74

Windows Server 2012

ส่วนมาก Group Policy จะเกี่ยวกับการรักษาความปลอดภัย และการใช้ทรัพยากรร่วมกัน

เนื่องจากยูสเซอร์ภภายในองค์กรอางมีหลายระดับตั้นแต่ใช้งานพื้นฐาน ระดับกลาง และขั้นสูง ที่สามารถเปลี่ยนแปลงแก้ไขสภาพแวดล้อมของเครื่องและติดตั้งโปรแกรมได้ด้วยตัวเอง ซึ่งอาจทำให้เกิดการละเมิลลิขสิทธิ์ของซอฟต์แวร์หากไม่ควบคุม ถ้ามียูสเซอร์จำนวนมาก ผู้ดูแลระบบต้องเสียเวลาตามไปแก้ไขทุกเครื่อง ปัญกาเช่นนี้สามารถป้องกันได้โดยการกำหนด Group Policy เกี่ยวกับการทำงานต่างๆ คือ

– กำหนดสภาพแวดล้อมเดสก์ท็อปของยูสเซอร์

– กำหนดการใช้งาน Internet Explorer

– กำหนดล็อกออนสคริปต์ให้ยูสเซอร์

– กำหนดรูปแบบการติดตั้งโปรแกรม (Software Distribution)

– กำหนดความปลอดภัยของข้อมูลในระบบ

– กำหนดนโยบายให้กับรหัสผ่าน

Group Policy ที่กำหนดค่าการใช้งานให้กับยูสเซอร์และคอมพิวเตอร์ถูกจัดเก็บอยู่ใน Group Policy objects (GPO) ซึ่งมีอยู่ 2 ประเภท คือ

Local Group Policy Object เป็นนโยบายที่ใช้งานกับคอมพิวเตอร์เครื่องใดเครื่องหนึ่งข้อมูลของนโยบายจะถูกจัดเก็บเป็นไฟล์ในเครื่องนั้นที่ตำแหน่ง Windows\System32\GroupPolicy

Nonlocal Group Policy Object เป็น GPO ที่จัดเก็บข้อมูลอยู่ในโดเมนคอนโทรลเลอร์ และจะกำหนดให้ลิงก์ใช้งานกับคอนเทนเนอร์ใน Active Directory ซึ่งนโยบายจะถูกใช้กับคอนเทนเนอร์แม่และถ่ายทอดไปยังคอนเทนเนอร์ลูก การแบ่งลำดับชั้นในการถ่ายทอดนโยบาย มีดังนี้

– Site กำหนดนโยบายใช้งานกับไซต์และส่งผ่านลงไปยังโดเมนที่อยู่ในไซต์ และโดเมนจะส่งผ่านต่อไปยัง OU (Organizational Unit) ภายใต้โดเมนนั้น และครอบคลุมไปยังยูสเซอร์ และคอมพิวเตอร์ภายใต้ OU

– Domain กำหนดนโยบายใช้งานกับโดเมนและส่งผ่านลงไปยัง OU ที่อยู่ในโดเมน และ OU จะส่งผ่านต่อไปยัง OU ย่อย ยูสเซอร์ และคอมพิวเตอร์ภายใต้ OU นั้น

– OU (Organizational Unit) กำหนดนโยบายใช้งานกับ OU และส่งผ่านลงไปยัง OU ย่อย ยูสเซอร์ และคอมพิวเตอร์ภายใต้ OU นั้น

การใช้เครื่องมือ Group Policy Management

เราสามารถตรวจดูและจัดการ GPO ที่อยู่ใน Active Directory ได้ด้วยเครื่องมือ Group Policy Management จะปรากฏหน้าต่าง Group Policy Management

ในตอนที่เราเริ่มต้นสร้าง Active Directory โดยติดตั้ง AD DS บนโดเมนคอนโทรลเลอร์จะมีการติดตั้ง Group Policy Management มาให้ด้วยพร้อมกับสร้าง GPO สำหรับควบคุมดูแลโดเมนมาให้อัตโนมัติ ดังตัวอย่าง เมื่อเราคลิกที่คอนเทนเนอร์ Domain>siam2019.com>Group Policy Objects ในหน้าต่างด้านขวาจะแสดง GPO ทั้งหมดที่ใช้งานสำหรับโดเมน โดยมี GPO ที่เป็น Default คือ

Default Domain Controller Policy คือค่านโยบายที่ใช้งานกับโดเมนคอนโทรลเลอร์

Default Domain Policy คือค่านโยบายที่ใช้งานกับคอมพิวเตอร์และยูสเซอร์ทั้งหมดในโดเมน

 

ขอบขอบคุณเว็บ แทงบอลไม่มีขั้นต่ำ ที่แนะนำบทความดีๆ

74

Windows Server 2012 R2 

Built – in User Account เป็นยูสเซอร์แอคเคานต์ที่ถูกสร้างขึ้นอัตโนมัติหลังจากติดตั้งระบบปฏิบัติการ Windows Server 2012 R2 เช่น Administrators, Account Operators, Backup Operators และ Guest โดยแอคเคานต์เหล่านี้จะถูกเก็บอยู่ในคอนเทนเนอร์ Built – in

Active Directory Users and Computers

เป็นเครื่องมือหลักในการแก้ไขและเปลี่ยนแปลงฐานข้อมูล Active Directory ที่เกี่ยวกับยูสเซอร์ กรุ๊ปยูสเซอร์ รายชื่อเครื่องคอมพิวเตอร์ การสร้างหรือลบออบเจ็กต์ต่างๆ รวมทั้งคอนเทนเนอร์ การสร้างยูสเซอร์แอคเคานต์และคอมพิวเตอร์แอคเคานต์ และการกำหนดสิทธิ์ต่างๆ ในการเข้าใช้ทรัพยากรบนโดเมน เป็นต้น สำหรับการเปิดใช้งานให้ไปที่หน้าต่าง Server Manager และเลือกเมนู Tools > Active Directory Users and Computers

รูปภาพที่เกี่ยวข้อง

ดังตัวอย่างภายในโดเมน (Siam2019.com) จะประกอบด้วยคอนเทนเนอร์ (Container) ที่จัดออบเจ็กต์ต่างๆ (คล้ายโฟลเดอร์ที่ใช้บรรจุไฟล์) ได้แก่

Built in : เก็บออบเจ็กต์ของแอคเคานต์ที่สร้างมาพร้อมกับระบบปฏิบัติการ เช่น Account Operators หรือ Administrators

Computers : เก็บออบเจ็กต์ของคอมพิวเตอร์แอคเคานต์ที่สร้างขึ้นบนเครื่องโดเมนคอนโทรลเลอร์ เพื่อใช้ในการเข้าเป็นสมาชิกโดเมน ไม่ต้องมีรหัสผ่านเหมือนยูสเซอร์แอคเคานต์

Domain Controller : เก็บออบเจ็กต์ของเครื่องโดเมนคอนโทรลเลอร์

ForeignSecurity Principals : เก็บออบเจ็กต์ของยูสเซอร์และคอมพิวเตอร์แอคเคานต์ที่ได้กำหนด SIDs ให้สามารถล็อกออนสู่เครือข่ายและเข้าถึงทรัพยากรในโดเมน

Managed Service Accounts : เก็บออบเจ็กต์ของเซอร์วิสที่ใช้จัดการยูสเซอร์แอคเคานต์และพาสเวิร์ด

Users : เก็บออบเจ็กต์ของยูสเซอร์และกรุ๊ป ซึ่งถูกสร้างขึ้นโดยผู้ดูแลระบบ โดยจะกำหนดสิทธิ์ในการเข้าถึงและใช้งานทรัพยากรต่างๆ บนเซิร์ฟเวอร์และโดเมน

รูปภาพที่เกี่ยวข้อง

ในส่วนนี้จะแนะนำให้รู้จักกับยูสเซอร์ที่สำคัญซึ่งอยู่ในคอนเทนเนอร์ Users ดังนี้

Domain Admins ใช้เก็บรายชื่อยูสเซอร์ที่เป็นสมาชิกในกรุ๊ป Admin ซึ่งมีหน้าที่บริหารระบบเอาไว้ เราสามารถเพิ่มยูสเซอร์แอคเคานต์ใหม่ไว้ช่วยทำหน้าที่ของ Admin ได้

Domain Computers ใช้เก็บรายชื่อเครื่องคอมพิวเตอร์ทั้งหมดบนโดเมนเอาไว้ และรายชื่อเครื่องคอมพิวเตอร์ที่ถูกสร้างขึ้นใหม่จะถูกเก็บไว้ที่นี่

Domain Controllers ใช้เก็บรายชื่อเครื่องโดเมนคอนโทรลเลอร์ทั้งหมดบนโดเมนเอาไว้

Domain Users ใช้เก็บรายชื่อยูสเซอร์ทุกคนบนโดเมนเอาไว้ และรายชื่อยูสเซอร์ที่สร้างขึ้นมาใหม่จะถูกเก็บไว้ที่นี่

นอกจากนี้แล้วคอนเทนเนอร์ Builtin, Computers และ Users ยังใช้เก็บรายชื่อกรุ๊ป (Administrators, Account Operators, Print Operators) รายชื่อเครื่องคอมพิวเตอร์ และรายชื่อยูสเซอร์ทั้งหมดที่มีการอัพเกรดและนำเข้ามาจากโดเมนบน Windows Server 200x อีกด้วย

9782593

การสร้าง Forward Lookup Zone

ในเนื้อหาส่วนที่ผ่านมาเราได้ติดตั้งเซิร์ฟเวอร์ด้วย Active Directory Domain Service คู่กับ DNS Server และได้กำหนดให้เป็นโดเมนคอนโทรลเลอร์ มีผลทำให้เราได้ DNS Server ทำงานในแบบ Active Directory Integrated zone เก็บข้อมูลโซนไว้ร่วมกับ Active Directory ซึ่งโดเมนคอนโทรลเลอร์ทุกตัวจะสร้าง Active Directory – Integrated Primary มาให้เราเรียบร้อยแล้ว (แต่ถ้าต้องการติดตั้งเซิร์ฟเวอร์ให้ทำหน้าที่ DNS Server อย่างเดียวก็สามารถติดตั้งแยกได้)

เริ่มต้นให้เปิดเครื่องมือ DNS Manager จาก All Apps หรือจากหน้าต่าง Server Manager ให้เลือก Tools>DNS จะปรากฏเครื่องมือ DNS Manager จากนั้นให้คลิกที่ Forward Lookup Zone ซึ่งแสดงให้เห็นว่าได้มีการสร้างโซนแบบ Active Directory – Integrated Primary มาให้แล้วอัตโนมัติ

เราจะลองสร้าง Forward Lookup Zone เป็น Active Directory – Integrated Primary เพิ่มเติม เพื่อดูการเรพลิเคตข้อมูลไปยังโดเมนคอนโทรลเลอร์อื่นๆ ที่อยู่ในโดเมน มีขั้นตอนดังนี้

  1. ที่หน้าจอ DNS Manager ให้คลิกขวาที่ Forward Lookup Zones และเลือกคำสั่ง New Zone เพื่อสร้างโซนใหม่
  2. ในหน้า Welcome to the New Zone Wizard ให้คลิกปุ่ม Next เข้าสู่ขั้นตอนต่อไป
  3. ในหน้า Zone Type มีรูปแบบของการสร้างโซนให้เลือก 3 แบบ (ได้อธิบายไว้แล้วก่อนหน้านี้) ในตัวอย่างเลือก Primary zone เพื่อสร้างบน Primary DNS Server และเลือก Store the zone in Active Directory เพื่อเก็บข้อมูลของโซนไว้ในพาร์ทิชันของ Active Directory ซึ่งเป็นการทำ Active Directory Integrated Zone (รองรับเฉพาะโดเมนคอนโทรลเลอร์ที่แก้ไขข้อมูลได้) จากนั้นคลิกปุ่ม Next
  4. ในหน้า Active Directory Zone Replication Scope เป็นการกำหนดขอบเขตในการเรพลิเคตข้อมูลของ Active Directory Integrated Zone มี 3 รูปแบบ คือ

– To all DNS servers running on domain controllers in this forest : siam2019.com เรพลิเคตข้อมูลไปยัง DNS Server ที่รันบนโดเมนคอนโทรลเลอร์ทุกเครื่องในฟอเรสต์นี้ โดเมนหลักคือ siam2019.com

– To all DNS servers running on domain controllers in this domain : siam2019.com เรพลิเคตข้อมูลไปยัง DNS Server ที่รันบนโดเมนคอนโทรลเลอร์ทุกเครื่องในโดเมนนี้ คือ siam2019.com ในตัวอย่างเลือกตัวเลือกนี้

– To all domain controllers in this domain (for windows 2000 compatibility) : siam2019.com เรพลิเคตข้อมูลไปยังโดเมนคอนโทรลเลอร์ทุกเครื่องในโดเมนนี้ (ทำงานร่วมกับ Windows 2000) คือ siam2019.com 

จากนั้นคลิกปุ่ม Next เพื่อเข้าสู่ขั้นตอนต่อไป