การจัดการ Group Policy ใน AD DS

บทความนี้จะกล่าวถึง Group Policy ซึ่งเป็นเครื่องมือที่มาพร้อมกับ AD DS เราจะมาทำความเข้าใจหน้าที่และการใช้งานของ Group Policy กันในบทความนี้.

Group Policy จะช่วยให้เราสามารถตั้งค่า settings หรือ ค่า configuration ต่างๆ ของ users และ computer ที่ที่ทำงานอยู่บนระบบ Windows ทั้ง server และ client เราสามารถ deploy group policy จาก Domain Controller มายังเครื่องที่อยู่ภายใต้ domain.

ส่วนประกอบของ Group Policy.

ส่วนที่ 1: Group Policy Management (GPM)

.ในส่วนนี้จะเป็นเครื่องมือ (Tool) ที่ใช้จัดการ GPO โดยค่าเริ่มต้นเราจะมี GPO แค่ 2 GPO เท่านั้น คือ Default Domain Policy และ Default Domain Controllers Policy เท่านั้น.

ส่วนที่ 2: Group Policy Object (GPO)

ในส่วนนี้จะเป็น Group Policy Object ที่เราชอบเรียกว่า GPO นั้นแหละ โดยปกติแล้วเวลาเราสร้าง GPO ขึ้นมาจะถูกเก็บอยู่ในคอนเทนเนอร์ชื่อ Gtroup Policy Objects แสดงดังภาพ

ส่วนที่ 3: Group Policy (GP settings).

ส่วนนี้ก็เป็นส่วนของ Policy settings ที่จะร่วมหลายๆ settings มาร่วมเป็น group ซึ่งเราสามารเรียกมันได้ว่า Group Policy.

ในแต่ละ GPO ก็จะมีค่า settings หรือ ค่า configuration ต่างๆ ให้เราสามารถกำหนดค่าได้ เช่นตัวอย่างด้านล่างนี้.

ส่วนที่ 4: การกำหนดค่า Configuration.

ส่วนของการ Configuration จะแบ่งออกเป็น 2 ส่วน.

1- ส่วนที่เป็น Computer Configuration ค่า settings ต่างๆ จะถูกนำไปใช้กับ Computer เท่านั้นจะไม่สามารถนำไปใช้กับ User ได้.

2- ส่วนที่เป็น User Configuration ค่า settings ต่างๆ จะถูกนำไปใช้กับ User เท่านั้นจะไม่สามารถนำไปใช้กับ Computer ได้.

หมายเหตุ:

การสร้าง GPO แนะนำให้แยกค่า Configuration ออกจากกันอย่างชัดเจน เช่น ค่าที่เป็นส่วนของ User ก็แยกออกเป็น 1 GPO และค่าของ Computer ก็แยกออก 1 GPO. จริงๆ แล้วเราสามารถกำหนดทั้งค่า settings ของ User และ Computer ให้อยู่ภายใน GPO เดียวกันก็ได้แต่จะทำให้สับสน.

การสร้าง Group Policy Objects.

ตัวอย่าง: ต้องการที่จะซ่อน (hide) ไดร์ C:\ ไม่ให้ user เห็นไดร์ดังกล่าวเมื่อ sign-in เข้า computer.

ให้ไปที่ Group Policy Objects > New > ให้ตั้งชื่อของ GPO ให้สอดคล่องกับค่า settings.

หลังจากสร้างเสร็จจะแสดง GPO ดังภาพ.

หลังจากสร้างเสร็จแล้วเราสามารถกำหนดค่า settings ต่างๆ ได้โดยคลิกที่ GPO แล้วเลือก Edit.. ให้เข้าไปหาค่า settings ที่เราต้องการ

สำหรับค่า Settings จะมีทั้ง เปิด (Enabled) ปิด (Disabled) หรือใส่ข้อมูล.

หลังจากสร้างเสร็จเรียบร้อยเราสามารถดูค่า settings ได้โดยคลิกที่ GPO และเลือก แท็บ Settings.

การนำ Group Policy Object ไปใช้งาน.

เราสามารถไปที่ OU ที่เราต้องการที่จะ deployment GPO โดยคลิกขวา แล้วเลือก Link an Existing GPO... แล้วจะมีหน้าต่างให้เราเลือก GPO ที่เราได้สร้างไว้.

หลังจาก link GPO เรียบร้อยแล้วเราสามารถดูได้ว่า OU นั้นมี Policy อะไรบ้างที่ link กับมันอยู่

พื้นที่จัดเก็บ GPO บน Domain Controller.

Group Policy Objects ที่เราสร้างขึ้นจะถูกเก็บอยู่ใน C:\Windows\SYSVOL\Domain\Policies โดยโฟล์เดอร์ SYSVOL จะถูกแชร์อยู่แล้ว \\<dc>\SYSVOL\115itchp.local\Policies

จากภาพจะเห็นว่าจะมีโฟล์เดอร์ ที่ถูกสร้างขึ้นจะใช้ Unique ID ของ Group Policy Object นั้นๆ

การอัพเดท GPO (Refresh Group Policy).

• ค่าเริ่มต้นสำหรับ Refresh Group Policy คือ ทุกๆ 90 นาที และอาจจะมีการ random ทุก 30 นาที.
• ทำการอัพเดทด้วยตัวเอง (manual) จะมีอยู่ด้วยกัน 2 แบบ
• รีสตาร์ท computer (อัพเดท computer settings) หรือ Sign-out และ Sign-on (อัพเดท user settings)
• .ใช้ command "gpupdate" (อัพเดท gpo settings) หรือ gpupdate /force (Re-applied all settings)

เปิด Command prompt ให้พิมพ์ gpupdate

Note: อัพเดท Group Policy settings ทั้ง Computer และ User.

เปิด Command prompt ให้พิมพ์ gpupdate /force

Note: re-applied Group Policy settings ทั้ง Computer และ User

การตรวจสอบ Group Policy Objects บนเครื่อง computer ปลายทาง.

โดยปกติแล้วการตรวจสอบ GPO จะมีอยู่ด้วยกัน 2 ส่วน คือ GPO ของ User Configuration และ Computer Configuration ในการตรวจสอบจะใช้วิธีการเหมือนกันแต่แตกต่างอยู่กับ Permission ที่ใช้ในการรันคำสั่ง.

การตรวจสอบในส่วนของ User Configuration.

ไปที่เครื่อง computer ที่ต้องการตรวจสอบแล้วให้ทำตามขั้ยตอนต่อไปนี้.

1- ให้เปิด Command Prompt ขึ้นมาตามภาย ในกรณีไม่ได้เปิดด้วย run as administrator ดูได้แค่ค่า User settings เท่านั้น.
2- พิมพ์คำสั่ง gpresult /r
3- สั่งเกตุจะมีหัวข้อ USER SETTINGS.

4- จะมีข้อมูลเกี่ยวกับ User เช่น อยู่ OU ใหน หรือ last group policy was applied เป็นต้น

5- ในส่วนของ Applied Group Policy Objects จะแสดงชื่อของ GPO ที่ถูก apply มาทั้งหมดสำหรับ User Configuration.

การตรวจสอบในส่วนของ Computer Configuration.

ไปที่เครื่อง computer ที่ต้องการตรวจสอบแล้วให้ทำตามขั้ยตอนต่อไปนี้.

1- ให้เปิด Command Prompt ด้วย run as administrator จะสามารถดู Computer settings และก็จะสามารถดูค่าของ User settings ได้ด้วยแต่ มันจะแสดงค่าของ User ที่ใช้รัน as administrator ซึ่งมันไม่ใช้ค่า user settings ของ user นั้น.

2- พิมพ์คำสั่ง gpresult /r
3- สั่งเกตุจะมีหัวข้อ COMPUTER SETTINGS.

4- จะมีข้อมูลเกี่ยวกับ Computer เช่น อยู่ OU ใหน หรือ last group policy was applied เป็นต้น

5- ในส่วนของ Applied Group Policy Objects จะแสดงชื่อของ GPO ที่ถูก apply มาทั้งหมดสำหรับ Computer Configuration.

Read More

วิธีสร้าง Group ใน AD DS

ในบทความนี้จะเป็นการสร้าง Group เพื่อเป็นกลุ่มของ Users หรือ Computer เพื่อใช้ในการกำหนดสิทธิ์การใช้งานหรือใช้กับ services ต่างๆ เพื่อแบ่งแยกงานทำงานหรือการเข้าถึง.

ใน AD DS เราสามารถสร้าง Group ได้ 2 ชนิดประกอบไปด้วย.

• Security group สามารถเอา group ชนิดนี้ ไปกำหนด permission ได้ เช่นกำหนดให้คนใน group สามารถเข้าถึงและแก้ไขข้อมูลในโฟล์เดอร์ได้.
• Distribution group ใช้กับ Email เท่านั้น เราไม่สามารถใช้ group นี้ไปกำหนด permission ได้.

จากรูปภาพด้านล่างสังเกตุว่าใน OU ชื่อ Groups จะมี Group อยู่ซึ่งประกอบด้วย Security group และ Distribution group ส่วนรูปด้านขวาแสดงเมื่อต้องการจะ add permission ให้กับ folder เวลาจะค้นหา group เพื่อกำหนด permission จะไม่แสดงชื่อ Group ที่เป็น Distribution group

ขั้นตอกการสร้าง Group.

ตัวอย่าง: สร้าง Group สำหรับทีม ITAdmin เพื่อใช้ในการกำหนด permission โดยนำ account ของ IT เข้ามาเป็น member ของ Group นี้.

ข้อมูลสำหรับสร้าง Group.

ชื่อของ group: ITAdmin (Bangkok)

ชนิดของ group: Security

สมาชิก: user account ของ IT

เปิด ADUC > ไปที่ OU ที่ต้องการสร้าง > คลิกขวา > เลือก New > เลือก Group.

- ตั้งชื่อ group เป็น "ITAdmin (Bangkok)"

- กำหนด group type เป็น Security.

หลังจากสร้าง group จะแสดง Group ตามภาพ.

ให้คลิกขวาที่ group > เลือก Properties > ไปที่ Member > เลือก Add > เลือก User account ที่ต้องการ add แล้วคลิก OK.

หลังจาก add เสร็จเรียบร้อยแล้วจะแสดงชื่อของผู้ใช้ที่ได้เพิ่มไปก่อนหน้านี้.

Read More

วิธีติดตั้ง Remote Server Administration Tools (RSAT) บน "Windows 11"

ในบทความนี้จะกล่าวถึงวิธีการติดตั้ง Remote Server Administration Tools (RSAT) บน Windows client สำหรับ RSAT เป็น tool ที่ช่วยให้ admin หรือ helpdesk สามารถทำงานได้สะดวกมากขึ้น โดยที่ไม่จำเป็นต้อง remote หรือ login เข้าระบบ AD DS เลย เราสามารถที่จะติดตั้ง tools ที่ใช้ในการจัดการ AD DS เช่น Active Directory Users and Computers, Active Directory Sites and Services บนเครื่อง computer เป็นต้น

สำหรับการติดตั้ง RSAT ใน Windows 10/11 จะมีอยู่ด้วยกัน 2 วิธี.

1. ใช้ Windows PowerShell
2. .ติดตั้งผ่าน GUI (Optional features)

หมายเหตุ:

.สำหรับการติดตั้ง RSAT แนะนำให้ติดตั้งผ่าน Windows PowerShell เพราะถ้าหากใช้ GUI ตัว Optional features เปลี่ยน location (ในบางบทความจะอยู่ Settings > Apps > Optional feature แต่บาง OS จะอยู่ Settings > System > Optional feature ง่ายที่สุดให้ search หาคำว่า Optional features ก็ได้). จะใช้วิธีใหนผลลัพท์เหมือนกัน.

วิธีการติดตั้ง Remote Server Administration Tools (RSAT)

1. เปิด Windows PowerShell ด้วย run as administrator แล้ว run คำสั่งต่อไปนี้

 Get-WindowsCapability -Name RSAT* -Online | Select-Object DisplayName,Name,State

2. จะแสดง management tools ของ RSAT ทั้งหมดดังภาพแต่ เราต้องการเฉพาะ feature "RSAT: Active Directory Domain Services and Lightweight Directory Services Tools" เท่านั้น.

3. เราสามารถใช้คำสั่งในการติดตั้งดังนี้.

Add-WindowsCapability -Name <RSAT name> -Online

Add-WindowsCapability -Name "Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0"-Online แล้วกด Enter เพื่อดำเนินการติดตั้ง.

4. หลังจากนั้นจะมีการ download package และเริ่มติดตั้ง (จะต้องมี internet connection).

5. แสดงภาพเมื่อติดตั้งเสร็จ.

ตรวจสอบหลังการติดตั้ง.

1. .ให้ใช้ command "Get-WindowsCapability -Name RSAT* -Online | Select-Object DisplaName,Name,State" จะเห็นว่า state = Installed แสดงว่ามันติดตั้งเสร็จเรียบร้อยแล้ว.

2. หลังจากติดตั้ง จะมี AD tools ที่ถูกติดตั้งเข้ามาดังรูปด้านล่าง.

3. สามารถค้นหาด้วย keyword: active directory จะแสดง AD tools ขึ้นมา.

4. เราสามารถเปิด ADUC และสามารถเห็นข้อมูลใน Directory ต่างๆ ได้.

Read More

ป้องกันผู้ใช้งาน (non-admin) Join domain

ในบทความนี้จะเป็นของการปรับแต่ง (Tunning) ระบบหลังจากการติดตั้ง Domain Controller เสร็จเรียบร้อยแล้ว. ในบทความนี้จะเป็นการปรับในส่วนของการ join domain. โดยค่า default ของ Domain Controller จะยอมให้ user ธรรมดา (Domain Users) สามารถนำ Computer เข้ามา join domain ได้โดยที่ไม่จำเป็นต้องมีสิทธิ์ที่สู่ง. แต่จะถูกจำกัดด้วยจำนวน devices ที่สามารถนำมา join domain ได้สู่งสุด 10 devices (Ref. Link).

ตัวอย่าง: จากรูปด้านล่างจะเห็นว่า User ที่ชื่อ Jesus Graham อยู่ในกลุ่มของ Domain Users ซึ่งเป็น User ธรรมดา.

ผู้ใช้สามารถนำ Computer มา join domain ได้เลย.

ผลลัพท์ที่ได้เขาสามารถ join domain ได้.

สำหรับการป้องกันไม่ให้ User สามารถ join domain ได้มี 2 วิธี.

วิธีที่ 1: แก้ไข้ที่ Active Directory ในส่วนของ machine account.

1. เปิด ADSI Edit Tools ไปที่ Server Manager > Tools > ADSI Edit หลังจากนั้นให้คลิกขวาที่ ADSI Edit > Connect to > ในหัวข้อ Select a well know Naming Context: Default naming context > คลิก OK.

2. ให้แตกที่ Default naming context > คลิกขวาที่ DC=115itckp,DC=Local > Properties > ให้หา Attribue name "ms-DS-MachineAccountQuota" ให้เปลี่ยน value เป็น "0".

วิธีที่ 2: แก้ไขที่ Group Policy ของ Default Domain Controllers Policy.

โดย Add workstations to domain ถูกกำหนดเป็น "NT AUTHORITY\Authenticated Users"

1. ให้เปิด Group Policy Management ขึ้นมา แล้วไปที่ Domain > Group Policy Objects > Default Domain Controllers Policy > คลิกขวา เลือก Edit...

2. ให้ไปที่ Computer Configuration > Policies> Windows settings >Security Settings > Local Policies > User Rights Assignment > ให้เลือก Policy ชื่อ "Add workstations to domain" > ดับเบิลคลิกที่ Policy.

3. ให้เลือกที่ Authenticated Users แล้วกด Remove เสร็จแล้วให้กด OK.

4. ในหน้า Policy จะเป็นค่าว่าง.

5. ในหน้า Settings จะเป็นค่า blank.

ทดสอบหลังจากการปรับแต่ง.

ใช้ User ปกติทำการ join domain อีกครั้ง.

หลังจากนั้นจะพบกับ error ตามรูปด้านล่างนี้.

หมายเหตุ:

สุดท้ายหลังจากกำหนดค่าเรียบร้อยแล้ว User ธรรมดาจะไม่สามารถ join domain ได้ แต่ User ที่มีสิทธิ์เป็น Domain Admin หรือ user ที่ถูกมอบหมายสิทธิ์ (delegate) จะคงยังสามารถ join domain ได้ปกติ.

Read More

วิธีตั้งค่า Account Lockout Policy

Account Lockout Policy ช่วยป้องกันจากการพยายามที่จะเข้าสู่ระบบโดยการเด่าสุ่ม password อาจจะมาจากผู้ไม่ประสงค์ดี หรืออาจจะมาจาก hacker ที่พยายามจะเข้าสู่ระบบผ่าน user ที่มีสิทธิ์สู่ง แต่อย่างไรก็ตาม Account Lockout Policy ช่วยได้แค่ส่วนหนึ่งแต่ถ้าให้แข็งแกร่งจะต้องกำหนด Password Policy ให้แข็งแกร่งตามไปด้วย.

สำหรับการตั้งค่า Account Lockout Policy ที่ Microsoft แนะนำ.

• Account lockout threshold ตั้งค่าเป็น 15 นาที.
• Account lockout duration 10 ครั้ง (CIS_Benchmark_v3.0.0. แนะนำให้ set 5 ครั้ง)
• Reset account lockout counter after 15 นาที.
• Allow Administrator account lockout ตั้งค่าเป็น Enabled..

ตั้งค่า Account Lockout Policy.

จากรรูปด้านล่างเป็นค่า default ของ Account Lockout Policy.

1. เปิด GPM ขึ้นมาแล้วเลือกไปที่ domain (115itckp.local) > Group Policy Objects > เลือกที่ Default Domain Policy > คลิกขวาเลือก Edit...

2. เลือก Computer Configuration > Policies > Windows Settings > Security Settings >Account Policy > Account Lockout Policy.

จากรูปแสดง Account Lockout Policy ที่เราสามารถกำหนดได้ เราสามารถตั้งค่าได้โดยดับเบิลคลิกที่ Policy settings หรือ คลิกขวาเลือก properties.

3. ในหน้าต่าง Account lockout duration policy.

• ให้เลือก "Define this policy setting"
• Account is locked out for: 15 minutes

หลังจากนั้นจะมีหน้าต่างแนะนำ(บังคับ)ให้ตั้งค่าตามที่แสดงให้กด OK เราสามารถเปลี่ยนแปลงที่หลังได้.

4. ในหน้าต่าง Account lockout threshold.

• เลือก Define this policy settings
• Account will lock out after: 10 invalid logon attempts.

หลังจากนัั้นให้กด OK จะมีหน้าต้าง suggested setting บังคับให้เปิดใช้งาน Allow Administrator account lockout ให้กด OK.

5. เข้ามาตรวจสอบว่า Policy setting "Allow Administrator account lockout" ได้เปิดใช้งาน (Enabled).

6. หน้าต่าง Reset account lockout counter after.

• เลือก Define this policy settings.
• กำหนดค่า Reset account lockout counter after: 15 minutes.

หลังจากนั้นให้เลือก OK.

7. สุดท้ายจะได้ค่า Configuration ตามด้านล่างนี้.

ตรวจสอบค่าที่เกี่ยวข้องกับ Account Lockout Policy.

ส่วนที่ 1: ส่วนที่ใช้ในการนับ bad password count.

1. ไปที่ User> คลิกขวา Properties > attribute editor > find attribute name "badPwdCount" and "batPasswordTime"

จากภาพจะแสดง attribute ที่ใช้ในการเก็บค่า ฺpassword failed (badPwdCount) และเวลาล่าสุดที่ event เกิดขึ้น (batPasswordTime).

ส่วนที่ 2 จะเป็นส่วนที่บงบอกว่าสถาณะของ account (locked or unlock)

การดูสถานะ Account ว่า lock หรือ ไม่ lock สั่งเกตุที่แท็บ Account จะมี checkbox และมีขอความว่า Unlock account.

• ถ้าหาก Unlock account (account ไม่ถูก lock)
• ถ้าหาก Unlock account. This account is currently locked out on this Active Directory Domain Controller (account ถูก locked)

ทดสอบผลของการตั้งค่า Account Lockout Policy.

เมื่อผู้ใช้พยายามที่จะ sing-in โดยใส่ password ผิดเกิดที่ policy ได้กำหนดคือ 10 ครั้ง.

จากรูปด้านล่างนี้แสดง badPwdCount จะมีค่าเป็น 5 แสดงว่า user ใส่ password ผิดมาแล้ว 5 ครั้ง.

หลังจากผู้ใช้งาน sign-in ผิดเกิน 10 ครั้ง จะมีข้อความแจ้ง "The referenced account is currently locked out and may not be logged on to. หลังจากนี้ถึงจะใส่ password ถูกต้อง ก็เข้าระบบไม่ได้อยู่ดี. แต่ในช่วงที่โดน locked จะไม่มีการนับ badPwdCount ต่อ.

หลังจากนั้นมาตรวจสอบใน Attribute editor > จะมีส่วนของ badPwdCount เท่ากับ 10.

หมายเหตุ: ค่า badPwdCount และ badPasswordTime จะไม่ถูก Replication ไปยัง domain controller ตัวอื่น.

แต่ในส่วของการ Unblock account จะมีเหมือนกัน.

สำหรับการ Unlock account มีดังนี้.

วิธีที่ 1: รอให้ reset account.

ในกรณีถ้าหากเราตั้งค่า Reset account lockout counter after ให้สามารถ reset account เองหลังจากผ่านไปกี่นาที.

การ Unlock account โดย Reset account lockout counter after โดยค่านี้ตั้งไวที่ 15 นาที.

จากรูปด้านล่าง เทียบเวลาที่ account lock out และ เวลาปัจจุบัน ณ. วันนั้น.

ฺbadpasswordtime = 3: 10: 10 PM และ currentime = 3: 27:19 PM ผ่านมาเป็นเวลาประมาณ 17 นาที. (17>15) ตัว Account lock จะทำการ reset ให้เอง. และ user สามารถเข้าใช้งานได้ปกติ.

วิธีที่ 2: การ Unlock account โดย Administrator.

หาก User ใส่ password ผิดและทำให้ account lock ตามรูปด้านล่างนี้ เราสามารถให้ Administrator เป็นคน unlock account ให้ได้.

โดย admin สามารถเข้าไปใน ADUC แล้วเลือก User ที่ต้องการ unlock โดยคลิกขวา เลือก Properties > ไปที่แท็บ Account สั่งเกตุว่าหลังคำว่า Unlock account จะมีขอความ "This account is currently locked out on this Active Directory Domain Controller" แสดงว่า account โดน locked แล้ว เราสามารถ unblock account ได้ดังนี้.

• เลือก chekbox ที่หน้า Unlock account
• กด OK หรือ Apply หลังจากนั้นข้อความ "This account is currently locked out on this Active Directory Domain Controller" จะหายไป แสดงว่าถูก unlock เรียบร้อยแล้ว
• ค่า badPwdCount จะถูก reset เป็น "0"

อ้างอิง.

รายละเอียด Account Lockout Policy.

Ref: https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/account-lockout-policy

Read More