 정책 설정을 적용하는 과정이다. 이 작업을 통해 관리자는 특정 사용자나 컴퓨터 집합에 대해 일관된 보안 설정, 소프트웨어 배포, 데스크톱 환경 등을 중앙에서 정의하고 강제할 수 있다. 그룹 정책 관리 콘솔을 사용하여 GPO를 생성 및 편집한 후, 원하는 조직 구성 단위나 도메인에 연결함으로써 정책이 적용될 범위를 지정한다.

GPO 연결 시 고려해야 할 주요 사항은 다음과 같다.

GPO 연결 후에는 정책이 의도한 대로 적용되고 있는지 확인하는 것이 중요하다. 그룹 정책 결과 또는 그룹 정책 모델링 도구를 사용하여 시뮬레이션하거나 실제 적용 결과를 보고 문제를 해결할 수 있다. 또한, 불필요한 GPO 연결은 성능 저하를 초래할 수 있으므로 정기적인 검토와 정리가 필요하다.

계정 비활성화는 사용자 계정이나 컴퓨터 계정을 일시적으로 사용할 수 없도록 설정하는 작업이다. 이는 직원의 휴직, 장기 출장, 또는 컴퓨터의 일시적 교체 시나리오에서 유용하다. 비활성화된 계정은 도메인에 존재하지만 로그인이나 리소스 접근이 불가능하며, 나중에 필요 시 쉽게 다시 활성화할 수 있다. 이는 계정과 연결된 모든 속성, 그룹 멤버십, 권한 설정을 보존하면서 접근만 차단하는 방식이다.

계정 삭제는 해당 계정을 액티브 디렉터리 데이터베이스에서 완전히 제거하는 영구적인 작업이다. 삭제된 계정은 복구할 수 없으며, 해당 계정에 할당된 고유한 보안 식별자(SID)도 함께 제거된다. 이는 퇴사한 직원의 계정이나 폐기된 컴퓨터의 계정을 처리할 때 수행된다. 삭제하기 전에 해당 계정이 소유한 파일이나 리소스에 대한 접근 권한이 다른 계정으로 이전되었는지 확인하는 것이 중요하다.

관리자는 액티브 디렉터리 사용자 및 컴퓨터 콘솔에서 계정을 마우스 오른쪽 버튼으로 클릭하여 컨텍스트 메뉴에서 '계정 사용 안 함' 또는 '삭제' 작업을 선택할 수 있다. 대량 작업이나 자동화된 스크립트를 위해서는 PowerShell의 Disable-ADAccount 및 Remove-ADObject 같은 cmdlet을 사용하는 것이 일반적이다. 또한 그룹 정책을 통해 일정 기간 비활성화된 계정을 자동으로 삭제하도록 정책을 구성할 수도 있다.

계정 관리 정책을 수립할 때는 비활성화와 삭제의 절차와 기준을 명확히 해야 한다. 예를 들어, 퇴사자의 계정은 즉시 비활성화한 후, 일정 유예 기간(예: 30일) 후에 삭제하도록 규칙을 정할 수 있다. 이는 데이터 손실을 방지하고 보안 위협을 줄이는 데 도움이 된다. 모든 계정 변경 작업은 감사 로그에 기록되어 관리 책임을 추적할 수 있도록 해야 한다.

액티브 디렉터리 스키마는 디렉터리 내에 저장될 수 있는 모든 객체 유형(클래스)과 각 객체가 가질 수 있는 속성(어트리뷰트)을 정의하는 청사진이다. 기본적으로 설치된 스키마는 사용자, 컴퓨터, 그룹과 같은 표준 객체와 속성을 포함하지만, 조직의 특정 요구사항에 맞게 이를 확장할 수 있다. 스키마 확장은 새로운 어플리케이션이 디렉터리에 맞춤형 정보를 저장하거나, 기존 객체 클래스에 추가 속성을 부여할 때 수행된다.

스키마 확장 작업은 주로 마이크로소프트의 Active Directory Lightweight Directory Services와 같은 디렉터리 서비스를 활용하는 엔터프라이즈 소프트웨어 배포 시 필요하다. 예를 들어, 새로운 인사 관리 시스템이 직원 객체에 "혈액형"이나 "비상 연락처"와 같은 표준에 없는 속성을 추가해야 할 경우 스키마를 확장한다. 확장은 Active Directory 스키마 스냅인 콘솔을 사용하거나 명령줄 도구를 통해 수행할 수 있으며, 변경 사항은 포리스트 전체에 복제된다.

스키마 확장은 되돌릴 수 없는 작업이므로 신중하게 계획하고 테스트해야 한다. 변경을 수행하기 위해서는 스키마 관리자 권한이 있는 계정이 필요하며, 확장 작업은 일반적으로 포리스트 기능 수준과 호환성을 고려하여 진행된다. 잘못된 스키마 수정은 디렉터리 서비스의 안정성에 영향을 미칠 수 있으므로, 변경 전 백업을 수행하고 스테이징 환경에서 충분히 검증하는 것이 필수적이다.

위임된 관리는 액티브 디렉터리 관리자가 특정 조직 구성 단위 또는 개별 객체에 대한 관리 권한을 다른 사용자나 보안 그룹에게 부여하는 기능이다. 이를 통해 중앙 집중식 관리 부담을 분산시키고, 부서별 관리자가 자신의 담당 영역 내에서 사용자나 컴퓨터를 관리할 수 있도록 한다. 예를 들어, 인사부 관리자에게는 부서 내 사용자 계정 생성 권한만을, IT 지원팀에게는 특정 OU 내 컴퓨터 계정 재설정 권한만을 위임할 수 있다.

위임은 '액티브 디렉터리 사용자 및 컴퓨터' 콘솔 내의 '위임 마법사'를 통해 수행된다. 관리자는 마법사를 실행하여 권한을 부여할 객체(예: 특정 OU)를 선택한 후, 권한을 받을 사용자나 그룹을 지정한다. 다음으로, 위임할 정확한 작업을 선택하는데, 이는 '사용자, 그룹 및 컴퓨터 생성/삭제 관리', '암호 재설정', '특정 속성 읽기/쓰기' 등 세부적인 수준으로 구성된다. 이 과정에서 실제로는 객체의 액세스 제어 목록에 허용 권한 항목이 추가된다.

이러한 세분화된 권한 위임은 보안과 운영 효율성 측면에서 중요하다. 최소 권한의 원칙을 준수하여 관리자에게 필요한 최소한의 권한만 부여함으로써 보안 위험을 줄인다. 또한, 도메인 관리자나 엔터프라이즈 관리자와 같은 고급 권한을 광범위하게 공유할 필요가 없어지므로 계정 보안이 강화된다. 부서 수준에서 일상적인 관리 작업이 가능해져 전체적인 IT 관리 효율성이 향상된다는 장점도 있다.

액티브 디렉터리 사용자 및 컴퓨터 콘솔은 대규모 디렉터리 환경에서 특정 객체를 효율적으로 찾기 위한 강력한 검색 및 필터링 기능을 제공한다. 관리자는 객체의 다양한 속성, 예를 들어 사용자 이름, 성명, 부서, 설명 등을 기준으로 검색을 수행할 수 있으며, 와일드카드 문자를 활용한 부분 일치 검색도 가능하다. 이는 특정 정보만 알고 있을 때 정확한 계정을 신속하게 찾아 관리 작업을 수행하는 데 필수적이다.

보다 정교한 검색을 위해 고급 검색 기능을 사용할 수 있다. 이 기능은 LDAP 쿼리 기반의 검색 필터를 구성하여, 여러 속성 조건을 조합하거나 특정 조직 구성 단위 내에서만 검색 범위를 제한하는 등의 세밀한 검색이 가능하게 한다. 예를 들어, 특정 도시에 위치하거나 특정 직책을 가진 사용자 계정만을 필터링하여 조회할 수 있다.

검색 결과는 세부 정보 창에 목록 형태로 표시되며, 여기서 직접 객체의 속성을 수정하거나 다른 관리 작업을 수행할 수 있다. 자주 사용하는 검색 조건은 사용자 지정 검색으로 저장하여 나중에 재사용할 수 있어 관리 효율성을 높인다. 이러한 검색 및 필터링 기능은 그룹 정책 적용 대상을 확인하거나, 보안 감사 시 특정 계정을 추적하는 등 다양한 관리 시나리오에서 핵심적인 역할을 한다.

액티브 디렉터리 사용자 및 컴퓨터 콘솔은 그래픽 사용자 인터페이스를 제공하지만, 많은 관리 작업은 명령줄 도구를 통해 자동화하거나 스크립트로 처리할 수 있다. 윈도우 서버의 핵심 명령줄 도구인 DS 명령어 세트는 액티브 디렉터리 객체를 생성, 수정, 삭제 및 조회하는 기능을 제공한다. 예를 들어, dsadd 명령어로 새 사용자 계정이나 컴퓨터 계정을 추가하고, dsmod로 기존 객체의 속성을 변경하며, dsquery로 디렉터리 내 객체를 검색할 수 있다.

이러한 명령줄 도구는 배치 파일 작성과 결합되어 대량의 사용자나 컴퓨터를 일괄 생성하거나 속성을 업데이트하는 데 유용하게 사용된다. 또한 윈도우 파워셸의 Active Directory 모듈은 보다 강력하고 현대적인 스크립팅 환경을 제공한다. Get-ADUser, New-ADComputer, Set-ADOrganizationalUnit 같은 파워셸 cmdlet을 이용하면 객체 관리 작업을 더욱 유연하게 자동화할 수 있다.

명령줄 도구와의 연동은 특히 그룹 정책을 통한 설정 배포와 함께 사용될 때 시너지 효과를 낸다. 로그온 스크립트에 dsquery나 파워셸 명령을 포함시켜 사용자 환경을 동적으로 구성하거나, 정기적인 유지 관리 작업을 작업 스케줄러에 등록하여 실행할 수 있다. 이는 반복적이고 표준화된 관리 업무의 효율성을 크게 높여준다.

따라서 액티브 디렉터리 사용자 및 컴퓨터의 고급 관리는 GUI 콘솔과 명령줄 도구를 상황에 맞게 조합하여 사용하는 것이 일반적이다. 이는 대규모 IT 인프라 환경에서 필수적인 관리 패러다임으로 자리 잡고 있다.

액세스 제어 목록은 액티브 디렉터리 내의 객체에 대한 접근 권한을 정의하는 보안 메커니즘이다. 각 객체에는 보안 주체가 해당 객체에 대해 수행할 수 있는 작업을 지정하는 ACL이 첨부되어 있다. 이는 사용자, 컴퓨터, 그룹, 조직 구성 단위와 같은 디렉터리 객체의 보안을 세밀하게 제어하는 데 사용된다. ACL은 객체의 보안 설명자에 포함되어 있으며, 허용 또는 거부되는 특정 권한을 나열한다.

ACL은 주로 액세스 제어 항목으로 구성된다. 각 ACE는 특정 보안 주체(사용자 또는 그룹)와 해당 주체에게 부여되거나 거부되는 권한 집합을 정의한다. 권한에는 객체 속성 읽기, 쓰기, 삭제, 자식 객체 생성 등이 포함된다. ACE는 상속을 통해 부모 컨테이너에서 자식 객체로 권한을 전파할 수 있어, 관리 효율성을 높인다. 이 상속 메커니즘을 통해 관리자는 조직 구성 단위 수준에서 권한을 한 번 설정하면 하위의 모든 사용자와 컴퓨터에 일관된 보안 정책을 적용할 수 있다.

액티브 디렉터리 사용자 및 컴퓨터 도구에서는 객체의 속성 대화상자에서 '보안' 탭을 통해 ACL을 보고 편집할 수 있다. 이 인터페이스에서 관리자는 권한을 추가하거나 제거하고, 상속 설정을 조정하며, 고급 권한을 구성할 수 있다. ACL 관리는 위임된 관리의 핵심 요소로, 도메인 관리자가 아닌 사용자에게 특정 조직 구성 단위나 객체 집합에 대한 제한된 관리 권한을 부여하는 데 필수적이다.

ACL 구성은 복잡할 수 있으므로 최소 권한 원칙을 따르는 것이 중요하다. 사용자나 그룹에게 작업 수행에 필요한 최소한의 권한만 부여해야 한다. 또한, 명시적 '거부' 권한은 신중하게 사용해야 하며, 일반적으로는 허용 권한만으로 충분한 보안을 구현하는 것이 좋다. 정기적인 ACL 감사를 통해 의도하지 않은 권한 상속이나 부여를 확인하고 보안 정책 준수를 유지할 수 있다.

관리자 권한 분리는 액티브 디렉터리 환경에서 과도한 권한이 한 명의 관리자에게 집중되는 것을 방지하고, 보안 위험을 줄이기 위한 핵심적인 보안 모델이다. 이 모델은 최소 권한의 원칙에 기반하여, 관리자에게 작업 수행에 필요한 최소한의 권한만을 부여하는 것을 목표로 한다. 이를 통해 내부 위협으로 인한 손상 범위를 제한하고, 실수로 인한 시스템 변경을 최소화할 수 있다.

액티브 디렉터리에서 권한 분리는 주로 위임된 관리와 관리 역할 분리를 통해 구현된다. 조직 구성 단위나 특정 객체에 대해 특정 관리 작업(예: 사용자 암호 재설정, 그룹 구성원 관리)에 대한 권한만을 다른 사용자나 보안 그룹에 위임할 수 있다. 또한, 도메인 관리자나 엔터프라이즈 관리자와 같은 고위 권한 계정의 사용을 엄격히 제한하고, 대신 Active Directory 관리 센터나 PowerShell 스크립트를 통해 세분화된 관리 역할을 생성하여 할당하는 방식이 권장된다.

일반적인 권한 분리 전략은 다음과 같은 관리 역할을 구분하는 것을 포함한다.

이러한 접근 방식은 액세스 제어 목록과 그룹 정책을 통해 세부적으로 제어될 수 있다. 관리 권한이 분리되면, 한 계정이 침해당하더라도 전체 포리스트나 도메인이 위험에 빠지는 것을 방지할 수 있으며, 감사 로그를 통해 정확한 책임 소재를 추적하는 데도 도움이 된다. 효과적인 권한 분리 전략은 IT 거버넌스와 규정 준수 요구사항을 충족하는 데 필수적이다.

계정 정책은 액티브 디렉터리 도메인 내에서 사용자 및 컴퓨터 계정의 보안 설정을 중앙에서 정의하고 적용하는 규칙의 집합이다. 이 정책은 도메인 컨트롤러를 통해 관리되며, 그룹 정책 객체를 통해 도메인 전체 또는 특정 조직 구성 단위에 연결되어 적용된다. 주요 목적은 암호 복잡성, 계정 잠금, Kerberos 인증 설정 등을 강제함으로써 네트워크 보안을 강화하는 데 있다.

계정 정책은 크게 암호 정책, 계정 잠금 정책, Kerberos 정책으로 구분된다. 암호 정책에는 최소 암호 길이, 암호 복잡성 요구 사항, 최대/최소 암호 사용 기간, 암호 기록 유지 등의 설정이 포함된다. 계정 잠금 정책은 잘못된 로그인 시도 횟수, 잠금 지속 시간, 잠금 카운터 초기화 시간을 정의하여 무차별 대입 공격으로부터 계정을 보호한다.

이러한 정책은 도메인 그룹 정책을 통해 구성되며, 일반적으로 도메인 수준에서 한 번만 정의되어 모든 도메인 사용자와 컴퓨터에 적용된다. 정책 설정은 그룹 정책 관리 편집기 내의 '컴퓨터 구성\Windows 설정\보안 설정\계정 정책' 경로에서 찾을 수 있다. 관리자는 조직의 보안 요구 사항과 규정 준수 기준에 맞게 이러한 값을 조정할 수 있다.

계정 정책의 효과적인 관리는 보안 주체의 자격 증명을 안전하게 유지하는 데 필수적이다. 잘 구성된 정책은 내부 위협과 외부 공격으로부터 인증 시스템을 보호하며, 액티브 디렉터리 기반 ID 관리의 핵심 요소로 작동한다. 정책 변경 시에는 테스트 환경에서의 검증과 모든 도메인 컨트롤러 간의 정책 복제가 완료되었는지 확인하는 것이 중요하다.

액티브 디렉터리 사용자 및 컴퓨터를 운영하면서 자주 발생하는 일반적인 오류와 그 해결 방법을 다룬다.

한 가지 흔한 오류는 "액세스가 거부되었습니다"라는 메시지가 나타나는 경우이다. 이는 관리자 권한이 부족하거나, 해당 조직 구성 단위나 객체에 대한 권한이 위임되지 않았을 때 발생한다. 해결을 위해서는 도메인 관리자 그룹의 구성원인지 확인하거나, 필요한 권한이 명시적으로 부여되었는지 액세스 제어 목록을 검토해야 한다. 또한, 위임된 관리 마법사를 사용하여 적절한 권한을 재할당할 수 있다. 다른 빈번한 문제로는 사용자나 컴퓨터 계정을 찾을 수 없는 경우가 있다. 이는 글로벌 카탈로그 서버의 복제 지연이나, 검색 필터가 잘못 설정되었을 때 일어난다. 디렉터리 서비스 복제 상태를 점검하거나, 검색 범위를 전체 디렉터리로 확장하여 문제를 해결할 수 있다.

사용자 로그인 실패 역시 일반적인 문제이다. 계정 잠금 정책에 의해 잠겼거나, 암호가 만료되었을 가능성이 있다. 액티브 디렉터리 사용자 및 컴퓨터 콘솔에서 해당 사용자 계정의 속성을 열어 '계정 잠금 해제'를 선택하거나, 암호 재설정 기능을 사용하여 해결한다. 또한, 사용자 계정이 올바른 도메인에 속해 있고, 로그온 시간 제한이 없는지 확인해야 한다. 컴퓨터가 도메인에 가입되지 않는 문제는 DNS 설정 오류에서 비롯되는 경우가 많다. 클라이언트 컴퓨터의 DNS 서버 주소가 도메인 컨트롤러를 올바르게 가리키고 있는지, 필요한 SRV 레코드가 존재하는지 네트워크 구성을 점검해야 한다.

마지막으로, 그룹 정책 적용 실패는 복잡한 문제를 일으킬 수 있다. gpresult 또는 그룹 정책 결과 마법사 같은 도구를 사용하여 정책 적용 상태를 진단한다. 일반적인 원인으로는 느린 네트워크 연결, 그룹 정책 객체의 보안 필터링 오류, 또는 시스템 관리자가 의도하지 않게 정책을 비활성화한 경우가 있다. 정책의 연결 지점과 상속 차단 설정을 재확인하고, gpupdate /force 명령을 사용하여 클라이언트에서 정책을 강제로 새로 고치는 방법으로 문제를 해결할 수 있다.

액티브 디렉터리 복제 문제는 도메인 컨트롤러 간에 디렉터리 정보가 일관되게 동기화되지 않을 때 발생한다. 복제는 액티브 디렉터리의 핵심 기능으로, 사용자 계정, 컴퓨터 계정, 그룹 정책 객체 등의 변경 사항이 네트워크 내 모든 도메인 컨트롤러에 전파되도록 보장한다. 복제에 실패하면 정보 불일치가 생겨 사용자 인증 실패, 그룹 정책 적용 오류, 최신 정보 조회 실패 등의 문제가 발생할 수 있다.

복제 문제의 일반적인 원인으로는 네트워크 연결 장애, 방화벽 설정, 잘못된 이름 확인, 복제 토폴로지 구성 오류 등이 있다. 또한, 도메인 컨트롤러의 시스템 시간 차이가 크거나, 디스크 공간 부족, 또는 액티브 디렉터리 데이터베이스 손상도 복제를 방해할 수 있다. 이러한 문제는 repadmin 명령줄 도구를 사용하여 복제 상태를 진단하고 모니터링할 수 있다.

문제 해결을 위해 먼저 repadmin /showrepl 명령을 실행하여 복제 파트너 간의 최근 복제 시도와 결과를 확인한다. 이 명령은 실패한 복제 링크와 오류 코드를 보여준다. 네트워크 연결 문제가 의심되면 dcdiag 도구를 사용하여 도메인 컨트롤러의 전반적인 상태를 검사한다. dcdiag /test:replications 테스트는 복제 관련 문제를 집중적으로 진단한다.

복제 토폴로지를 수정해야 하는 경우, 액티브 디렉터리 사이트 및 서비스를 사용하여 사이트 링크, 사이트 링크 비용, 복제 일정을 검토하고 조정한다. 만약 데이터베이스 불일치가 심각하다면, 권한 복원 모드를 통해 도메인 컨트롤러를 복구하거나, 백업에서 시스템 상태를 복원하는 절차가 필요할 수 있다. 정기적인 모니터링과 Windows 이벤트 뷰어에서 애플리케이션 및 서비스 로그의 디렉터리 서비스 로그를 확인하는 것이 예방에 도움이 된다.

액티브 디렉터리 사용자 및 컴퓨터 도구를 사용하거나, 도메인에 가입된 컴퓨터에 로그인할 때 발생하는 인증 문제는 일반적으로 계정 상태, 네트워크 연결, 또는 도메인 컨트롤러와의 통신 문제에서 비롯된다. 가장 흔한 문제로는 잘못된 비밀번호 입력, 계정 잠금, 또는 만료된 계정이 있다. 또한, 사용자 계정이나 컴퓨터 계정이 비활성화된 경우에도 인증에 실패한다. 시간 동기화 문제는 Kerberos 인증 프로토콜이 제대로 작동하지 않게 만들어 인증 오류를 유발할 수 있다.

네트워크 관련 문제도 중요한 원인이 된다. 클라이언트 컴퓨터가 도메인 컨트롤러를 찾지 못하거나, DNS 서버 설정이 올바르지 않으면 인증 요청이 실패한다. 방화벽 설정으로 인해 필요한 포트가 차단되거나, 도메인 컨트롤러와의 네트워크 경로에 문제가 있을 경우에도 연결이 되지 않는다. 특히, 가상 사설망을 통해 접속하는 원격 사용자의 경우 네트워크 구성이 더 복잡해 문제가 발생할 가능성이 높다.

문제 해결을 위해서는 먼저 이벤트 뷰어를 확인하여 시스템 또는 보안 로그에서 관련 오류 코드를 찾아야 한다. '네트워크 자격 증명' 오류나 '트러스트 관계 실패'와 같은 메시지는 특정 문제를 지시한다. 기본적인 조치로는 클라이언트 컴퓨터의 도메인 탈퇴 후 재가입, 계정 암호 재설정, 그리고 도메인 컨트롤러와의 시간 동기화 확인이 있다. 또한, nltest /dsgetdc: 명령어를 사용하여 도메인 컨트롤러 탐색을 테스트하거나, dcdiag 도구를 실행하여 도메인 컨트롤러의 상태를 진단할 수 있다.

보다 복잡한 문제의 경우, 그룹 정책에 의해 적용된 보안 정책 설정을 검토해야 한다. 예를 들어, 계정 잠금 정책이나 암호 정책이 예상치 못하게 변경되었을 수 있다. Active Directory 복제 문제로 인해 한 도메인 컨트롤러에서는 인증이 성공하지만 다른 곳에서는 실패하는 상황도 발생할 수 있어, 복제 상태를 점검하는 것이 필요하다.

액티브 디렉터리 관리 센터는 마이크로소프트가 윈도우 서버 2008 R2부터 도입한 웹 기반의 통합 관리 도구이다. 기존의 MMC 기반 액티브 디렉터리 사용자 및 컴퓨터 콘솔을 대체하거나 보완하는 역할을 하며, 보다 직관적인 사용자 인터페이스와 향상된 관리 기능을 제공한다. 이 도구는 인터넷 정보 서비스 위에서 실행되며, 웹 브라우저를 통해 접근할 수 있어 관리자의 위치에 구애받지 않고 원격 관리가 가능하다는 장점이 있다.

주요 기능으로는 사용자 계정과 컴퓨터 계정의 생성 및 수정, 조직 구성 단위 관리, 그룹 정책 객체의 기본적인 작업, 그리고 디렉터리 서비스에 대한 실시간 모니터링과 보고서 생성 등이 포함된다. 특히 대규모 환경에서 반복적인 작업을 자동화하는 데 유용한 작업 페이지 기능과, 관리 작업을 위한 파워셸 명령어를 실시간으로 생성해 주는 기능이 강점으로 꼽힌다.

액티브 디렉터리 관리 센터는 기존 MMC 스냅인과 비교하여 다음과 같은 차별점을 가진다.

이 도구는 윈도우 서버의 핵심 디렉터리 서비스 관리 경험을 현대화하고, 클라우드 및 하이브리드 환경 관리로의 전환을 위한 기반을 마련하는 역할을 한다.

PowerShell for Active Directory는 마이크로소프트의 PowerShell 스크립팅 환경을 통해 액티브 디렉터리를 관리하고 자동화하기 위한 모듈 및 cmdlet의 집합이다. 이 도구는 기존의 그래픽 사용자 인터페이스(GUI) 기반 관리 콘솔인 액티브 디렉터리 사용자 및 컴퓨터를 보완하며, 대규모 또는 반복적인 관리 작업을 스크립트로 처리하여 효율성을 극대화한다. 주로 ActiveDirectory 모듈에 포함된 다양한 cmdlet을 사용하여 도메인 내 사용자 계정, 컴퓨터 계정, 그룹, 조직 구성 단위(OU) 등의 객체를 생성, 수정, 삭제 및 조회할 수 있다.

주요 cmdlet으로는 사용자 관리를 위한 New-ADUser, Get-ADUser, Set-ADUser, 컴퓨터 관리를 위한 Get-ADComputer, 그룹 관리를 위한 New-ADGroup 등이 있다. 또한, Search-ADAccount cmdlet을 사용하여 잠긴 계정이나 비활성 계정을 검색하거나, Move-ADObject로 객체를 다른 조직 구성 단위로 이동하는 등 복잡한 작업도 수행 가능하다. 이러한 명령어들은 파이프라인(|)을 통해 연결하여 데이터를 필터링하고 일괄 처리하는 강력한 자동화 워크플로를 구축할 수 있게 한다.

관리자는 PowerShell 스크립트를 작성하여 신규 입사자 계정 생성, 부서별 그룹 멤버십 자동 설정, 정기적인 계정 정리와 같은 일상적인 업무를 자동화할 수 있다. 또한, 원격 PowerShell 세션을 통해 도메인 컨트롤러에 직접 접속하지 않고도 원격에서 안전하게 관리 명령을 실행할 수 있어 편의성을 제공한다. 이는 특히 클라우드 환경과 통합된 Azure Active Directory 하이브리드 관리 시나리오에서도 중요한 역할을 한다.

PowerShell for Active Directory를 효과적으로 사용하기 위해서는 먼저 대상 관리 컴퓨터에 RSAT(원격 서버 관리 도구)의 Active Directory 모듈을 설치하거나, 도메인 컨트롤러에서 직접 Add-WindowsFeature 명령으로 기능을 추가해야 한다. 설치 후 Import-Module ActiveDirectory로 모듈을 로드하면 관련 cmdlet을 사용할 수 있게 된다. 이 도구는 IT 인프라 관리의 표준으로 자리 잡으며, DevOps 및 인프라 as 코드(IaC) 관행에서도 점점 더 중요해지고 있다.

그룹 정책 관리 콘솔(Group Policy Management Console, GPMC)은 마이크로소프트가 개발한 그룹 정책 관리 전용 도구이다. 이 콘솔은 액티브 디렉터리 환경에서 그룹 정책 객체(GPO)를 생성, 편집, 관리, 모니터링하는 작업을 통합하고 단순화하는 데 사용된다. 기존의 그룹 정책 편집기(gpedit.msc)가 단일 GPO의 설정을 편집하는 데 중점을 두었다면, GPMC는 포리스트, 도메인, 조직 구성 단위(OU) 수준에서 GPO의 배포와 생명주기를 종합적으로 관리하는 기능을 제공한다.

GPMC의 주요 기능은 GPO의 중앙 집중식 관리이다. 관리자는 콘솔 내에서 모든 도메인의 GPO 목록을 확인하고, GPO를 특정 사이트, 도메인, OU에 연결하거나 연결을 해제할 수 있다. 또한 GPO의 설정을 백업하고 복원하며, 한 도메인에서 다른 도메인으로 GPO를 마이그레이션하는 작업을 수행할 수 있다. GPMC는 GPO의 적용 범위와 우선순위를 시각적으로 보여주는 그룹 정책 결과(Group Policy Results, RSoP) 및 그룹 정책 모델링(Group Policy Modeling) 도구를 포함하여 정책 적용 상태를 진단하고 예측하는 데 유용하다.

이 도구는 그룹 정책 관리 편집기(Group Policy Management Editor)를 내장하고 있어, GPMC에서 GPO를 선택하면 바로 설정 내용을 편집할 수 있다. 또한 액티브 디렉터리 사용자 및 컴퓨터 콘솔이나 액티브 디렉터리 사이트 및 서비스 콘솔을 분리하여 실행하지 않고도, GPMC 내에서 직접 사이트, 도메인, OU의 구조를 탐색하고 관리할 수 있다. 이를 통해 정책 관리와 디렉터리 객체 관리 간의 워크플로가 원활해진다.

GPMC는 윈도우 서버의 기능으로 포함되어 배포되며, 최신 윈도우 클라이언트 운영체제의 원격 서버 관리 도구(RSAT) 패키지를 설치하여 관리 워크스테이션에서도 사용할 수 있다. 파워셸 기반의 그룹 정책 모듈이 등장하면서 자동화 측면에서는 일부 기능이 대체될 수 있으나, GPMC는 여전히 그래픽 사용자 인터페이스를 통한 직관적인 정책 관리의 표준 도구로 자리 잡고 있다.