다음을 통해 공유

그룹 정책 사용하여 디바이스 설치를 제어하는 단계별 가이드

  • 아티클

 

데이브 비숍

업데이트 날짜: 2007년 6월

요약: 관리자는 Windows Server 2008 및 Windows Vista 운영 체제를 사용하여 관리하는 컴퓨터에 설치할 수 있는 디바이스를 결정할 수 있습니다. 이 가이드에서는 디바이스 설치 프로세스를 요약하고 디바이스 설치를 제어하는 몇 가지 기술을 보여 줍니다. (34페이지 인쇄).

콘텐츠

소개
   이 가이드를 사용해야 하는 사람은 누구인가요?
   그룹 정책 사용하여 디바이스 설치 제어의 이점
시나리오 개요
기술 검토
   Windows에서 디바이스 설치
   디바이스 설치에 대한 그룹 정책 설정
   이동식 스토리지 액세스에 대한 그룹 정책 설정
시나리오를 완료하기 위한 요구 사항
   필수 구성 요소 프로시저
모든 디바이스 설치 방지
   모든 디바이스의 설치를 방지하기 위한 필수 구성 요소
   모든 디바이스의 설치를 방지하는 단계
사용자가 권한 있는 디바이스만 설치하도록 허용
   사용자가 권한 있는 디바이스만 설치할 수 있도록 하기 위한 필수 구성 요소
   사용자가 권한 있는 디바이스만 설치할 수 있도록 허용하는 단계
금지된 디바이스 설치 방지
   금지된 디바이스 설치를 방지하기 위한 필수 구성 요소
   금지된 디바이스 설치 방지 단계
이동식 미디어에 대한 읽기 및 쓰기 권한 제어
   이동식 미디어에 대한 읽기 및 쓰기 권한을 제어하기 위한 필수 구성 요소
   이동식 미디어에 대한 읽기 및 쓰기 권한을 제어하는 단계
결론
추가 리소스
버그 및 피드백 로깅

소개

이 단계별 가이드에서는 사용자가 설치할 수 있고 설치할 수 없는 디바이스를 지정하는 등 관리하는 컴퓨터에서 디바이스 설치를 제어하는 방법을 설명합니다. 특히 Windows Server 2008 및 Windows Vista에서 컴퓨터 정책을 적용할 수 있습니다.

  • 사용자가 디바이스를 설치하지 못하도록 합니다.
  • 사용자가 "승인됨" 목록에 있는 디바이스만 설치할 수 있도록 허용합니다. 디바이스가 목록에 없으면 사용자가 디바이스를 설치할 수 없습니다.
  • 사용자가 "금지됨" 목록에 있는 디바이스를 설치하지 못하도록 합니다. 디바이스가 목록에 없으면 사용자가 디바이스를 설치할 수 있습니다.
  • 이동식 디바이스 또는 CD 및 DVD 버너, 플로피 디스크 드라이브, 외장 하드 드라이브 및 미디어 플레이어, 스마트폰 또는 Pocket PC 장치와 같은 이동식 미디어를 사용하는 디바이스에 대한 사용자 읽기 또는 쓰기 액세스를 거부합니다.

이 가이드에서는 디바이스 설치 프로세스에 대해 설명하고 Windows에서 컴퓨터에서 사용할 수 있는 디바이스 드라이버 패키지와 디바이스를 일치시키는 데 사용하는 식별 문자열을 소개합니다. 이 가이드에서는 디바이스 설치를 제어하는 세 가지 방법도 보여 줍니다. 각 시나리오는 특정 디바이스 또는 디바이스 클래스의 설치를 허용하거나 방지하는 데 사용할 수 있는 한 가지 방법을 단계별로 보여줍니다. 네 번째 시나리오에서는 이동식 또는 이동식 미디어를 사용하는 디바이스에 대한 사용자에 대한 읽기 또는 쓰기 액세스를 거부하는 방법을 보여줍니다.

시나리오에서 사용되는 예제 디바이스는 USB 스토리지 디바이스입니다. 다른 디바이스를 사용하여 이 가이드의 단계를 수행할 수 있습니다. 그러나 다른 디바이스를 사용하는 경우 가이드의 지침이 컴퓨터에 표시되는 사용자 인터페이스와 정확히 일치하지 않습니다.

중요 이 가이드에 제공된 단계는 테스트 랩 환경에서 사용하기 위한 것입니다. 이 단계별 가이드는 설명서와 함께 제공되지 않고 Windows Server 기능을 배포하는 데 사용할 수 없으며 독립 실행형 문서로 재량에 따라 사용해야 합니다.

이 가이드를 사용해야 하는 사람은 누구인가요?

이 가이드의 대상 사용자는 다음과 같습니다.

  • Windows Vista 및 Windows Server 2008을 평가하는 정보 기술 플래너 및 분석가
  • 엔터프라이즈 정보 기술 플래너 및 디자이너
  • organization 신뢰할 수 있는 컴퓨팅을 구현할 책임이 있는 보안 설계자
  • 기술에 익숙해지려는 관리자

그룹 정책 사용하여 디바이스 설치 제어의 이점

사용자가 설치할 수 있는 디바이스를 제한하면 다음과 같은 이점이 제공됩니다.

데이터 도난 위험 줄이기

  • 사용자의 컴퓨터가 이동식 미디어를 지원하는 승인되지 않은 디바이스를 설치할 수 없는 경우 사용자가 회사 데이터의 무단 복사본을 만드는 것이 더 어렵습니다. 예를 들어 사용자가 CD-R 디바이스를 설치할 수 없는 경우 회사 데이터 복사본을 기록 가능한 CD에 구울 수 없습니다. 이 혜택은 데이터 도난을 제거할 수 없지만 무단으로 데이터를 제거하는 또 다른 장벽을 만듭니다. 또한 그룹 정책 사용하여 이동식 또는 이동식 미디어를 사용하는 디바이스에 대한 사용자에 대한 쓰기 액세스를 거부하여 데이터 도난 위험을 줄일 수 있습니다. 그룹 정책 사용하는 경우 그룹별로 액세스 권한을 부여할 수 있습니다.

지원 비용 절감

  • 지원 센터에서 지원하도록 학습되고 갖추어진 디바이스만 사용자가 설치하도록 할 수 있습니다. 이 혜택은 지원 비용과 사용자 혼란을 줄입니다.

시나리오 개요

이 가이드에 제시된 시나리오에서는 관리하는 컴퓨터에서 디바이스 설치 및 사용량을 제어하는 방법을 보여 줍니다. 이 시나리오에서는 로컬 컴퓨터의 그룹 정책 사용하여 랩 환경의 프로시저 사용을 간소화합니다. 여러 클라이언트 컴퓨터를 관리하는 환경에서 Active Directory에서 배포한 그룹 정책 사용하여 이러한 설정을 적용해야 합니다. Active Directory에서 배포한 그룹 정책 사용하여 도메인의 구성원인 모든 컴퓨터 또는 도메인의 조직 구성 단위에 설정을 적용할 수 있습니다. 그룹 정책 사용하여 클라이언트 컴퓨터를 관리하는 방법에 대한 자세한 내용은 Microsoft 웹 사이트의 그룹 정책 참조하세요.

다음은 이 가이드에 제시된 시나리오에 대한 설명입니다.

  • 모든 디바이스 설치 방지

    이 시나리오에서 관리자는 표준 사용자가 디바이스를 설치하지 못하도록 방지하지만 관리자가 디바이스를 설치하거나 업데이트할 수 있도록 허용하려고 합니다. 이 시나리오를 완료하려면 두 개의 컴퓨터 정책을 구성합니다. 첫 번째 컴퓨터 정책은 모든 사용자가 디바이스를 설치하지 못하도록 하고 두 번째 정책은 관리자를 제한에서 제외합니다.

  • 사용자가 권한 있는 디바이스만 설치하도록 허용

    이 시나리오에서 관리자는 사용자가 권한 있는 디바이스 목록에 포함된 디바이스만 설치하도록 허용하려고 합니다. 이 시나리오는 첫 번째 시나리오를 기반으로 하므로 이 시나리오를 시도하기 전에 첫 번째 시나리오를 완료해야 합니다. 이 시나리오를 완료하려면 사용자가 지정한 디바이스만 설치할 수 있도록 권한 있는 디바이스 목록을 만듭니다.

  • 금지된 디바이스만 설치 방지

    이 시나리오에서 관리자는 표준 사용자가 대부분의 디바이스를 설치할 수 있도록 허용하지만 금지된 디바이스 목록에 포함된 디바이스를 설치하지 못하도록 합니다. 이 시나리오를 완료하려면 처음 두 시나리오에서 만든 정책을 제거해야 합니다. 이러한 정책을 제거한 후에는 사용자가 지정한 디바이스를 제외한 모든 디바이스를 설치할 수 있도록 금지된 디바이스 목록을 만듭니다.

  • 이동식 미디어 스토리지 디바이스 사용 제어

    이 시나리오에서 관리자는 표준 사용자가 이동식 스토리지 디바이스 또는 USB 메모리 드라이브 또는 CD 또는 DVD 버너와 같은 이동식 미디어가 있는 디바이스에 데이터를 쓰지 못하도록 방지하려고 합니다. 이 시나리오를 완료하려면 읽기 액세스를 허용하지만 샘플 디바이스 및 컴퓨터의 CD 또는 DVD 버너 디바이스에 대한 쓰기 액세스를 거부하도록 컴퓨터 정책을 구성합니다.

기술 검토

다음 섹션에서는 이 가이드에서 설명하는 핵심 기술에 대한 간략한 개요를 제공합니다.

Windows에서 디바이스 설치

디바이스는 Windows가 일부 기능을 수행하기 위해 상호 작용하는 하드웨어의 한 조각입니다. Windows는 디바이스 드라이버라는 소프트웨어를 통해서만 디바이스와 통신할 수 있습니다. 디바이스 드라이버를 설치하기 위해 Windows는 디바이스를 검색하고 해당 유형을 인식한 다음 해당 유형과 일치하는 디바이스 드라이버를 찾습니다.

Windows는 두 가지 유형의 식별자를 사용하여 디바이스 설치 및 구성을 제어합니다. Windows Vista 및 Windows Server 2008의 그룹 정책 설정을 사용하여 허용하거나 차단할 식별자를 지정할 수 있습니다.

식별자의 두 가지 유형은 다음과 같습니다.

  • 디바이스 식별 문자열
  • 디바이스 설정 클래스

디바이스 식별 문자열

Windows가 컴퓨터에 설치되지 않은 디바이스를 검색하면 운영 체제는 디바이스를 쿼리하여 디바이스 식별 문자열 목록을 검색합니다. 디바이스에는 일반적으로 디바이스 제조업체에서 할당하는 여러 디바이스 식별 문자열이 있습니다. 디바이스 드라이버 패키지의 일부인 .inf 파일에 동일한 디바이스 식별 문자열이 포함됩니다. Windows는 디바이스에서 검색된 디바이스 식별 문자열과 드라이버 패키지에 포함된 디바이스 ID 문자열을 일치시켜 설치할 디바이스 드라이버 패키지를 선택합니다.

Windows는 각 문자열을 사용하여 디바이스를 드라이버 패키지와 일치시킬 수 있습니다. 문자열은 디바이스의 단일 메이크 및 모델과 일치하는 매우 구체적인 것부터 전체 디바이스 클래스에 적용되는 매우 일반적인 것까지 다양합니다. 디바이스 식별 문자열에는 하드웨어 ID 및 호환 ID라는 두 가지 유형이 있습니다.

하드웨어 ID

하드웨어 ID는 디바이스와 드라이버 패키지 간에 가장 정확한 일치를 제공하는 식별자입니다. 하드웨어 ID 목록의 첫 번째 문자열은 디바이스의 정확한 만들기, 모델 및 수정 버전과 일치하기 때문에 디바이스 ID라고 합니다. 목록의 다른 하드웨어 ID는 디바이스의 세부 정보와 정확히 일치하지 않습니다. 예를 들어 하드웨어 ID는 디바이스의 메이크 및 모델을 식별할 수 있지만 특정 수정 버전은 식별할 수 없습니다. 이 체계를 사용하면 올바른 수정 버전에 대한 드라이버를 사용할 수 없는 경우 Windows에서 디바이스의 다른 수정 버전에 드라이버를 사용할 수 있습니다.

호환 ID

운영 체제에서 디바이스 ID 또는 다른 하드웨어 ID와 일치하는 항목을 찾을 수 없는 경우 Windows는 이러한 식별자를 사용하여 디바이스 드라이버를 선택합니다. 호환되는 ID는 적합성을 줄이는 순서로 나열됩니다. 이러한 문자열은 선택 사항이며, 제공된 경우 디스크와 같이 매우 일반적입니다. 호환 ID를 사용하여 일치하는 항목이 만들어지면 일반적으로 디바이스의 가장 기본적인 기능만 사용할 수 있습니다.

프린터, USB 저장 장치 또는 키보드와 같은 디바이스를 설치할 때 Windows는 설치하려는 디바이스와 일치하는 드라이버 패키지를 검색합니다. 이 검색 중에 Windows는 하드웨어 또는 호환 ID와 하나 이상의 일치 항목으로 검색되는 각 드라이버 패키지에 "순위"를 할당합니다. 순위는 드라이버가 디바이스와 얼마나 잘 일치하는지를 나타냅니다. 순위가 낮을수록 드라이버와 디바이스 간에 더 나은 일치가 표시됩니다. 0의 순위는 가능한 최상의 일치 항목을 나타냅니다. 디바이스 ID와 드라이버 패키지의 하나와 일치하면 다른 하드웨어 ID 중 하나와 일치하는 것보다 낮은 순위(더 나은) 순위가 발생합니다. 마찬가지로 하드웨어 ID와 일치하면 호환되는 ID와 일치하는 항목보다 순위가 더 좋습니다. Windows는 모든 드라이버 패키지의 순위를 지정한 후 전체 순위가 가장 낮은 패키지를 설치합니다. 드라이버 패키지의 순위를 지정하고 선택하는 프로세스에 대한 자세한 내용은 MSDN 라이브러리에서 설치 프로그램이 드라이버를 선택하는 방법을 참조하세요.

참고 디바이스 드라이버 설치 프로세스에 대한 자세한 내용은 디바이스 드라이버 서명 및 스테이징 단계별 가이드의 "기술 검토" 섹션을 참조하세요.

일부 물리적 디바이스는 설치될 때 하나 이상의 논리 디바이스를 만듭니다. 각 논리 디바이스는 물리적 디바이스 기능의 일부를 처리할 수 있습니다. 예를 들어 올인원 스캐너/팩스/프린터와 같은 다기능 디바이스에는 각 함수에 대해 다른 디바이스 식별 문자열이 있을 수 있습니다.

DMI를 사용하여 논리 디바이스를 사용하는 디바이스의 설치를 허용하거나 방지하는 경우 해당 디바이스에 대한 모든 디바이스 식별 문자열을 허용하거나 차단해야 합니다. 예를 들어 사용자가 다기능 디바이스를 설치하려고 시도하고 물리적 및 논리적 디바이스 모두에 대해 모든 식별 문자열을 허용하거나 차단하지 않은 경우 설치 시도에서 예기치 않은 결과를 얻을 수 있습니다. 하드웨어 ID에 대한 자세한 내용은 MSDN 라이브러리의 디바이스 식별 문자열 을 참조하세요.

디바이스 설정 클래스

디바이스 설정 클래스는 식별 문자열의 또 다른 유형입니다. 제조업체는 디바이스 드라이버 패키지의 디바이스에 디바이스 설정 클래스를 할당합니다. 디바이스 설정 클래스는 동일한 방식으로 설치 및 구성된 디바이스를 그룹화합니다. 예를 들어 모든 CD 드라이브는 CDROM 디바이스 설정 클래스에 속하며 설치 시 동일한 공동 설치 관리자를 사용합니다. GUID(Globally Unique Identifier)라고 하는 긴 숫자는 각 디바이스 설정 클래스를 나타냅니다. Windows가 시작되면 검색된 모든 디바이스에 대한 GUID를 사용하여 메모리 내 트리 구조를 빌드합니다. 디바이스 자체의 디바이스 설정 클래스에 대한 GUID와 함께 Windows는 디바이스가 연결된 버스의 디바이스 설정 클래스에 대한 GUID를 트리에 삽입해야 할 수 있습니다.

디바이스 설정 클래스를 사용하여 사용자가 디바이스 드라이버를 설치하지 못하도록 허용하거나 방지하는 경우 모든 디바이스의 디바이스 설정 클래스에 GUID를 지정해야 합니다. 그렇지 않으면 원하는 결과를 얻을 수 없습니다. 설치가 실패하거나(성공하려는 경우) 성공할 수 있습니다(실패하려는 경우).

예를 들어 올인원 스캐너/팩스/프린터와 같은 다기능 디바이스에는 제네릭 다기능 디바이스에 대한 GUID, 프린터 함수의 GUID, 스캐너 함수의 GUID 등이 있습니다. 개별 함수의 GUID는 다기능 디바이스 GUID 아래의 "자식 노드"입니다. 자식 노드를 설치하려면 Windows에서도 부모 노드를 설치할 수 있어야 합니다. 프린터 및 스캐너 함수에 대한 자식 GUID 외에 다기능 디바이스에 대한 부모 GUID의 디바이스 설정 클래스 설치를 허용해야 합니다.

자세한 내용은 MSDN 라이브러리 의 디바이스 설정 클래스 를 참조하세요.

이 가이드에서는 디바이스 설정 클래스를 사용하는 시나리오를 보여 주지 않습니다. 그러나 이 가이드에서 디바이스 식별 문자열을 사용하여 보여 준 기본 원칙은 디바이스 설정 클래스에도 적용됩니다. 특정 디바이스에 대한 디바이스 설정 클래스를 검색한 후 정책에서 이를 사용하여 해당 디바이스 클래스에 대한 디바이스 드라이버 설치를 허용하거나 방지할 수 있습니다.

디바이스 설치에 대한 그룹 정책 설정

디바이스 설치를 제어할 수 있도록 Windows Vista 및 Windows Server 2008에는 몇 가지 정책 설정이 도입되었습니다. 이러한 정책 설정을 단일 컴퓨터에서 개별적으로 구성하거나 Active Directory 도메인에서 그룹 정책 사용하여 많은 수의 컴퓨터에 적용할 수 있습니다. 그룹 정책 사용하여 클라이언트 컴퓨터를 관리하는 방법에 대한 자세한 내용은 그룹 정책.

독립 실행형 컴퓨터 또는 Active Directory 도메인의 여러 컴퓨터에 설정을 적용하려는 경우 그룹 정책 개체 편집기를 사용하여 정책 설정을 구성하고 적용합니다. 자세한 내용은 그룹 정책 개체 편집기 기술 참조를 참조하세요.

다음은 이 가이드에서 사용되는 DMI 정책 설정에 대한 간략한 설명입니다.

참고 이러한 정책 설정은 정책 설정이 적용되는 컴퓨터에 로그온하는 모든 사용자에게 영향을 미칩니다. 관리자가 디바이스 설치 정책을 재정의하도록 허용 정책을 제외하고 특정 사용자 또는 그룹에 이러한 정책을 적용할 수 없습니다. 이 정책은 이 섹션에 설명된 대로 다른 정책 설정을 구성하여 컴퓨터에 적용하는 디바이스 설치 제한에서 로컬 관리자 그룹의 구성원을 제외합니다.

  • 다른 정책 설정에 설명되지 않은 디바이스 설치를 방지합니다.

    이 정책 설정은 다른 정책 설정에서 구체적으로 설명하지 않은 디바이스의 설치를 제어합니다. 이 정책 설정을 사용하도록 설정하면 사용자는 이러한 디바이스 ID와 일치하는 디바이스 설치 허용 정책 설정 또는 이러한 디바이스 클래스에 디바이스 설치 허용 정책 설정에 설명된 경우가 아니면 디바이스용 드라이버를 설치 하거나 업데이트할 수 없습니다. 이 정책 설정을 사용하지 않거나 구성하지 않으면 사용자는 이러한 디바이스 ID와 일치하는 디바이스 설치 방지 정책 설정, 이러한 디바이스 클래스에 대한 디바이스 설치 방지 정책 설정 또는 이동식 디바이스 설치 방지 정책 설정에 설명되지 않은 모든 디바이스에 대해 드라이버를 설치하고 업데이트할 수 있습니다.

  • 관리자가 디바이스 설치 정책을 재정의할 수 있도록 허용합니다.

    이 정책 설정을 사용하면 로컬 관리자 그룹의 구성원이 다른 정책 설정에 관계없이 모든 디바이스에 대한 드라이버를 설치하고 업데이트할 수 있습니다. 이 정책 설정을 사용하면 관리자가 하드웨어 추가 마법사 또는 드라이버 업데이트 마법사를 사용하여 모든 디바이스에 대한 드라이버를 설치하고 업데이트할 수 있습니다. 이 정책 설정을 사용하지 않거나 구성하지 않으면 관리자에게 디바이스 설치를 제한하는 모든 정책 설정이 적용됩니다.

  • 이러한 디바이스 ID와 일치하는 디바이스의 설치를 방지합니다.

    이 정책 설정은 사용자가 설치할 수 없는 디바이스에 대한 플러그 앤 플레이 하드웨어 ID 및 호환 ID 목록을 지정합니다. 이 정책 설정을 사용하면 하드웨어 ID 또는 호환 ID가 이 목록의 드라이버와 일치하는 경우 디바이스에 대한 드라이버를 설치하거나 업데이트할 수 없습니다. 이 정책 설정을 사용하지 않거나 구성하지 않으면 사용자는 디바이스 설치에 대한 다른 정책 설정에서 허용하는 대로 디바이스를 설치하고 드라이버를 업데이트할 수 있습니다.

    참고 이 정책 설정은 사용자가 디바이스를 설치할 수 있도록 허용하는 다른 정책 설정보다 우선합니다. 이 정책 설정은 해당 디바이스의 설치를 허용하는 다른 정책 설정과 일치하는 경우에도 사용자가 디바이스를 설치할 수 없도록 합니다.

  • 이러한 디바이스 설정 클래스와 일치하는 드라이버 설치를 방지합니다.

    이 정책 설정은 사용자가 설치할 수 없는 디바이스에 대한 플러그 앤 플레이 디바이스 설정 클래스 GUID 목록을 지정합니다. 이 정책 설정을 사용하면 나열된 디바이스 설정 클래스에 속하는 디바이스를 설치하거나 업데이트할 수 없습니다. 이 정책 설정을 사용하지 않거나 구성하지 않으면 사용자는 디바이스 설치에 대한 다른 정책 설정에서 허용하는 대로 디바이스를 설치하고 업데이트할 수 있습니다.

    참고 이 정책 설정은 사용자가 디바이스를 설치할 수 있도록 허용하는 다른 정책 설정보다 우선합니다. 이 정책 설정은 해당 디바이스의 설치를 허용하는 다른 정책 설정과 일치하더라도 사용자가 디바이스를 설치할 수 없도록 합니다.

  • 이러한 디바이스 ID와 일치하는 디바이스 설치를 허용합니다.

    이 정책 설정은 사용자가 설치할 수 있는 디바이스를 설명하는 플러그 앤 플레이 하드웨어 ID 및 호환 ID 목록을 지정합니다. 이 설정은 다른 정책 설정에서 설명하지 않은 디바이스 설치 방지 정책 설정이 사용하도록 설정되어 있고 사용자가 디바이스를 설치하지 못하게 하는 정책 설정보다 우선하지 않는 경우에만 사용됩니다. 이 정책 설정을 사용하면 사용자가 이러한 디바이스 ID와 일치하는 디바이스 설치 방지 정책 설정, 이러한 디바이스 클래스에 대한 디바이스 설치 방지 정책 설정에 의해 설치가 특별히 방지되지 않은 경우 이 목록의 ID와 일치하는 하드웨어 ID 또는 호환 ID로 모든 디바이스를 설치 하고 업데이트할 수 있습니다. 또는 이동식 디바이스 설치 방지 정책 설정 다른 정책 설정으로 인해 사용자가 디바이스를 설치할 수 없는 경우 디바이스가 이 정책 설정의 값으로 설명되어 있더라도 설치할 수 없습니다. 이 정책 설정을 사용하지 않거나 구성하지 않고 디바이스를 설명하는 다른 정책이 없는 경우 다른 정책 설정 정책 설정에 설명되지 않은 디바이스 설치 방지 정책 설정에 따라 사용자가 디바이스를 설치할 수 있는지 여부가 결정됩니다.

  • 이러한 디바이스 클래스에 드라이버를 사용하여 디바이스 설치를 허용합니다.

    이 정책 설정은 사용자가 설치할 수 있는 디바이스를 설명하는 디바이스 설정 클래스 GUID 목록을 지정합니다. 이 설정은 다른 정책 설정에서 설명하지 않은 디바이스 설치 방지 정책 설정이 사용하도록 설정되어 있고 사용자가 디바이스를 설치하지 못하게 하는 정책 설정보다 우선하지 않는 경우에만 사용됩니다. 이 설정을 사용하면 이러한 디바이스 ID와 일치하는 디바이스 설치 방지 정책 설정, 이러한 디바이스 클래스에 대한 디바이스 설치 방지 정책 설정에 의해 설치가 특별히 차단되지 않은 경우 사용자는 이 목록의 ID 중 하나와 일치하는 하드웨어 ID 또는 호환 ID로 모든 디바이스를 설치하고 업데이트할 수 있습니다. 또는 이동식 디바이스 설치 방지 정책 설정 다른 정책 설정으로 인해 사용자가 디바이스를 설치할 수 없는 경우 디바이스가 이 정책 설정의 값으로 설명되어 있더라도 설치할 수 없습니다. 이 정책 설정을 사용하지 않거나 구성하지 않고 디바이스를 설명하는 다른 정책 설정이 없는 경우 다른 정책 설정 정책 설정에서 설명하지 않은 디바이스 설치 방지 정책 설정은 사용자가 디바이스를 설치할 수 있는지 여부를 결정합니다.

이러한 정책 중 일부는 다른 정책보다 우선합니다. 아래 표시된 순서도는 그림 1(아래)과 같이 Windows에서 디바이스를 처리하여 사용자가 디바이스를 설치할 수 있는지 여부를 확인하는 방법을 보여 줍니다.

Bb530324.grouppolicydeviceinstall01(en-us,MSDN.10).gif

그림 1. 사용자가 디바이스를 설치할 수 있는지 여부를 결정할 때 Windows에서 정책을 처리하는 방법

이동식 스토리지 액세스에 대한 그룹 정책 설정

Windows Vista 및 Windows Server 2008에서 관리자는 컴퓨터 정책을 적용하여 사용자가 이동식 미디어를 사용하여 디바이스에서 읽거나 쓸 수 있는지 여부를 제어할 수 있습니다. 이러한 정책은 중요한 또는 기밀 자료가 이동식 미디어 또는 스토리지가 포함된 이동식 디바이스에 기록된 다음, 프레미스에서 전달되는 것을 방지하는 데 사용할 수 있습니다.

컴퓨터 수준에서 이러한 정책 설정을 적용하여 컴퓨터에 로그온하는 모든 사용자에게 영향을 줄 수 있습니다. 사용자 수준에서 적용하고 적용을 특정 사용자 계정으로 제한할 수도 있습니다. Active Directory 환경에서 그룹 정책 사용하는 경우 단일 사용자 계정 외에도 사용자 그룹에 정책 설정을 적용할 수 있습니다. 또한 그룹 정책 많은 컴퓨터에 이러한 정책을 효과적으로 적용할 수 있습니다. 그룹 정책 사용하여 클라이언트 컴퓨터를 관리하는 방법에 대한 자세한 내용은 그룹 정책.

이동식 스토리지 액세스 정책 설정에는 관리자가 강제로 다시 부팅할 수 있도록 하는 설정도 포함됩니다. 제한 정책을 적용할 때 디바이스가 사용 중인 경우 컴퓨터를 다시 시작할 때까지 정책이 적용되지 않을 수 있습니다.

정책 설정은 두 위치에서 찾을 수 있습니다. 컴퓨터 구성\관리 템플릿\시스템\이동식 스토리지 액세스에 있는 정책 설정은 컴퓨터와 로그온하는 모든 사용자에게 영향을 줍니다. User Configuration\Administrative Templates\System\Removable Storage Access에 있는 정책 설정은 Active Directory를 사용하여 그룹 정책 적용된 경우 그룹을 포함하여 정책 설정이 적용되는 사용자에게만 영향을 줍니다.

다음은 이동식 스토리지 드라이브에 대한 읽기 또는 쓰기 액세스를 제어할 수 있는 정책에 대한 간략한 설명입니다. 각 디바이스 범주는 읽기 액세스를 거부하는 정책과 쓰기 액세스를 거부하는 정책의 두 가지 정책을 지원합니다.

  • 강제로 다시 부팅하는 시간(초)

    이동식 스토리지 디바이스에 대한 액세스 권한 변경을 적용하기 위해 시스템이 다시 시작할 때까지 대기하는 시간(초)을 설정합니다.

    참고 강제로 다시 시작하지 않으면 시스템이 다시 시작될 때까지 변경 내용이 적용되지 않습니다.

  • CD 및 DVD

    이러한 정책 설정을 사용하면 USB 연결된 디바이스를 포함하여 CD 및 DVD 이동식 스토리지 클래스의 디바이스에 대한 읽기 또는 쓰기 액세스를 거부할 수 있습니다.

  • 사용자 지정 클래스

    이러한 정책 설정을 사용하면 사용자가 제공한 목록에 디바이스 설정 클래스 GUID가 있는 모든 디바이스에 대한 읽기 또는 쓰기 액세스를 거부할 수 있습니다.

  • 플로피 드라이브

    이러한 정책 설정을 사용하면 USB 연결된 디바이스를 포함하여 플로피 드라이브 클래스의 디바이스에 대한 읽기 또는 쓰기 액세스를 거부할 수 있습니다.

  • 이동식 디스크

    이러한 정책 설정을 사용하면 USB 메모리 드라이브 또는 외부 USB 하드 디스크 드라이브와 같은 하드 디스크인 이동식 디바이스에 대한 읽기 또는 쓰기 액세스를 거부할 수 있습니다.

  • 테이프 드라이브

    이러한 정책 설정을 사용하면 USB 연결된 디바이스를 포함하여 테이프 드라이브에 대한 읽기 또는 쓰기 액세스를 거부할 수 있습니다.

  • WPD 디바이스

    이러한 정책 설정을 사용하면 Windows 이식 가능한 디바이스 클래스에서 디바이스에 대한 읽기 또는 쓰기 액세스를 거부할 수 있습니다. 이러한 디바이스에는 미디어 플레이어, 휴대폰, Windows CE 디바이스 등과 같은 "스마트" 디바이스가 포함됩니다.

  • 모든 이동식 스토리지 클래스: 모든 액세스 거부

    이 정책 설정은 이 목록의 정책 설정보다 우선하며, 사용하도록 설정된 경우 이동식 스토리지를 사용하는 것으로 식별되는 모든 디바이스에 대한 읽기 및 쓰기 액세스를 거부합니다. 이 정책 설정을 사용하지 않거나 구성하지 않으면 이 목록의 다른 정책 설정에 의해 적용되는 제한 사항에 따라 이동식 스토리지 클래스에 대한 읽기 및 쓰기 액세스가 허용됩니다.

시나리오를 완료하기 위한 요구 사항

각 시나리오를 완료하려면 다음이 있어야 합니다.

  • Windows Vista를 실행하는 클라이언트 컴퓨터입니다. 이 가이드에서는 이 컴퓨터를 DMI-Client1이라고 합니다.

  • USB 메모리 드라이브. 이 가이드에 설명된 시나리오에서는 USB 메모리 드라이브를 예제 디바이스로 사용합니다. 이 디바이스는 이동식 디스크 드라이브처럼 작동하며 "썸 드라이브", "플래시 드라이브" 또는 "키링 드라이브"라고도 합니다. 대부분의 USB 메모리 드라이브에는 제조업체에서 제공하는 드라이버가 필요하지 않으며, 이러한 디바이스는 Windows Vista 및 Windows Server 2008과 함께 제공되는 드라이버에서 작동합니다.

    참고 지침에서는 장치에 Windows Vista 및 Windows Server 2008에 포함된 드라이버 이외의 드라이버가 필요하지 않다고 가정합니다. 디바이스에 제조업체의 드라이버가 필요한 경우 Windows에서 해당 작업을 수행하라는 메시지가 표시되면 드라이버 파일을 제공해야 합니다. 이 단계는 시나리오에 포함되지 않습니다.

  • (선택 사항) CD 또는 DVD 버너. 마지막 시나리오에서는 이동식 미디어 읽기 전용으로 디바이스를 만드는 방법을 보여 줍니다. 실제로 CD 또는 DVD 버너를 설치하지 않고도 컴퓨터 정책을 설정할 수 있습니다. 그러나 컴퓨터 정책이 효과적인지 확인하려면 사용할 CD 또는 DVD 버너 디바이스가 있어야 합니다.

  • DMI-Client1에서 보호된 관리자 계정에 액세스합니다. 이 가이드에서는 이 계정 TestAdmin을 호출합니다. 이 가이드의 절차에서는 대부분의 단계에 대한 관리자 권한이 필요합니다. 다른 지시가 없는 한 각 절차의 시작 부분에서 이 관리자 계정을 사용하여 DMI-Client1 로그인해야 합니다.

    참고 Windows Vista 및 Windows Server 2008에서는 보호된 관리자 계정의 개념을 소개합니다. 이 계정은 Administrators 그룹의 구성원이지만 기본적으로 보안 권한은 직접 사용되지 않습니다. 관리자의 상승된 권한이 필요한 작업을 수행하려고 시도하면 해당 작업을 수행할 수 있는 권한을 요청하는 대화 상자가 생성됩니다. 이 대화 상자는 사용자 계정 컨트롤에 응답 페이지 섹션에서 설명합니다. 가능한 경우 기본 제공 관리자 계정 대신 보호된 관리자 계정을 사용하는 것이 좋습니다.

  • DMI-Client1의 표준 사용자 계정에 액세스합니다. 이 사용자 계정에는 모든 종류의 상승된 권한을 부여하는 특별한 멤버 자격이 없습니다. 이 가이드에서는 이 계정 TestUser를 호출합니다. 이렇게 하라는 지시가 있을 때만 이 계정으로 컴퓨터에 로그온합니다. 표준 사용자 계정을 사용하면 관리자의 상승된 권한이 필요한 작업을 수행하려고 하면 관리자 권한이 있는 계정의 자격 증명을 요청하는 대화 상자가 발생할 수 있습니다. 이 대화 상자는 사용자 계정 컨트롤에 응답 페이지 섹션에서 설명합니다.

필수 조건 프로시저

사용자가 디바이스를 설치할 수 있도록 허용하거나 방지하는 정책을 구현하려면 먼저 디바이스에 대한 디바이스 식별 문자열을 알고 있어야 합니다. USB 메모리 드라이브와 관련 드라이버를 완전히 제거하는 방법도 알고 있어야 합니다. 다음 절차에서는 이 가이드의 시나리오를 성공적으로 실행하도록 컴퓨터를 구성합니다.

  1. 사용자 계정 컨트롤 페이지에 응답
  2. USB 메모리 드라이브에 대한 디바이스 식별 문자열 확인
  3. USB 메모리 드라이브 제거

사용자 계정 컨트롤 페이지에 응답

이 가이드 전체에서 관리자 그룹의 구성원만 수행할 수 있는 작업을 수행하라는 메시지가 표시됩니다. Windows Vista 및 Windows Server 2008에서 관리자 권한이 필요한 작업을 수행하려고 하면 다음이 발생합니다.

  • 기본 제공 관리자 계정으로 로그인한 경우(권장하지 않음) 작업이 진행됩니다. 기본 제공 관리자 계정은 기본적으로 사용하지 않도록 설정됩니다.
  • 기본 제공 관리자 계정이 아닌 Administrators 그룹의 구성원인 경우 사용자계정컨트롤 대화 상자에서 계속할 수 있는 권한을 요청하는 메시지가 나타납니다. 계속을 클릭하면 작업이 진행됩니다.
  • 표준 사용자로 로그온한 경우 작업을 수행하지 못할 수 있습니다. 작업에 따라 사용자계정컨트롤 페이지가 표시되어 관리자 계정의 사용자 이름과 암호를 제공할 수 있습니다. 유효한 자격 증명을 제공하는 경우 작업은 제공한 관리자 계정의 보안 컨텍스트에서 실행됩니다. 이러한 자격 증명을 제공할 수 없는 경우 작업을 수행할 수 없습니다.

중요: 관리 작업을 실행할 수 있는 자격 증명 또는 권한을 제공하기 전에 시작한 작업에 대한 응답으로 사용자 계정 컨트롤 페이지가 표시되는지 확인합니다. 페이지가 예기치 않게 표시되면 세부 정보 단추를 클릭하고 허용하려는 작업인지 확인합니다.

이 가이드에서는 이러한 절차를 수행할 때 발생하는 모든 사용자 계정 컨트롤 대화 상자를 문서화하지는 않습니다. 관리자 권한으로 특정 작업을 실행하기 위해 특별한 단계가 필요한 경우 이러한 단계는 가이드에 설명되어 있습니다.

USB 메모리 드라이브에 대한 디바이스 식별 문자열 확인

다음 단계에 따라 디바이스의 디바이스 식별 문자열을 확인할 수 있습니다. 디바이스의 하드웨어 ID 및 호환 ID가 이 가이드에 표시된 것과 일치하지 않는 경우 디바이스에 적합한 ID를 사용합니다.

참고 다음 시나리오에서는 USB 메모리 드라이브를 설치한 다음 제거해야 합니다. 지침에서는 장치에 Windows Vista 및 Windows Server 2008에 포함된 드라이버 이외의 드라이버가 필요하지 않다고 가정합니다. 디바이스에 제조업체의 드라이버가 필요한 경우 Windows에서 해당 작업을 수행하라는 메시지가 표시되면 드라이버 파일을 제공해야 합니다. 이 단계는 시나리오에 포함되지 않습니다.

두 가지 방법으로 디바이스에 대한 하드웨어 ID 및 호환 ID를 확인할 수 있습니다. 운영 체제에 포함된 그래픽 도구인 디바이스 관리자 또는 DDK(드라이버 개발 키트)의 일부로 다운로드할 수 있는 명령줄 도구인 DevCon을 사용할 수 있습니다. 다음 절차에 따라 USB 메모리 드라이브에 대한 디바이스 식별 문자열을 볼 수 있습니다.

중요 이러한 절차는 USB 메모리 드라이브와 관련이 있습니다. 다른 유형의 디바이스를 사용하는 경우 그에 따라 단계를 조정해야 합니다. 중요한 차이점은 디바이스 관리자 계층 구조에서 디바이스의 위치입니다. 디스크 드라이브 노드에 있는 대신 적절한 노드에서 디바이스를 찾아야 합니다.

디바이스 관리자 사용하여 디바이스 식별 문자열을 찾으려면

  1. 컴퓨터에 DMI-Client1\TestAdmin으로 로그온합니다.

  2. USB 메모리 드라이브를 연결한 다음 설치를 완료하도록 허용합니다.

  3. 디바이스 관리자 열려면 시작 단추를 클릭하고 검색 시작 상자에 mmc devmgmt.msc를 입력한 다음 Enter 키를 누릅니.

  4. 사용자 계정 컨트롤 대화 상자가 나타나면 원하는 작업이 표시되었는지 확인한 다음 계속을 클릭합니다.

    디바이스 관리자 컴퓨터에서 검색된 모든 디바이스를 나타내는 트리를 시작하고 표시합니다. 트리 맨 위에는 컴퓨터 이름이 옆에 있는 노드가 있습니다. 하위 노드는 컴퓨터 디바이스가 그룹화되는 다양한 하드웨어 범주를 나타냅니다.

  5. 디스크 드라이브를 두 번 클릭하여 목록을 엽니다.

    Bb530324.grouppolicydeviceinstall02(en-us, MSDN.10).gif

    그림 2. 두 번 클릭하여 USB 디스크 드라이브 열기

  6. USB 메모리 드라이브의 항목을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다. 디바이스 속성 대화 상자가 나타납니다.

    Bb530324.grouppolicydeviceinstall03(en-us, MSDN.10).gif

    그림 3. USB 드라이브에 대한 디바이스 속성 대화 상자가 나타납니다.

  7. 세부 정보 탭을 클릭합니다.

  8. 속성 목록에서 하드웨어 ID를 클릭합니다.

  9. 에서 표시된 문자열을 기록해 둡니다.

    Bb530324.grouppolicydeviceinstall04(en-us, MSDN.10).gif

    그림 4. USB 드라이브에 대한 속성 대화 상자의 값 아래에 표시된 문자열을 기억하세요.

    참고: 텍스트를 강조 표시하고 Ctrl-C를 눌러 문자열을 클립보드에 복사할 수 있습니다. 많은 하드웨어 ID에는 여러 밑줄 문자가 있으므로 식별자를 지정해야 할 때 붙여넣을 수 있는 텍스트 파일에 복사하는 것이 좋습니다. 이 방법을 사용하면 승인되거나 금지된 디바이스 목록에 특정 식별자를 추가해야 하는 경우 오류가 발생할 가능성이 크게 줄어듭니다.

  10. 속성 목록에서 호환 ID를 클릭합니다.

  11. 에서 표시된 문자열을 기록해 둡니다.

    Bb530324.grouppolicydeviceinstall05(en-us, MSDN.10).gif

    그림 5. USB 드라이브에 대한 속성 대화 상자의 값 아래에 표시된 문자열을 기억하세요.

참고 DevCon 명령줄 유틸리티를 사용하여 디바이스 식별 문자열을 확인할 수도 있습니다. Microsoft 도움말 및 지원 사이트에서 DevCon을 다운로드할 수 있습니다. 자세한 내용은 디바이스 관리자 대신 DevCon 명령줄 유틸리티 함수를 참조하세요.

Devcon

DevCon HwID

USB 메모리 드라이브 제거

일반적으로 USB 메모리 드라이브를 매일 사용하는 경우 일반적으로 USB 포트에서 드라이브를 꺼낼 수 있습니다. 그러나 이 가이드에서는 디바이스 드라이버를 제거하여 각 시나리오가 적절한 상태의 컴퓨터로 시작되도록 해야 합니다. 지시 시 디바이스를 제거하지 못하면 아래 시나리오에서 테스트된 정책이 아무런 영향을 미치지 않으며 예상된 결과가 표시되지 않습니다. 디바이스를 제거하고 제거하라는 지시가 있을 때 이 가이드 전체에서 동일한 단계를 사용합니다.

중요 마지막 단계가 될 때까지 USB 포트에서 디바이스를 물리적으로 분리하지 마세요.

USB 메모리 드라이브를 제거하려면

  1. 컴퓨터 DMI-Client1\TestAdmin에 로그온합니다.

  2. 디바이스 관리자 열려면 시작 단추를 클릭하고 검색 시작 상자에 mmc devmgmt.msc를 입력한 다음 Enter 키를 누릅니.

  3. 사용자 계정 컨트롤 대화 상자가 나타나면 표시되는 작업이 원하는 작업인지 확인한 다음 계속을 클릭합니다.

  4. USB 메모리 드라이브의 항목을 마우스 오른쪽 단추로 클릭한 다음 제거를 클릭합니다.

    Bb530324.grouppolicydeviceinstall06(en-us, MSDN.10).gif

    그림 6. 마우스 오른쪽 단추를 클릭하여 USB 메모리 드라이브를 제거합니다.

  5. 디바이스 제거 확인 대화 상자에서 확인을 클릭하여 제거 프로세스가 완료되도록 허용합니다.

  6. Windows에서 제거 프로세스를 완료하면 디바이스 관리자 트리에서 디바이스 항목이 제거됩니다.

  7. USB 포트에서 USB 메모리 드라이브를 분리합니다.

모든 디바이스 설치 방지

이 시나리오에서는 모든 디바이스 설치를 방지하고 기존 디바이스를 새 디바이스 드라이버로 업데이트할 수 없는 가장 제한적인 구성을 구현하는 데 필요한 일반적인 단계를 설명합니다. 사용자는 관리자의 개입 없이 디바이스를 설치하고 사용할 수 없습니다. 관리자는 필요에 따라 모든 디바이스를 설치하거나 업데이트할 수 있습니다.

모든 디바이스의 설치를 방지하기 위한 필수 구성 요소

이 시나리오의 절차를 완료하려면 이 문서의 앞부분에 있는 USB 메모리 드라이브 제거 섹션에 설명된 대로 USB 메모리 드라이브를 제거해야 합니다.

모든 디바이스의 설치를 방지하는 단계

  1. 디바이스 설치를 방지하도록 정책 구성
  2. 관리자가 디바이스 설치 제한을 재정의할 수 있도록 정책 구성
  3. 사용자로 제한 설정의 효과 테스트

디바이스 설치를 방지하도록 정책 구성

디바이스의 설치 또는 업데이트를 방지하는 정책을 구성하려면

  1. 컴퓨터에 DMI-Client1\TestAdmin으로 로그온합니다.

  2. 그룹 정책 개체 편집기를 열려면 시작 단추를 클릭하고 검색 시작 상자에 mmc gpedit.msc를 입력한 다음 Enter 키를 누릅니.

  3. 사용자 계정 컨트롤 대화 상자가 나타나면 표시되는 작업이 원하는 작업인지 확인한 다음 계속을 클릭합니다.

  4. 그룹 정책 개체 편집기 탐색 창에서 컴퓨터 구성을 두 번 클릭하여 엽니다. 그런 다음 관리 템플릿을 열고 시스템을 열고 디바이스 설치를 연 다음 디바이스 설치 제한을 엽니다.

    Bb530324.grouppolicydeviceinstall07(en-us, MSDN.10).gif

    그림 7. 그룹 정책 개체 편집기 탐색 창

  5. 세부 정보 창에서 다른 정책 설정에 설명되지 않은 디바이스 설치 방지를 마우스 오른쪽 단추로 클릭하고 속성을 클릭합니다.

  6. 정책 대화 상자가 현재 설정과 함께 표시됩니다.

  7. 설정 탭에서 사용을 클릭하여 정책을 켭니다.

  8. 확인을 클릭하여 설정을 저장하고 그룹 정책 개체 편집기로 돌아갑니다.

관리자가 디바이스 설치 제한을 재정의할 수 있도록 정책 구성

다음 정책을 사용하면 관리자가 방금 사용하도록 설정한 정책을 포함하여 다른 디바이스 설치 정책 설정에 의해 부과되는 제한을 재정의할 수 있습니다.

관리자가 디바이스 설치 제한을 재정의할 수 있도록 정책을 구성하려면

  1. 세부 정보 창에서 관리자가 디바이스 설치 정책을 재정의하도록 허용을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.

  2. 정책 대화 상자가 현재 설정과 함께 표시됩니다.

  3. 설정 탭에서 사용을 클릭하여 정책 설정을 켭니다.

  4. 확인을 클릭하여 설정을 저장하고 그룹 정책 개체 편집기로 돌아갑니다.

  5. 이제 두 정책 모두 상태를 사용하도록 설정됨으로 표시합니다.

    Bb530324.grouppolicydeviceinstall08s(en-us, MSDN.10).gif

    그림 8. 두 정책 모두 상태를 사용하도록 설정됨으로 표시합니다.

사용자로 제한 설정의 효과 테스트

두 정책을 모두 사용하도록 설정하면 컴퓨터에 적용하고 디바이스를 설치하여 제한이 작동하는지 확인할 수 있습니다.

사용자로 제한 설정의 효과를 테스트하려면

  1. 디바이스가 설치된 경우 이 문서의 앞부분에 있는 USB 메모리 드라이브 제거 섹션의 단계에 따라 디바이스를 제거하고 제거합니다.

  2. 시작 단추를 클릭하고 검색 시작 상자에 gpupdate /force를 입력한 다음 Enter 키를 누릅니.

  3. GPUdate 명령이 완료되면 컴퓨터에서 로그오프한 다음 DMI-Client1\TestUser로 로그온합니다.

  4. 디바이스 관리자 열려면 시작 단추를 클릭하고 검색 시작 상자에 mmc devmgmt.msc를 입력한 다음 Enter 키를 누릅니.

  5. 디바이스 관리자 변경할 수 있는 권한이 없음을 나타내는 다음 메시지가 나타납니다.

    Bb530324.grouppolicydeviceinstall09(en-us, MSDN.10).gif

    그림 9. 권한이 없음을 나타내는 메시지가 표시됩니다.

  6. 확인을 클릭하여 메시지를 승인합니다. (디바이스 관리자 시작되고 컴퓨터에서 디바이스를 볼 수 있습니다.)

  7. USB 메모리 드라이브를 연결합니다.

  8. 설치가 성공적으로 완료될 때까지 디바이스는 기타 디바이스 노드 아래의 디바이스 관리자 표시됩니다.

    Bb530324.grouppolicydeviceinstall10(en-us,MSDN.10).gif

    그림 10. 설치가 완료될 때까지 다른 디바이스 아래에 디바이스가 표시됩니다.

  9. 관리 권한이 없는 표준 사용자로 로그온하고 디바이스 설치가 제한되었으므로 다음 대화 상자가 나타납니다.

    Bb530324.grouppolicydeviceinstall11(en-us,MSDN.10).gif

    그림 11. 관리 권한이 없는 표준 사용자로 로그온할 때 표시되는 대화 상자

  10. 일반적인 사용자 응답을 시뮬레이션하려면 드라이버 소프트웨어 찾기 및 설치(권장)를 클릭합니다.

  11. 관리자 권한이 있는 계정에 대한 사용자 이름 및 암호를 묻는 사용자 계정 컨트롤 대화 상자의 변형이 나타납니다.

  12. 사용자에게 제공할 관리자 자격 증명이 없으므로 취소 를 클릭하여 사용자처럼 시도를 중단합니다.

  13. 디바이스 드라이버 설치가 실패하고 디바이스가 다른 디바이스 노드 아래에 남아 있고 작동하지 않습니다.

    Bb530324.grouppolicydeviceinstall12(en-us,MSDN.10).gif

    그림 12. 디바이스 설치가 실패하고 디바이스가 작동하지 않음

사용자가 권한 있는 디바이스만 설치하도록 허용

이 시나리오는 첫 번째 시나리오인 모든 디바이스의 설치 방지를 기반으로 하며, 여기서 모든 디바이스의 설치를 차단했습니다. 이 시나리오에서는 정책에 허용되는 디바이스 목록을 추가하고 USB 메모리 드라이브에 대한 하드웨어 ID를 포함합니다.

사용자가 권한 있는 디바이스만 설치할 수 있도록 하기 위한 필수 구성 요소

이 작업을 완료하려면 먼저 첫 번째 시나리오인 모든 디바이스 설치 방지의 모든 단계를 완료해야 합니다.

사용자가 권한 있는 디바이스만 설치할 수 있도록 허용하는 단계

이 섹션에서는 권한 있는 디바이스 목록을 만들어 모든 디바이스 설치 방지에 적용되는 제한 사항에 허용된 디바이스를 추가합니다.

  1. 권한 있는 디바이스 목록 만들기
  2. 권한 있는 디바이스의 효과 테스트

권한 있는 디바이스 목록 만들기

승인된 디바이스 목록을 만들려면

  1. 컴퓨터에 DMI-Client1\TestAdmin으로 로그온합니다.

  2. 장치가 현재 설치되어 있는 경우 이 문서의 앞부분에 있는 USB 메모리 드라이브 제거 섹션의 단계에 따라 디바이스를 제거하고 제거합니다.

  3. 그룹 정책 개체 편집기를 열려면 시작 단추를 클릭하고 검색 시작 상자에 mmc gpedit.msc를 입력한 다음 Enter 키를 누릅니다.

  4. 그룹 정책 개체 편집기 탐색 창에서 컴퓨터 구성을 두 번 클릭하여 엽니다. 그런 다음 관리 템플릿을 열고 시스템을 열고 디바이스 설치를 연 다음 디바이스 설치 제한을 엽니다.

  5. 세부 정보 창에서 이러한 디바이스 ID와 일치하는 디바이스 설치 허용을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.

  6. 정책 대화 상자가 현재 설정과 함께 나타납니다.

  7. 설정 탭에서 사용을 클릭하여 이 정책을 켭니다.

    Bb530324.grouppolicydeviceinstall13(en-us,MSDN.10).gif

    그림 13. 사용을 클릭하여 정책을 켭니다.

  8. 표시를 클릭하여 콘텐츠 표시 대화 상자에서 허용된 디바이스 목록을 봅니다. (기본적으로 목록은 비어 있습니다.)

  9. 추가를 클릭하여 항목 추가 대화 상자를 엽니다.

  10. 디바이스의 디바이스 ID(첫 번째 하드웨어 ID)를 입력합니다.

    Bb530324.grouppolicydeviceinstall14(en-us,MSDN.10).gif

    그림 14. USB 디바이스의 디바이스 ID 입력

  11. 확인을 클릭하여 내용 표시 대화 상자로 돌아갑니다. 이제 디바이스가 목록에 표시됩니다.

    Bb530324.grouppolicydeviceinstall15(en-us,MSDN.10).gif

    그림 15. 이제 디바이스 설치가 승인되었습니다.

  12. 확인을 클릭하여 정책 대화 상자로 돌아가서 확인을 클릭하여 새 정책 설정을 저장합니다.

권한 있는 디바이스 목록 테스트

정책 설정을 사용하도록 설정하면 컴퓨터에 적용하고 디바이스 설치를 시도할 수 있습니다.

권한 있는 디바이스 목록을 테스트하려면

  1. 시작 단추를 클릭하고 검색 시작 상자에 gpupdate/force를 입력한 다음 Enter 키를 누릅니다.

  2. gpudate 명령이 완료되면 컴퓨터에서 로그오프한 다음 DMI-Client1\TestUser로 로그온합니다.

  3. 디바이스 관리자 열려면 시작 단추를 클릭하고 검색 시작 상자에 mmc devmgmt.msc를 입력한 다음 Enter 키를 누릅니다.

  4. 디바이스 관리자 변경할 수 있는 권한이 없음을 나타내는 다음 메시지가 나타납니다.

    Bb530324.grouppolicydeviceinstall16s(en-us,MSDN.10).gif

    그림 16. 권한이 없음을 나타내는 메시지가 표시됩니다.

  5. 확인 을 클릭하여 메시지를 닫습니다. 디바이스 관리자 시작되고 컴퓨터에서 디바이스를 볼 수 있습니다.

  6. USB 메모리 드라이브를 연결합니다.

  7. Windows가 설치를 완료할 때까지 디바이스가 다른 디바이스 노드 아래의 디바이스 관리자 표시됩니다.

    Bb530324.grouppolicydeviceinstall17(en-us,MSDN.10).gif

    그림 17. 설치가 완료될 때까지 디바이스가 다른 디바이스 아래에 표시됩니다.

  8. Windows 설치가 완료되면 디바이스가 디바이스 관리자 디스크 드라이브 노드로 이동하고 완벽하게 작동합니다.

    Bb530324.grouppolicydeviceinstall18(en-us,MSDN.10).gif

    그림 18. 설치가 완료되면 디바이스가 완벽하게 작동합니다.

금지된 디바이스 설치 방지

이 시나리오에서는 디바이스 설치를 제어하는 다른 방법을 제공합니다. 처음 두 시나리오에서는 권한 있는 디바이스 목록에서 허용하는 디바이스를 제외한 모든 디바이스를 설치할 수 없습니다. 이 시나리오에서는 금지된 디바이스 목록에 있는 디바이스를 제외한 모든 디바이스의 설치를 허용합니다. 또한 첫 번째 시나리오에서 만든 관리자에 대한 예외를 제거하여 관리자도 정책의 영향을 받도록 합니다.

금지된 디바이스의 설치를 방지하기 위한 필수 구성 요소

모든 디바이스 설치 방지 및 사용자가 권한 있는 디바이스만 설치하도록 허용의 단계를 완료한 경우 다음 단계를 사용하여 해당 정책을 사용하지 않도록 설정해야 합니다.

  • 모든 디바이스의 설치를 사용하도록 설정합니다.
  • 디바이스 설치를 허용하도록 Administrators 그룹의 구성원에 대한 예외를 제거합니다.
  • 승인된 디바이스 목록에서 하드웨어 ID를 제거합니다.

모든 디바이스 설치를 사용하도록 설정하려면

  1. 컴퓨터에 DMI-Client1\TestAdmin으로 로그온합니다.
  2. 그룹 정책 개체 편집기를 열려면 시작 단추를 클릭하고 검색 시작 상자에 mmc gpedit.msc를 입력한 다음 Enter 키를 누릅니다.
  3. 그룹 정책 개체 편집기 탐색 창에서 컴퓨터 구성을 두 번 클릭하여 엽니다. 그런 다음 관리 템플릿을 열고 시스템을 열고 디바이스 설치를 연 다음 디바이스 설치 제한을 엽니다.
  4. 세부 정보 창에서 노드 다른 정책 설정에 설명되지 않은 디바이스 설치 방지를 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.
  5. 정책 대화 상자가 현재 설정과 함께 나타납니다.
  6. 사용 안 함을 클릭하여 정책 설정을 끕니다.
  7. 확인을 클릭하여 설정을 저장하고 그룹 정책 개체 편집기로 돌아갑니다.

다음 단계는 Administrators 그룹의 구성원에게 예외를 부여한 정책을 제거하는 것입니다.

관리자가 제한을 그룹 정책 예외를 제거하려면

  1. 그룹 정책 개체 편집기에서 관리자가 디바이스 설치 정책을 재정의할 수 있도록 허용을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.
  2. 정책 대화 상자가 현재 설정과 함께 나타납니다.
  3. 설정 탭에서 사용 안 함을 클릭하여 정책 설정을 해제합니다.
  4. 확인을 클릭하여 설정을 저장하고 그룹 정책 개체 편집기로 돌아갑니다.

다음 단계는 두 번째 시나리오에서 만든 권한 있는 디바이스 목록에서 하드웨어 ID를 제거하는 것입니다.

권한 있는 디바이스 목록에서 하드웨어 ID를 제거하려면

  1. 그룹 정책 개체 편집기에서 이러한 디바이스 ID와 일치하는 디바이스 설치 허용을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다. 정책 대화 상자가 현재 설정과 함께 나타납니다.
  2. 설정 탭에서 표시 를 클릭하여 권한 있는 디바이스 목록을 봅니다.
  3. 콘텐츠 표시 대화 상자에서 USB 메모리 드라이브의 이름을 선택한 다음 제거를 클릭합니다. Windows는 목록에서 디바이스를 제거합니다.
  4. 확인을 클릭하여 콘텐츠 표시 대화 상자를 닫고 정책 대화 상자로 돌아갑니다.
  5. 사용 안 함을 클릭하여 정책 설정을 끕니다.
  6. 확인을 클릭하여 변경 내용을 저장하고 그룹 정책 개체 편집기로 돌아갑니다.

금지된 디바이스의 설치를 방지하는 단계

사용자가 특정 디바이스를 설치하지 못하도록 하려면 금지된 디바이스 목록을 만듭니다. 이 섹션에서는 다음을 수행합니다.

  1. 금지된 디바이스 목록 만들기
  2. 금지된 디바이스 목록 테스트

금지된 디바이스 목록 만들기

금지된 디바이스 목록을 만들려면

  1. 장치가 현재 설치되어 있는 경우 이 문서의 앞부분에 있는 USB 메모리 드라이브 제거 섹션의 단계에 따라 디바이스를 제거하고 제거합니다.

  2. 컴퓨터에 DMI-Client1\TestAdmin으로 로그온합니다.

  3. 아직 실행되고 있지 않으면 개체 편집기를 그룹 정책 시작합니다. 이렇게 하려면 시작 단추를 클릭하고 검색 시작 상자에 mmc gpedit.msc를 입력한 다음 Enter 키를 누릅니다.

  4. 트리에서 컴퓨터 구성을 두 번 클릭하여 엽니다. 그런 다음 관리 템플릿을 열고 시스템을 열고 디바이스 설치를 연 다음 디바이스 설치 제한을 엽니다.

  5. 세부 정보 창에서 이러한 디바이스 ID와 일치하는 디바이스 설치 방지를 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다. 정책 대화 상자가 현재 설정과 함께 나타납니다.

  6. 설정 탭에서 사용을 클릭하여 이 정책을 켭니다.

    Bb530324.grouppolicydeviceinstall19(en-us,MSDN.10).gif

    그림 19. 사용을 클릭하여 정책을 활성화합니다.

  7. 표시를 클릭하여 금지된 디바이스 목록을 봅니다.

  8. 콘텐츠 표시 대화 상자에서 추가를 클릭합니다.

  9. 항목 추가 대화 상자에서 디바이스에 대해 찾은 디바이스 ID(첫 번째 하드웨어 ID)를 입력합니다.

  10. 확인을 클릭하여 내용 표시 대화 상자로 돌아갑니다.

  11. 이제 디바이스가 목록에 표시됩니다.

    Bb530324.grouppolicydeviceinstall20(en-us,MSDN.10).gif

    그림 20. 이제 이 디바이스에 대한 설치가 금지됩니다.

  12. 확인을 클릭하여 정책 대화 상자로 돌아가서 확인을 클릭하여 새 정책 설정을 저장합니다.

금지된 디바이스 목록 테스트

이제 디바이스를 설치할 수 있습니다. 정책이 더 이상 설치를 차단하지 않으므로 다른 디바이스를 설치할 수 있지만 관리자 그룹의 구성원으로 로그온한 경우에도 이 특정 디바이스를 설치할 수 없습니다.

금지된 디바이스 목록을 테스트하려면

  1. 시작 단추를 클릭하고 검색 시작 상자에 gpupdate /force를 입력한 다음 Enter 키를 누릅니다.

  2. gpudate 명령이 완료되면 명령 프롬프트를 닫습니다.

  3. 디바이스 관리자 열려면 시작 단추를 클릭하고 검색 시작 상자에 mmc devmgmt.msc를 입력한 다음 Enter 키를 누릅니다.

  4. USB 메모리 드라이브를 연결합니다.

  5. 디바이스가 다른 디바이스 노드 아래의 디바이스 관리자 표시됩니다.

  6. 설치가 완료되지 않고 디바이스가 작동하지 않습니다.

    Bb530324.grouppolicydeviceinstall21(en-us,MSDN.10).gif

    그림 21. 설치가 완료되지 않고 디바이스가 작동하지 않습니다.

  7. Windows는 설치에 실패한 이유를 나타내는 메시지를 알림 영역에 표시합니다.

    Bb530324.grouppolicydeviceinstall22(en-us,MSDN.10).gif

    그림 22. 설치에 실패한 이유를 표시하는 메시지가 표시됩니다.

  8. 디바이스용 드라이버를 수동으로 설치하여 제한을 무시하려고 시도할 수 있습니다. 디바이스를 마우스 오른쪽 단추로 클릭한 다음 드라이버 소프트웨어 업데이트를 클릭합니다.

  9. 운영 체제에서 디바이스에 대한 디바이스 드라이버를 제공하라는 메시지를 표시합니다.

    Bb530324.grouppolicydeviceinstall23(en-us,MSDN.10).gif

    그림 23. 디바이스 드라이버에 대한 프롬프트가 표시됩니다.

  10. 사용자가 시도할 수 있는 작업을 시뮬레이션하려면 업데이트된 드라이버 소프트웨어에 대해 자동으로 검색을 클릭합니다.

  11. Windows를 찾았지만 드라이버를 설치할 수 없다는 메시지가 나타납니다. 마지막 단락에서는 만든 정책에 의해 설치 시도가 금지되어 설치 시도가 실패했음을 설명합니다.

    Bb530324.grouppolicydeviceinstall24(en-us,MSDN.10).gif

    그림 24. 대화 상자에서 설치에 실패한 이유를 설명합니다.

이동식 미디어에 대한 읽기 및 쓰기 권한 제어

이 시나리오에서는 Windows Vista 및 Windows Server 2008을 실행하는 컴퓨터에서 이동식 미디어를 사용하는 이동식 디바이스 또는 디바이스에 대한 읽기 또는 쓰기 액세스를 제어하는 방법을 보여 줍니다. 이 시나리오에서는 USB 메모리 드라이브를 읽기 전용으로 설정하도록 컴퓨터 정책을 설정합니다. 또한 컴퓨터에 연결된 CD 또는 DVD 버너를 읽기 전용으로 설정하여 실제로 굽기 기능을 사용하지 않도록 설정합니다.

이동식 미디어에 대한 읽기 및 쓰기 권한을 제어하기 위한 필수 구성 요소

이 섹션의 절차를 시도하려면 먼저 USB 메모리 드라이브 설치를 방지하는 정책을 사용하지 않도록 설정해야 합니다.

USB 메모리 드라이브 설치를 방지하는 정책을 사용하지 않도록 설정하려면

  1. 장치가 현재 설치되어 있는 경우 이 문서의 앞부분에 있는 USB 메모리 드라이브 제거 섹션의 단계에 따라 디바이스를 제거하고 제거합니다.
  2. 그룹 정책 개체 편집기의 세부 정보 창에서 이러한 디바이스 ID와 일치하는 디바이스 설치 방지를 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.
  3. 정책 대화 상자가 현재 설정과 함께 표시됩니다.
  4. 설정 탭에서 표시 를 클릭하여 금지된 디바이스 목록을 봅니다.
  5. 콘텐츠 표시 대화 상자에서 USB 메모리 드라이브를 클릭하고 제거를 클릭한 다음 확인을 클릭합니다.
  6. 설정 탭에서 사용 안 함을 클릭하여 이 정책 설정을 끕니다.
  7. 확인을 클릭하여 변경 내용을 저장합니다.

이동식 미디어에 대한 읽기 및 쓰기 권한을 제어하는 단계

  1. 특정 이동식 디바이스 클래스에 대한 쓰기 액세스를 거부하도록 컴퓨터 정책 설정
  2. 컴퓨터 정책 설정 테스트

특정 이동식 디바이스 클래스에 대한 쓰기 액세스를 거부하도록 컴퓨터 정책 설정

이 절차에서 설정한 정책은 많은 이동식 스토리지 디바이스에 대한 쓰기 액세스를 차단합니다. 그러나 디바이스에 대한 쓰기 액세스를 차단하는 정확한 컴퓨터 정책은 특정 만들기 및 모델 디바이스에 따라 달라질 수 있습니다. 사용자 지정 클래스 정책을 사용할 수도 있지만 특정 디바이스에 대한 디바이스 설정 클래스 GUID를 식별해야 합니다.

특정 이동식 디바이스 클래스에 대한 쓰기 액세스를 거부하려면

  1. 그룹 정책 개체 편집기 탐색 창에서 컴퓨터 구성을 연 다음 관리 템플릿을 열고 시스템을 연 다음 이동식 스토리지 액세스를 엽니다.
  2. CD 및 DVD: 쓰기 액세스 거부를 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.
  3. 속성 대화 상자에서 사용을 클릭하여 제한을 켜고 확인을 클릭합니다.
  4. 다음 컴퓨터 정책에 대해 2단계와 3단계를 반복합니다.
    • 이동식 디스크: 쓰기 액세스 거부
    • 플로피 드라이브: 쓰기 액세스 거부
    • WPD 디바이스: 쓰기 액세스 거부
  5. 그룹 정책 개체 편집기를 닫습니다.

컴퓨터 정책 설정 테스트

디바이스가 사용 중인 경우 쓰기 액세스 제한 정책을 즉시 적용할 수 없습니다. 컴퓨터 정책을 적용하려면 컴퓨터를 다시 시작합니다.

컴퓨터 정책 설정을 테스트하려면

  1. 시작 단추를 클릭하고 검색 시작 상자에 gpupdate /force를 입력한 다음 Enter 키를 누릅니다.

  2. gpudate 명령이 완료되면 컴퓨터를 다시 시작합니다.

  3. 컴퓨터에 DMI-Client1\TestAdmin으로 로그온합니다.

  4. USB 메모리 드라이브를 연결한 다음 Windows에서 작동 중임을 알 수 있는 때까지 기다립니다.

  5. 시작을 클릭하고 컴퓨터를 클릭한 다음 USB 메모리 드라이브를 두 번 클릭합니다.

  6. Windows Explorer 세부 정보 창의 열린 영역을 마우스 오른쪽 단추로 클릭하고 새로 만들기를 클릭한 다음 폴더를 클릭합니다.

  7. 폴더를 만들지 못한 이유를 설명하는 오류 메시지가 Windows에 표시됩니다.

    Bb530324.grouppolicydeviceinstall25(en-us, MSDN.10).gif

    그림 25. 폴더 만들기 시도가 실패한 이유를 설명하는 오류 메시지

  8. 계속을 클릭하여 제한 사항을 해결합니다.

  9. 사용자 계정 컨트롤 대화 상자가 나타나면 표시되는 작업이 원하는 작업인지 확인한 다음 계속을 클릭합니다.

  10. 폴더에 쓸 수 없는 이유를 나타내는 두 번째 메시지가 Windows에 표시됩니다.

    Bb530324.grouppolicydeviceinstall26(en-us, MSDN.10).gif

    그림 26. 두 번째 오류 메시지는 쓰기 권한이 허용되지 않는 이유를 나타냅니다.

결론

이 가이드에서는 랩 환경에서 샘플 디바이스를 사용하여 사용자가 디바이스를 설치할 수 있는지 여부를 제어하는 방법을 알아봅니다. 이동식 미디어를 사용하는 이동식 스토리지 디바이스 또는 디바이스에 대한 액세스를 제한하는 방법도 알아보았습니다. 이러한 방식으로 설치 및 디바이스 사용을 제어하면 보안이 향상되고 사용자가 설치할 수 있는 디바이스를 organization 승인하고 지원하는 디바이스로 제한하여 지원 센터의 효율성이 향상됩니다. 이러한 구성을 보여 주는 데 사용되는 시나리오는 다음과 같습니다.

  • 모든 디바이스의 설치를 방지합니다.

    이 시나리오에서는 표준 사용자가 디바이스를 설치하지 못하도록 차단했지만 관리자가 디바이스를 설치하거나 업데이트할 수 있도록 허용했습니다.

  • 사용자가 권한 있는 디바이스만 설치하도록 허용합니다.

    이 시나리오에서는 표준 사용자가 권한 있는 디바이스 목록에 포함된 디바이스만 설치하도록 허용했습니다.

  • 금지된 디바이스만 설치하지 않도록 합니다.

    이 시나리오에서는 표준 사용자가 대부분의 디바이스를 설치하도록 허용했지만 금지된 디바이스 목록에 포함된 디바이스를 설치하지 못하게 했습니다.

  • 이동식 미디어 스토리지 디바이스의 사용을 제어합니다.

    이 시나리오에서는 표준 사용자가 이동식 스토리지 디바이스 또는 USB 메모리 드라이브 또는 CD 또는 DVD 버너와 같은 이동식 미디어가 있는 디바이스에 데이터를 쓰지 못하게 했습니다.

추가 리소스

디바이스 설치에 대한 자세한 내용은 다음을 수행합니다.

DevCon 도구에 대한 자세한 내용은 다음을 수행합니다.

Windows Vista의 사용자 계정 컨트롤에 대한 자세한 내용은 다음을 수행합니다.

그룹 정책 대한 자세한 내용은 다음을 수행합니다.

버그 및 피드백 로깅

피드백이 있으시면 언제든지 보내주세요. 포함된 시나리오가 설명된 대로 작동하지 않거나 기술을 사용하려는 방식을 캡처하지 못하는 경우 알려주세요. 사용자가 제공한 피드백을 사용하여 이 설명서의 품질을 개선할 것입니다. 이 설명서에 대한 의견을 Vista 피드백(vistafb@microsoft.com)에 보냅니다.

Windows Vista에 대한 피드백은 의 Windows Vista 웹 페이지 https://www.microsoft.com/windowsvista아래쪽에 있는 "문의처" 링크를 사용하세요.