정책을 통해 현재 사용 중인 장치 외의 모든 새로운 장치들의 설치를 제한하기

어떤 특수한 곳에선 현재 컴퓨터에서 사용 중인 장치 외에 새로운 추가적인 장치의 설치(연결)을 제한해야 할 경우가 있습니다. 그럴 땐 현재 윈도우에 설치되어 사용 중인 장치들 외에 추가적으로 그 어떤 다른 장치도 설치하여 사용하지 못하게 정책적으로 제한할 수 있습니다. 이 정책을 사용하면 "현재 윈도우에서 (드라이버가) 설치되어 사용 중인 장치" 외에 새로운 장치는 전혀 연결할 수 없으며(설치되지 않으며), 현재 사용 중인 장치들의 드라이버도 새로 업데이트할 수 없게 됩니다. 참고로 이 정책은 윈도우 비스타, 윈도우 7, 윈도우 8 에 공통적으로 적용되며, 윈도우 XP 이하에서는 지원되지 않습니다.



1. 그룹 정책 편집기를 통해 정책 설정하기

현재 사용 중인 윈도우가 그룹 정책 편집기를 지원하는 Professional 이나 Ultimate, Enterprise 와 같은 에디션이라면 아래와 같이 그룹 정책 편집기를 통해 작업을 진행할 수 있습니다.

01. 실행 -> gpedit.msc -> 컴퓨터 구성 -> 관리 템플릿 -> 시스템 -> 장치 설치 -> 장치 설치 제한 -> 다른 정책 설정에 의해 기술된 장치 설치 방지 -> 사용으로 설정합니다.



02. 관리자 권한으로 명령 프롬프트를 실행한 후 다음의 명령을 내려 설정한 정책을 반영합니다. 또는 시스템을 재시작하여도 됩니다.

gpupdate /force



이후부터는 새로운 장치를 연결하게 되면 "정책에 의해 장치를 설치할 수 없습니다." 라는 메세지가 출력됩니다. 장치 관리자를 통해 해당 장치를 살펴 보면 장치에 느낌표가 달려 있으며, 시스템 정책에 의해 장치를 설치할 수 없다고 표시됩니다. 이러한 장치는 수동으로 드라이버를 업데이트하려고 해도 드라이버를 설치할 수 없으며, 최종적으로 윈도우에서 해당 정책을 풀기 전까지는 그 어떤 새로운 장치도 사용할 수 없게 됩니다.





다시 새로운 장치를 설치할 수 있도록 원래대로 되돌리려면 [다른 정책에 의해 기술된 장치 설치 방지]의 설정 값을 원래대로 구성되지 않음으로 되돌려주거나 사용 안 함으로 설정하면 됩니다.



2. 레지스트리를 통해 정책 설정하기

현재 사용 중인 윈도우가 Home 에디션과 같은 경우에는 그룹 정책 편집기(gpedit.msc)를 지원하지 않기 때문에 레지스트리를 통해 정책을 설정해야 합니다. 해당 정책을 사용으로 설정하면 생성되는 레지스트리는 아래와 같습니다. 즉, 아래의 레지스트리를 등록하면 위의 정책 편집기를 통해 설정한 것과 동일한 효과를 얻을 수 있는 것이죠. 특히나 이 중에서 DenyUnspecified 값이 직접적인 장치 설치 제한의 역할을 하게 됩니다.

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceInstall\Restrictions]
"DenyUnspecified"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PnP]
"PollBootPartitionTimeout"=dword:00000000
"DisableCDDB"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\PnP]
"PollBootPartitionTimeout"=dword:00000000
"DisableCDDB"=dword:00000001


반대로 이를 해제하는 레지스트리는 위의 값들을 지워주면 됩니다.

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceInstall\Restrictions]
"DenyUnspecified"=-

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PnP]
"PollBootPartitionTimeout"=-
"DisableCDDB"=-

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\PnP]
"PollBootPartitionTimeout"=-
"DisableCDDB"=-







관리자는 정책을 무시하고 장치를 설치할 수 있도록 허용하기

위의 정책을 통해 모든 새로운 장치의 설치를 제한하면 표준 사용자 계정은 물론 관리자 계정 또한 모든 장치를 설치할 수 없게 됩니다. 그런데 사용자가 관리자라면 이 정책을 무시하고 새로운 장치를 설치할 수 있도록 허용할 수도 있습니다. 이런 경우 표준 사용자는 여전히 새로운 장치를 설치할 수 없지만, 관리자는 새로운 장치를 설치할 수 있게 되는 것이죠. 단! 이 때 관리자 계정이라고 할 지라도 1차적으로는 위와 동일하게 장치의 설치가 제한되며, 대신 수동으로 장치 관리자에서 드라이버 업데이트를 통해서 장치를 설치하는 것이 가능해집니다.

참고로 표준 사용자도 사용자 계정 컨트롤을 통해 관리자 계정의 권한을 획득하면(관리자 계정의 암호를 입력하면), 새로운 장치를 설치할 수 있습니다. [이 때는 사용자 계정 컨트롤이 켜져 있어야 합니다.]



1. 그룹 정책 편집기를 통해 정책 설정하기

현재 사용 중인 윈도우가 그룹 정책 편집기를 지원하는 Professional 이나 Ultimate, Enterprise 와 같은 에디션이라면 아래와 같이 정책 편집기를 통해 작업을 진행할 수 있습니다.

01. 실행 -> gpedit.msc -> 컴퓨터 구성 -> 관리 템플릿 -> 시스템 -> 장치 설치 -> 장치 설치 제한 -> 관리자가 장치 설치 제한 정책을 다시 정의하도록 허용 -> 사용으로 설정합니다.



02. 관리자 권한으로 명령 프롬프트를 실행한 후 다음의 명령을 내려 설정한 정책을 반영합니다. 또는 시스템을 재시작하여도 됩니다.

gpupdate /force



이후부터는 새로운 장치를 연결하게 되면 마찬가지로 우선은 "정책에 의해 장치를 설치할 수 없습니다." 라는 메세지가 출력됩니다. 또한 장치 관리자를 통해 해당 장치를 살펴 보면 장치에 느낌표가 달려 있고 시스템 정책에 의해 장치를 설치할 수 없다고 표시됩니다. 하지만 이전과 다르게 관리자 계정이라면 이곳에서 드라이버 업데이트를 통해 수동으로 장치를 설치할 수 있습니다.




또한 이야기한 것과 같이 표준 사용자라 할 지라도 사용자 계정 컨트롤이 켜져 있다면, 드라이버 업데이트를 진행하면 사용자 계정 컨트롤 창이 뜨게 되고, 관리자 계정의 권한을 획득하여 장치를 설치할 수 있습니다. 물론 이 때 관리자 계정의 암호를 정확하게 알고 있어야 하는 것은 당연한 것이겠죠.



하지만 만약 사용자 계정 컨트롤이 꺼져 있다면 이 과정을 진행할 수 없기 때문에 표준 사용자 계정으론 새로운 장치를 설치할 수 없게 됩니다. 이럴 땐 사용자 계정 컨트롤을 끈 것이 오히려 더욱 제약이 되는 상황이 되어버리네요. ^^



2. 레지스트리를 통해 정책 설정하기

마찬가지로 현재 사용 중인 윈도우가 Home 과 같은 에디션이라면 그룹 정책 편집기를 사용할 수 없기 때문에 레지스트리를 통해 작업을 진행해야 합니다. 아무튼 이번 단락에서 설명한 정책에 해당하는 레지스트리는 아래와 같습니다.

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceInstall\Restrictions]
"AllowAdminInstall"=dword:00000001


반대로 이를 해제하는 레지스트리는 위의 값을 지워주면 됩니다.

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceInstall\Restrictions]
"AllowAdminInstall"=-







그 외에 장치를 제한하고 허용하는 정책들에 대해

이 외에도 하드웨어 ID 를 통해 특정 장치만 설치를 제한한다거나, 클래스를 통해 특정 장치군의(예, 모든 마우스, 모든 키보드 등) 설치를 제한할 수도 있습니다. 또한 글에서 설명한 것과 같이 모든 장치의 설치를 제한한 후 일부 특정 장치, 장치군의 설치는 허용하도록 설정할 수도 있습니다. 참고로 이러한 장치 설치의 제한과 허용에 대한 모든 정책은 그룹 정책 편집기의 [컴퓨터 구성 -> 관리 템플릿 -> 시스템 -> 장치 설치 -> 장치 설치 제한] 에서 설정할 수 있습니다.



이에 대한 자세한 내용은 다음의 문서들을 참고해보시길 바랍니다.



참고로 이 때 장치 ID 는 하드웨어 ID 를 통해 구별되는 구체적인 장치를 의미하는 것이고[예 : Intel(R) PRO/1000 MT Network Connection 과 같이 특정 장치 자체를 지정], 장치 설치 클래스는 장치 클래스를 통해 구별되는 좀 더 포괄적인 장치군을 의미하는 것입니다. [예 : Net 모든 네트워크 어댑터와 같이 해당 장치군을 지정] 아무튼, 이러한 장치의 하드웨어(장치) ID 와 장치 클래스는 장치 관리자에서 하드웨어의 속성을 통해 확인할 수 있습니다.









추가

마지막으로 첨언하자면 이 글은 아래의 질문에 의해 작성하게 되었습니다. [질문 주셨는데 제가 잠시 블로그를 쉬던 상황이었던지라 확인이 너무 늦어서 죄송합니다. 제가 요즘 트위터를 잘 안 해서요. ㅜ_ㅜ]



만약 어떠한 원인으로 이번 글에서 설명한 정책이 설정된 것이라면, 이번 글에서 설명한 내용대로 그룹 정책 편집기나 레지스트리를 통해 정책을 다시 되돌리는 것으로 문제를 해결할 수 있을 테지만, 만약 정책적인 문제가 아니라면 그 원인이 정확하게 무엇인지는 저도 잘 모르겠습니다. 이 내용이 맞길 바랄 뿐입니다. 이번 글은 여기까지 입니다.

 

 

신고
캐플 블로그에 공개된 글은 반드시 원본 글의 링크를 포함시키는 조건으로 자유롭게 이용하실 수 있습니다.
하지만 블로그의 발전을 위하여 되도록이면 링크로 글을 소개해주시길 부탁드립니다. ^^

- 상업적인 용도의 사이트는 대상에서 제외됩니다. -
- 글에는 오류가 있을 수 있고, 추후 수정 또는 재발행될 수 있습니다. -
  1. 과객 2013.02.15 18:06 신고  댓글주소  수정/삭제  댓글쓰기
    안녕하세요 캐플님
    해당 글에 관련된 내용이 아니라 송구하지만 질문 좀 드리겠습니다.
    다름이 아니라 제가 윈도우8 처음 깔고 이것저것 만지다가 파일을 좀 지워버려서
    복구 한답시고 찾아보다 PC설정 > 일반 > "PC복구" 메뉴를 쓴다는게 모든 항목을 제거하고 windows 다시 설치"를 해버렸습니다.

    정신이 들고나니 파티션을 나눈것도 아니고 통으로 쓰던 하드라서 자료를 죄다 소실했는데
    이거 복구 할만한 툴 없을까요?

    현재 이시간까지 써본게
    Restoration
    undelete-360
    recuva
    FinalData v3.0
    R-Studio_v6.1.152029

    이렇게 써봤습니다.
    다른것 보다 내용 정리해놓은 txt 텍스트 파일 유형이 있는데 대부분 이건 잘 찾질 못하는거 같습니다.
    제가 툴을 잘 못다루는건지 아무튼 참 앞이 깜깜하네요.
    어떤 내용이든 좋으니 도움 될만한 조언 부탁 드립니다. ㅠㅠ
    • BlogIcon CApple 2013.02.15 18:16 신고  댓글주소  수정/삭제
      왠만한 복구 프로그램은 거의 다 써보셨네요. 안타깝지만 제가 더 조언을 해드릴 수 있는 부분이 없을 듯 하네요. 정말로 중요한 자료라면 복구 업체를 알아보시는 게 현실적으로 가장 나은 선택인 듯 싶습니다.
  2. BlogIcon 니드뽀폴쉐 2013.02.16 02:23 신고  댓글주소  수정/삭제  댓글쓰기
    캐플님, 감기는 좀 어떠신지요?
    늦었지만 새해복 많이 받으시길 바랍니다. ^^;;

    오랜만에 댓글을 다는 이유는...
    네스커를 클릭하니,

    위젯 설치가 잘못되었네요. 아래 그림을 참고하세요!

    라고 나오네요. 수정을 추천합니다.
  3. BlogIcon 컴퓨터매니아 2013.02.17 11:15 신고  댓글주소  수정/삭제  댓글쓰기
    좋은 글 감사합니다.^^
    가끔 제 블로그도 들려 주세요.^^
  4. 힙합느낌 2013.02.21 10:15 신고  댓글주소  수정/삭제  댓글쓰기
    새로운 사실을 알고 갑니다. 고맙습니다.
  5. 김성일 2013.02.27 21:12 신고  댓글주소  수정/삭제  댓글쓰기
    안녕하세요..제가 어지쩌지하다가 만능고스트를 제작했는데요 gho 백업한 고스트파일을 iso로변경시켜
    시디로만들어서 복구시디로 쓰고싶은데..어떻게하는 방법없나요 ㅠㅠ
    • BlogIcon CApple 2013.03.02 00:13 신고  댓글주소  수정/삭제
      그게 간단히 이렇게 저렇게 해라 할 문제는 아닌 듯 싶네요. ^^;; 저는 관련 글을 적은 적이 없네요. 스누피님께서 관련 글을 적으신 듯 하니 그쪽을 참고해 보세요. ^^

      http://snoopybox.co.kr/1182
  6. 123 2013.03.01 15:07 신고  댓글주소  수정/삭제  댓글쓰기
    만능고스트만든거 시디로부팅하는걸로 만들수없나요?
  7. 달빛사냥꾼 2013.03.06 19:54 신고  댓글주소  수정/삭제  댓글쓰기
    안녕하세요~캐플님 덕분에 도움을 받아서 이렇게 몇자 남깁니다. windows to go를 해보려 여기저기 많이 검색하고 공부하다가 님이 만들어 놓으신 정~말 편한 프로그램으로 인해 한방에 해결이 되었고 그와 더불어 님 블로그의 주옥같은 내용들에 매료?되어서 인사차 글 남깁니다. 더욱더 건승하시고 자주 들러서 좋은 정보 많이 얻었으면 하는 바램입니다. 님 같은 분들이 있어서 참 좋은 곳이네요~ 인터넷은~ 감기 빨리 나으시고 님의 열정에 박수 보내며 이만 줄입니다.
  8. 다오 2013.06.19 23:44 신고  댓글주소  수정/삭제  댓글쓰기
    장말 많은도움이되엇어요
    감사합니당
    ㅎ 정말 고마워요
    알라뷰

댓글을 달아 주세요

- 댓글에선 예의를 지켜주시기 바라며, 블로그지기는 댓글에서 따로 활동하지 않습니다.

* 티스토리 사용자는 여기를 클릭하시면 로그인 됩니다.

BBCode 안내   굵게 밑줄 기울임 취소선   취소선 취소선 취소선 취소선   왼쪽 정렬 가운데 정렬 오른쪽 정렬   코드박스 인용구 이미지   이미지 업로드-Imgur.com