การจัดการ Group Policy ใน AD DS

บทความนี้จะกล่าวถึง Group Policy ซึ่งเป็นเครื่องมือที่มาพร้อมกับ AD DS เราจะมาทำความเข้าใจหน้าที่และการใช้งานของ Group Policy กันในบทความนี้.

Group Policy จะช่วยให้เราสามารถตั้งค่า settings หรือ ค่า configuration ต่างๆ ของ users และ computer ที่ที่ทำงานอยู่บนระบบ Windows ทั้ง server และ client เราสามารถ deploy group policy จาก Domain Controller มายังเครื่องที่อยู่ภายใต้ domain.

ส่วนประกอบของ Group Policy.

ส่วนที่ 1: Group Policy Management (GPM)

.ในส่วนนี้จะเป็นเครื่องมือ (Tool) ที่ใช้จัดการ GPO โดยค่าเริ่มต้นเราจะมี GPO แค่ 2 GPO เท่านั้น คือ Default Domain Policy และ Default Domain Controllers Policy เท่านั้น.

ส่วนที่ 2: Group Policy Object (GPO)

ในส่วนนี้จะเป็น Group Policy Object ที่เราชอบเรียกว่า GPO นั้นแหละ โดยปกติแล้วเวลาเราสร้าง GPO ขึ้นมาจะถูกเก็บอยู่ในคอนเทนเนอร์ชื่อ Gtroup Policy Objects แสดงดังภาพ

ส่วนที่ 3: Group Policy (GP settings).

ส่วนนี้ก็เป็นส่วนของ Policy settings ที่จะร่วมหลายๆ settings มาร่วมเป็น group ซึ่งเราสามารเรียกมันได้ว่า Group Policy.

ในแต่ละ GPO ก็จะมีค่า settings หรือ ค่า configuration ต่างๆ ให้เราสามารถกำหนดค่าได้ เช่นตัวอย่างด้านล่างนี้.

ส่วนที่ 4: การกำหนดค่า Configuration.

ส่วนของการ Configuration จะแบ่งออกเป็น 2 ส่วน.

1- ส่วนที่เป็น Computer Configuration ค่า settings ต่างๆ จะถูกนำไปใช้กับ Computer เท่านั้นจะไม่สามารถนำไปใช้กับ User ได้.

2- ส่วนที่เป็น User Configuration ค่า settings ต่างๆ จะถูกนำไปใช้กับ User เท่านั้นจะไม่สามารถนำไปใช้กับ Computer ได้.

หมายเหตุ:

การสร้าง GPO แนะนำให้แยกค่า Configuration ออกจากกันอย่างชัดเจน เช่น ค่าที่เป็นส่วนของ User ก็แยกออกเป็น 1 GPO และค่าของ Computer ก็แยกออก 1 GPO. จริงๆ แล้วเราสามารถกำหนดทั้งค่า settings ของ User และ Computer ให้อยู่ภายใน GPO เดียวกันก็ได้แต่จะทำให้สับสน.

การสร้าง Group Policy Objects.

ตัวอย่าง: ต้องการที่จะซ่อน (hide) ไดร์ C:\ ไม่ให้ user เห็นไดร์ดังกล่าวเมื่อ sign-in เข้า computer.

ให้ไปที่ Group Policy Objects > New > ให้ตั้งชื่อของ GPO ให้สอดคล่องกับค่า settings.

หลังจากสร้างเสร็จจะแสดง GPO ดังภาพ.

หลังจากสร้างเสร็จแล้วเราสามารถกำหนดค่า settings ต่างๆ ได้โดยคลิกที่ GPO แล้วเลือก Edit.. ให้เข้าไปหาค่า settings ที่เราต้องการ

สำหรับค่า Settings จะมีทั้ง เปิด (Enabled) ปิด (Disabled) หรือใส่ข้อมูล.

หลังจากสร้างเสร็จเรียบร้อยเราสามารถดูค่า settings ได้โดยคลิกที่ GPO และเลือก แท็บ Settings.

การนำ Group Policy Object ไปใช้งาน.

เราสามารถไปที่ OU ที่เราต้องการที่จะ deployment GPO โดยคลิกขวา แล้วเลือก Link an Existing GPO... แล้วจะมีหน้าต่างให้เราเลือก GPO ที่เราได้สร้างไว้.

หลังจาก link GPO เรียบร้อยแล้วเราสามารถดูได้ว่า OU นั้นมี Policy อะไรบ้างที่ link กับมันอยู่

พื้นที่จัดเก็บ GPO บน Domain Controller.

Group Policy Objects ที่เราสร้างขึ้นจะถูกเก็บอยู่ใน C:\Windows\SYSVOL\Domain\Policies โดยโฟล์เดอร์ SYSVOL จะถูกแชร์อยู่แล้ว \\<dc>\SYSVOL\115itchp.local\Policies

จากภาพจะเห็นว่าจะมีโฟล์เดอร์ ที่ถูกสร้างขึ้นจะใช้ Unique ID ของ Group Policy Object นั้นๆ

การอัพเดท GPO (Refresh Group Policy).

• ค่าเริ่มต้นสำหรับ Refresh Group Policy คือ ทุกๆ 90 นาที และอาจจะมีการ random ทุก 30 นาที.
• ทำการอัพเดทด้วยตัวเอง (manual) จะมีอยู่ด้วยกัน 2 แบบ
• รีสตาร์ท computer (อัพเดท computer settings) หรือ Sign-out และ Sign-on (อัพเดท user settings)
• .ใช้ command "gpupdate" (อัพเดท gpo settings) หรือ gpupdate /force (Re-applied all settings)

เปิด Command prompt ให้พิมพ์ gpupdate

Note: อัพเดท Group Policy settings ทั้ง Computer และ User.

เปิด Command prompt ให้พิมพ์ gpupdate /force

Note: re-applied Group Policy settings ทั้ง Computer และ User

การตรวจสอบ Group Policy Objects บนเครื่อง computer ปลายทาง.

โดยปกติแล้วการตรวจสอบ GPO จะมีอยู่ด้วยกัน 2 ส่วน คือ GPO ของ User Configuration และ Computer Configuration ในการตรวจสอบจะใช้วิธีการเหมือนกันแต่แตกต่างอยู่กับ Permission ที่ใช้ในการรันคำสั่ง.

การตรวจสอบในส่วนของ User Configuration.

ไปที่เครื่อง computer ที่ต้องการตรวจสอบแล้วให้ทำตามขั้ยตอนต่อไปนี้.

1- ให้เปิด Command Prompt ขึ้นมาตามภาย ในกรณีไม่ได้เปิดด้วย run as administrator ดูได้แค่ค่า User settings เท่านั้น.
2- พิมพ์คำสั่ง gpresult /r
3- สั่งเกตุจะมีหัวข้อ USER SETTINGS.

4- จะมีข้อมูลเกี่ยวกับ User เช่น อยู่ OU ใหน หรือ last group policy was applied เป็นต้น

5- ในส่วนของ Applied Group Policy Objects จะแสดงชื่อของ GPO ที่ถูก apply มาทั้งหมดสำหรับ User Configuration.

การตรวจสอบในส่วนของ Computer Configuration.

ไปที่เครื่อง computer ที่ต้องการตรวจสอบแล้วให้ทำตามขั้ยตอนต่อไปนี้.

1- ให้เปิด Command Prompt ด้วย run as administrator จะสามารถดู Computer settings และก็จะสามารถดูค่าของ User settings ได้ด้วยแต่ มันจะแสดงค่าของ User ที่ใช้รัน as administrator ซึ่งมันไม่ใช้ค่า user settings ของ user นั้น.

2- พิมพ์คำสั่ง gpresult /r
3- สั่งเกตุจะมีหัวข้อ COMPUTER SETTINGS.

4- จะมีข้อมูลเกี่ยวกับ Computer เช่น อยู่ OU ใหน หรือ last group policy was applied เป็นต้น

5- ในส่วนของ Applied Group Policy Objects จะแสดงชื่อของ GPO ที่ถูก apply มาทั้งหมดสำหรับ Computer Configuration.