오늘은 Active Directory 그룹 정책(GPO)을 활용하여 도메인 내 모든 컴퓨터에 화면보호기를 강제로 설정하는 방법을 상세히 알아보겠습니다.
기업 환경에서 보안을 강화하고 일관된 사용자 경험을 제공하는 것은 매우 중요합니다. 특히 임직원들이 자리를 비웠을 때 화면이 자동으로 잠기도록 화면보호기를 설정하는 것은 정보 보호의 첫걸음이라고 할 수 있죠.
1. GPO 화면보호기 정책의 중요성
회사에서 직원들이 자리를 비우면서 컴퓨터를 그대로 두는 경우를 종종 보게 됩니다. 이런 상황에서 화면보호기와 화면 잠금 기능은 정보 유출을 방지하는 핵심적인 보안 요소입니다.
GPO를 통한 화면보호기 설정의 주요 장점은 다음과 같습니다:
- 중앙 집중식 관리: 수백 대의 컴퓨터를 개별적으로 설정할 필요 없이 한 번에 정책 적용 가능
- 일관성 보장: 모든 사용자가 동일한 보안 정책을 적용받음
- 자동 복구: 사용자가 설정을 변경하더라도 정책이 자동으로 원래대로 복구
- 보안 강화: 패스워드 보호 기능을 통한 무단 접근 차단
2. 필수 준비사항 및 환경 요구사항
GPO 화면보호기 설정을 시작하기 전에 다음 사항들을 확인해야 합니다:
시스템 요구사항
| 구분 | 요구사항 |
|---|---|
| 도메인 컨트롤러 | Windows Server 2016 이상 |
| 클라이언트 OS | Windows 10/11, Windows Server 2016 이상 |
| 관리자 권한 | Domain Admins 또는 Group Policy Creator Owners |
| 네트워크 | 안정적인 도메인 연결 |
주요 고려사항
- SYSVOL 폴더 접근 권한 확인
- 사용자 계정이 적절한 OU(Organizational Unit)에 배치되어 있는지 확인
- 기존 로컬 정책과의 충돌 여부 점검
3. 단계별 GPO 화면보호기 설정 가이드
3-1. GPO 생성 및 기본 설정
먼저 도메인 컨트롤러에 로그인하여 Group Policy Management Console(그룹 정책 관리 콘솔)을 실행합니다.
- 시작 메뉴에서
gpmc.msc입력하여 Group Policy Management 실행 - 좌측 트리에서 해당 도메인 또는 OU를 우클릭
- Create a GPO in this domain, and Link it here(이 도메인에서 GPO를 만들고 여기에 링크) 선택
- GPO 이름을
Corporate Screen Saver Policy로 입력
3-2. 화면보호기 정책 구성
새로 생성한 GPO를 우클릭하고 Edit(편집)을 선택합니다.
핵심 경로: User Configuration(사용자 구성) → Policies(정책) → Administrative Templates(관리 템플릿) → Control Panel(제어판) → Personalization(개인 설정)
3-3. 주요 정책 설정 항목
Enable screen saver (화면 보호기 사용)
- 설정값: Enabled(사용)
- 기능: 화면보호기 기능을 활성화합니다
Screen saver timeout (화면 보호기 시간 초과)
- 설정값: 300 (5분, 초 단위)
- 기능: 지정된 시간 후 자동으로 화면보호기 실행
Password protect the screen saver (화면 보호기 암호 보호)
- 설정값: Enabled(사용)
- 기능: 화면보호기 해제 시 암호 입력 요구
Force specific screen saver (특정 화면 보호기 강제 사용)
- 설정값:
scrnsave.scr또는 사용자 지정 .scr 파일 경로 - 예시:
\\domain.com\SYSVOL\domain.com\scripts\company_screensaver.scr
Prevent changing screen saver (화면 보호기 변경 금지)
- 설정값: Enabled(사용)
- 기능: 사용자가 화면보호기 설정을 변경하지 못하도록 차단
4. 추가적인 설정 및 사용자 정의 화면보호기
4-1. 회사 로고나 슬라이드쇼 화면보호기 설정
회사의 브랜딩을 위해 사용자 정의 화면보호기를 배포할 수 있습니다.
- 이미지 파일 준비
- SYSVOL 공유 폴더에 이미지 파일들을 업로드
- 경로 예시:
\\domain.com\SYSVOL\domain.com\scripts\screensaver_images\
- PhotoScreensaver.scr 설정
- Force specific screen saver에서
PhotoScreensaver.scr지정 - 기본적으로
C:\Users\Public\Pictures\Sample Pictures폴더 사용
- Force specific screen saver에서
- 레지스트리 설정 (고급 사용자)
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows Photo Viewer\Slideshow\Screensaver
4-2. 보안 정책과의 연동
화면보호기 정책과 함께 다음 보안 정책들을 함께 적용하는 것을 권장합니다:
- Interactive logon: Machine inactivity limit (컴퓨터 구성 → 정책 → Windows 설정 → 보안 설정 → 로컬 정책 → 보안 옵션)
- Automatically lock account 정책과의 연계
5. 정책 적용 및 확인 방법
5-1. GPO 적용 강제 실행
정책 설정 완료 후 클라이언트 컴퓨터에서 다음 명령어로 즉시 적용할 수 있습니다:
gpupdate /force
5-2. 정책 적용 상태 확인
gpresult /r
또는 상세 정보 확인:
gpresult /h c:\temp\gpresult.html
5-3. PowerShell을 통한 화면보호기 상태 확인
Get-WmiObject win32_desktop | where name -match $env:USERNAME
실행 결과 예시:
ScreenSaverActive : True
ScreenSaverSecure : True
ScreenSaverTimeout : 300
6. 자주 접하는 일반적인 문제 및 해결 방법
6-1. 화면보호기가 실행되지 않는 경우
증상: GPO가 적용되었음에도 화면보호기가 작동하지 않음
해결방법:
- Screen saver timeout 정책 확인
- Windows 7/Server 2008 R2 이후 버전에서는 timeout 설정이 필수
- 기본값이 없어 반드시 GPO에서 설정해야 함
- 레지스트리 키 확인
HKEY_CURRENT_USER\Control Panel\Desktop ScreenSaveTimeout (값이 존재하는지 확인) - Group Policy Preferences 활용
- User Configuration → Preferences → Windows Settings → Registry
- 수동으로 레지스트리 값 설정 가능
6-2. 특정 사용자 그룹에만 적용되지 않는 경우
해결방법:
- Security Filtering 확인
- GPO의 Security Filtering에서 Authenticated Users 그룹 포함 여부 확인
- 특정 보안 그룹에만 적용하려면 해당 그룹 추가
- OU 구조 점검
- 사용자 계정이 정책이 연결된 OU에 포함되어 있는지 확인
6-3. 정책이 24시간 이후에야 적용되는 경우
이는 정상적인 현상입니다. GPO 적용에는 다음과 같은 특징이 있습니다:
- 즉시 적용:
gpupdate /force명령어 사용 - 자동 적용: 기본적으로 90분마다 자동 갱신
- 로그인 시 적용: 사용자 로그인 시점에 정책 적용
윈도우 AD GPO를 통한 화면보호기 강제 설정은 기업의 정보 보안을 강화하는 효과적이고 경제적인 방법입니다. 특히 정책 설정 시 Screen saver timeout 값을 반드시 함께 설정하는 것과, 정책 적용 후 충분한 시간을 두고 결과를 확인하는 것이 핵심입니다. 또한 부서별 특성에 맞는 차별화된 정책 적용을 통해 업무 효율성과 보안성의 균형을 맞추는 것도 중요합니다. 🙂