ในบทความนี้จะเป็นของการปรับแต่ง (Tunning) ระบบหลังจากการติดตั้ง Domain Controller เสร็จเรียบร้อยแล้ว. ในบทความนี้จะเป็นการปรับในส่วนของการ join domain. โดยค่า default ของ Domain Controller จะยอมให้ user ธรรมดา (Domain Users) สามารถนำ Computer เข้ามา join domain ได้โดยที่ไม่จำเป็นต้องมีสิทธิ์ที่สู่ง. แต่จะถูกจำกัดด้วยจำนวน devices ที่สามารถนำมา join domain ได้สู่งสุด 10 devices (Ref. Link).
ตัวอย่าง: จากรูปด้านล่างจะเห็นว่า User ที่ชื่อ Jesus Graham อยู่ในกลุ่มของ Domain Users ซึ่งเป็น User ธรรมดา.
ผู้ใช้สามารถนำ Computer มา join domain ได้เลย.
ผลลัพท์ที่ได้เขาสามารถ join domain ได้.
สำหรับการป้องกันไม่ให้ User สามารถ join domain ได้มี 2 วิธี.
วิธีที่ 1: แก้ไข้ที่ Active Directory ในส่วนของ machine account.
1. เปิด ADSI Edit Tools ไปที่ Server Manager > Tools > ADSI Edit หลังจากนั้นให้คลิกขวาที่ ADSI Edit > Connect to > ในหัวข้อ Select a well know Naming Context: Default naming context > คลิก OK.
2. ให้แตกที่ Default naming context > คลิกขวาที่ DC=115itckp,DC=Local > Properties > ให้หา Attribue name "ms-DS-MachineAccountQuota" ให้เปลี่ยน value เป็น "0".
โดย Add workstations to domain ถูกกำหนดเป็น "NT AUTHORITY\Authenticated Users"
2. ให้ไปที่ Computer Configuration > Policies> Windows settings >Security Settings > Local Policies > User Rights Assignment > ให้เลือก Policy ชื่อ "Add workstations to domain" > ดับเบิลคลิกที่ Policy.
3. ให้เลือกที่ Authenticated Users แล้วกด Remove เสร็จแล้วให้กด OK.
4. ในหน้า Policy จะเป็นค่าว่าง.
ทดสอบหลังจากการปรับแต่ง.
ใช้ User ปกติทำการ join domain อีกครั้ง.
หลังจากนั้นจะพบกับ error ตามรูปด้านล่างนี้.
หมายเหตุ:
สุดท้ายหลังจากกำหนดค่าเรียบร้อยแล้ว User ธรรมดาจะไม่สามารถ join domain ได้ แต่ User ที่มีสิทธิ์เป็น Domain Admin หรือ user ที่ถูกมอบหมายสิทธิ์ (delegate) จะคงยังสามารถ join domain ได้ปกติ.
0 comments:
แสดงความคิดเห็น