그룹 폴리시는 마이크로소프트 액티브 디렉토리를 돌리는 조직으로서는 두 번 생각할 필요도 없는 제품이다. 이것은 IT에서 중앙 콘솔로부터 AD에 있는 모든 사용자와 컴퓨터에 대한 변화와 다양한 설정을 제어할 수 있게 해주기 때문이다. 하지만 IT전문가들 가운데는 이러한 그룹 폴리시를 피하는 사람들도 있다.
그룹 폴리시는 Win2K 이후로 모든 OS에 포함돼 나오긴 했지만 관리적으로 큰 부담을 야기할 수 있다는 문제에 시달리고 있다. 예를 들어 관리자가 여럿인 대형 도메인에서는 특별한 주의가 필요한데, 그 이유는 그룹 폴리시가 도메인에 있는 모든 컴퓨터나 사용자에게 실시간으로 영향을 미치는 세팅을 쉽게 조정할 수 있게 해주긴 하지만, 진정한 변화 관리와 버전 제어 능력이 부족하기 때문이다. 이제 재앙을 피할 수 있는 비법에 대해 알아보자.

MS, API 공개
좋은 소식은, 마이크로소프트에서 그룹 폴리시와 연관된 API를 공개하고 있기 때문에 네이티브 유틸리티에 남겨진 갭들을 메꿔줄 수 있는 많은 써드파티 애플리케이션이 나와 있다는 것이다. 우리는 이런 애플리케이션이 몇 가지 큰 문제를 해결해 줄 수 있는지 여부를 확인하기로 했다.
우선 누가 어떤 설정을 언제 바꿨는지 파악할 수 있는 도구가 그룹 폴리시에 없다는 게 문제인데, 이는 특히 관리자가 여럿일 때 더욱 그러하다. 이 문제는 GPO(Group Policy Object: 사용자나 컴퓨터에 배치될 개별적인 세팅들을 포함하고 있는 그룹 폴리시의 구성물들)가 AD의 도메인 레벨에 저장돼 있다. 또한 라이브 AD 환경 안에서만 변경 가능하다는 사실 때문에 더욱 심각해진다. 요컨대 우리는 사람들이 사소한 도메인 레벨 변경이라고 생각하고 하는 게 결국 몇 분 후에 헬프데스크를 바쁘게 만들기만 하는 것을 목격해 왔다.
현명한 IT 집단에서는 다른 유효한 GPO에 영향을 미치지 않으면서 큰 혼란을 유발하는 변경(tweak) 작업을 재빨리 취소할 수 있도록, 가능한 한 정책 세팅을 적게 이용해 GPO를 세분화(granularizing) 시켜 이 문제를 해결하고 있다. 이런 식으로 하면 AD 도메인 안에는 결국 수십 개, 혹은 수백 개의 GPO가 생기게 된다. 문제는 하나의 도메인에 적용되는 GPO가 많을수록 사용자의 로그인과 시작 시간이 느려진다는 것이다.
이 외에도 그룹 폴리시에는 다른 약점들이 있다. 그 범위(scope)가 윈도 XP/2000/2003 도메인 멤버들에게 한정되기 때문에, 맥 OS, 유닉스, 리눅스 및 논도메인(nondomain) 멤버들에게는 GPO를 시행할 수 있는 방법이 없다. 그리고 그룹 폴리시는 소프트웨어 배치에 이용될 수 있긴 하지만 알티리스(Altiris)나 랜데스크(LANDesk) 등에서 나오는 전통적인 데스크톱 관리 스위트들만큼 강력하지는 않은데, 그 이유는 이것이 셋업을 리패키징하거나, 셋업이 돌아가기 전에 로컬로 설치를 복사할 수가 없기 때문이다.
마지막으로 그룹 폴리시는 네이티브 기능성에 한계가 있다. 데스크톱 숏컷(shortcut)을 배치하는 것 만큼 간단한 일을 하는 데도 스크립트를 만들어야 할 정도다. 그리고 그룹 폴리시는 스크립트 배치를 간단히 만들긴 하지만 스크립트는 종종 만들기가 복잡하고 디버깅과 테스트가 힘들 때가 많다. 스크립트는 그룹 폴리시의 RSOP(Resultant Set of Policy) 보고서로 변화를 보고하지 않기 때문에 스크립트가 유효한지를 확인할 수 있는 유일한 길은 스스로 시험해 보는 것 뿐이다.

핵심 두 가지로 구분
우리는 이러한 한계를 극복할 수 있는 제품을 찾으려 했지만, 하나의 스위트가 이것을 모두 해내는 것은 없었다. 때문에 우리는 범위를 가장 핵심적인 두 가지, 즉 그룹 폴리시 관리와 그룹 폴리시 익스텐션으로 좁혔다. 그룹 폴리시 관리 제품은 버전 제어, 보안 향상, 모니터링/보고 추가 옵션 등을 더해주며, 그룹 폴리시 익스텐션은 정책 설정의 기능성을 향상시켜 주는데, 이는 클라이언트에서 당신이 조작할 수 있는 일이다.
참가가 가능한 업체들로는 센트리파이(Centrify), 컨피규어소프트(Configuresoft), 데스크톱스탠다드(Desktop Standard), 풀아모어(FullArmor), 넷아이큐(NetIQ), 퀘스트 소프트웨어(Quest Software), 스크립트로직(Script Logic), 스페셜 오퍼레이션즈 소프트웨어(Special Opera tions Software) 및 시만텍 바인드뷰(Symantec Bind View) 등이 있었지만, 틈새 역할만을 하는 세 제품은 제외시켰다.
스페셜 오퍼레이션즈 소프트웨어의 스페콥스 디플로이(Specops Deploy) 3.1은 AD 그룹 폴리시의 소프트웨어 배치 쪽을 향상시키며, 센트리파이의 다이렉트컨트롤(Direct Control) 2.0은 유닉스, 리눅스, 맥 OS 및 자바 플랫폼에 AD를 통합시킨다. 그리고 풀아모어의 폴리시포털(Policy Portal) 1.0은 그룹 폴리시를 AD 밖의 윈도 기계까지 확장시킬 수 있도록 해준다. 모두 나름의 역할이 있었지만 이번 리뷰의 대상은 아니었다.
우리는 나머지 업체들에게 초대장을 보냈으며, 데스크톱스탠다드, 넷아이큐, 그리고 퀘스트가 수락을 했다. 바인드뷰는 최근 시만텍에 인수됐다는 사실을 들먹이며 거절을 했으며, 스크립트로직은 제품의 새 버전이 곧 나올 것이라는 이유를 댔다. 컨피규어소프트는 아무 이유없이 거절을 했다.
각 제품을 테스트하기 위해 우리는 가상의 사탕 제조업체인 퍼지(Fudge Co.)를 위한 작은 윈도 2003 도메인을 만들고, 그 동일한 환경안에 각 제품을 설치했다. 평가는 그룹 폴리시 관리와 그룹 폴리시 익스텐션 모두에 대한 사양 세트, 사용의 편의와 관리성, 보안 및 액세스 제어의 세부성, 보고 및 모니터링 능력, 그리고 물론 가격을 기준으로 이루어졌다. 가격의 경우 각 업체에게 1천 명 사용자와 1천 대 컴퓨터가 하나의 도메인 안에 구성돼 있는 조직을 위한 견적을 요청했다.
우리 초대를 받아들인 모든 업체들은 그룹 폴리시 변화 제어 및 관리와 그룹 폴리시 세팅 익스텐션용으로 별개 제품을 제공했기 때문에, 우리는 각 경우마다 두 가지 제품을 모두 테스트했다. 이는 곧 그룹 폴리시 관리 제품과 그룹 폴리시 익스텐션을 각기 다른 업체로부터 사는 게 이론적으로는 가능하다는 얘기다. 하지만 다른 업체의 관리 제품 안에서 익스텐션을 작동시키느라 힘든 시간을 보낸 경험이 있기 때문에 그다지 추천하고 싶지는 않다.

공통적인 특성들
데스크톱스탠다드의 GPO볼트 엔터프라이즈(GPOVault Enterprise), 넷아이큐의 그룹 폴리시 어드미니스트레이터(Group Polocy Administrator), 그리고 퀘스트의 그룹 폴리시 매니저(Group Policy Manager) 등 우리가 테스트한 그룹 폴리시 관리 제품들은 공통적으로 몇 가지 특성을 공유하고 있었다. 이들은 모두 다중 클라이언트가 제품의 서버 영역으로 접속할 수 있게 만들어졌으며, 클라이언트 컴포넌트는 MMC(Microsoft Management Console) 스냅인이다.
각각은 GPO를 오프라인으로, 혹은 생산 AD 환경 밖에서 저장하기 위한 용도로 리포지토리를 사용하고 있으며 스토리지 장소는 제품별로 다양하다. 퀘스트의 제품은 SQL 서버, MSDE, AD, ADAM(Active Directory Application Mode), 혹은 UNC 경로에 둘 수 있게 해주어 가장 유연성이 뛰어났다. 넷아이큐 그룹 폴리시 어드미니스트레이터의 리포지토리는 SQL 서버나 MSDE에만 저장될 수 있으며, GPO볼트의 리포지토리는 UNC 경로나 로컬 파일 시스템에 설치될 수 있다.
우리는 라이브 AD 환경에 독립적이고, 테스트 도메인 없이 GPO를 편집하고 보안하고, 어떤 경우에는 조직화(organizing)할 수 있었다. 각 제품은 완벽한 GPO 수명 관리를 위해 리포지토리에 변화 제어 및 관리 원칙을 적용시키고 있었다. 여러 버전의 GPO가 리포지토리 안에 저장될 수 있으며, 리포지토리 버전과 라이브 GPO간의 차이는 쉽게 볼 수 있었다. 이는 누가 무엇을 언제 바꿨는지를 알아낼 필요가 있을 때 유용할 것이다. 테스트한 모든 제품에 이 기능이 있었지만, 그 가운데서도 큐웨스트 제품은 버전을 비교할 수 있게 해줄 뿐만 아니라 GPO에 가해진 변경의 히스토리를 소팅 및 필터링할 수 있게 해주는 가장 강력한 모습을 자랑했다.
모든 제품에는 우리가 특정 사용자나 그룹, 혹은 역할만이 GPO를 바꾸거나, 만들거나, 혹은 퍼블리싱하도록 리포지토리 GPO를 구성할 수 있게 해주는 빌트인 AD 통합 보안이 포함돼 있다. 리포지토리 GPO를 AD에 배치할 때가 되자 윈도 서비스 어카운트가 우리를 대신해 거래를 중개했다. 이런 식이기 때문에 리포지토리 GPO를 퍼블리싱할 수 있는 허가를 받은 사용자는 AD 안에서 허가 상승(elevated permission)이 필요치 않다.
실망스럽게도 테스트한 어떤 제품도 개별적인 정책 설정에 따라 GPO를 검색할 수 있게 해주지 못했다. 그롭 폴리시의 고질적인 불편함으로 인해 주어진 GPO안에서 1천600개가 넘는 정책 설정 가운데 어떤 것이 실제로 구성돼 있는지를 판단하기는 쉽지 않다. 다중 도메인에 십여 개의 GPO가 있을 큰 조직에서는 모래사장에서 바늘을 찾는 일이 될 수도 있다. 마이크로소프트의 GPMC(Group Policy Manage ment Console) 툴에 이미 포함된 것보다 많이 나은 검색 도구를 포함한 제품은 전혀 없었다.
GPMC 툴은 GPO를 이름이나 허가, 혹은 GPO가 링크된 방식에 따라 검색할 수 있게 해준다. 퀘스트 제품의 경우 개별적인 정책 설정에 따라 검색할 수 있는 멋진 유틸리티가 있긴 했지만, 이것은 템플릿 생성용으로만 사용 가능한 것이었다.
이런 제품들에서 우리가 궁금했던 한 가지는 AD 관리자가 원조를 중단하고 라이브 GPO를 바꿀 때 해당 리포지토리 GPO에 무슨 일이 일어나느냐 하는 것이다. 테스트한 모든 제품이 라이브 GPO와 리포지토리에 있는 가장 최근의 것 사이의 차이를 비교할 수 있게 해주었지만, GPO에 생기는 라이브 변화를 리포지토리 히스토리로 자동 기록한 것은 GPO볼트뿐이었다. 하지만 이 제품은 그 이상의 발전은 없었으며 두 버전이 다시 일관성이 유지되도록 조정을 시키지 못했기 때문에, 결과적으로 리포지토리 GPO를 재배치할 때 우리는 새 버전으로 덮어써야 했다. 요컨대, 일단 그룹 폴리시 관리 제품을 설치하고 나면 GPO를 직접 편집하는 시절은 끝이다.