การจัดการ Group Policy ใน AD DS

บทความนี้จะกล่าวถึง Group Policy ซึ่งเป็นเครื่องมือที่มาพร้อมกับ AD DS เราจะมาทำความเข้าใจหน้าที่และการใช้งานของ Group Policy กันในบทความนี้.

Group Policy จะช่วยให้เราสามารถตั้งค่า settings หรือ ค่า configuration ต่างๆ ของ users และ computer ที่ที่ทำงานอยู่บนระบบ Windows ทั้ง server และ client เราสามารถ deploy group policy จาก Domain Controller มายังเครื่องที่อยู่ภายใต้ domain.

ส่วนประกอบของ Group Policy.

ส่วนที่ 1: Group Policy Management (GPM)

.ในส่วนนี้จะเป็นเครื่องมือ (Tool) ที่ใช้จัดการ GPO โดยค่าเริ่มต้นเราจะมี GPO แค่ 2 GPO เท่านั้น คือ Default Domain Policy และ Default Domain Controllers Policy เท่านั้น.

ส่วนที่ 2: Group Policy Object (GPO)

ในส่วนนี้จะเป็น Group Policy Object ที่เราชอบเรียกว่า GPO นั้นแหละ โดยปกติแล้วเวลาเราสร้าง GPO ขึ้นมาจะถูกเก็บอยู่ในคอนเทนเนอร์ชื่อ Gtroup Policy Objects แสดงดังภาพ

ส่วนที่ 3: Group Policy (GP settings).

ส่วนนี้ก็เป็นส่วนของ Policy settings ที่จะร่วมหลายๆ settings มาร่วมเป็น group ซึ่งเราสามารเรียกมันได้ว่า Group Policy.

ในแต่ละ GPO ก็จะมีค่า settings หรือ ค่า configuration ต่างๆ ให้เราสามารถกำหนดค่าได้ เช่นตัวอย่างด้านล่างนี้.

ส่วนที่ 4: การกำหนดค่า Configuration.

ส่วนของการ Configuration จะแบ่งออกเป็น 2 ส่วน.

1- ส่วนที่เป็น Computer Configuration ค่า settings ต่างๆ จะถูกนำไปใช้กับ Computer เท่านั้นจะไม่สามารถนำไปใช้กับ User ได้.

2- ส่วนที่เป็น User Configuration ค่า settings ต่างๆ จะถูกนำไปใช้กับ User เท่านั้นจะไม่สามารถนำไปใช้กับ Computer ได้.

หมายเหตุ:

การสร้าง GPO แนะนำให้แยกค่า Configuration ออกจากกันอย่างชัดเจน เช่น ค่าที่เป็นส่วนของ User ก็แยกออกเป็น 1 GPO และค่าของ Computer ก็แยกออก 1 GPO. จริงๆ แล้วเราสามารถกำหนดทั้งค่า settings ของ User และ Computer ให้อยู่ภายใน GPO เดียวกันก็ได้แต่จะทำให้สับสน.

การสร้าง Group Policy Objects.

ตัวอย่าง: ต้องการที่จะซ่อน (hide) ไดร์ C:\ ไม่ให้ user เห็นไดร์ดังกล่าวเมื่อ sign-in เข้า computer.

ให้ไปที่ Group Policy Objects > New > ให้ตั้งชื่อของ GPO ให้สอดคล่องกับค่า settings.

หลังจากสร้างเสร็จจะแสดง GPO ดังภาพ.

หลังจากสร้างเสร็จแล้วเราสามารถกำหนดค่า settings ต่างๆ ได้โดยคลิกที่ GPO แล้วเลือก Edit.. ให้เข้าไปหาค่า settings ที่เราต้องการ

สำหรับค่า Settings จะมีทั้ง เปิด (Enabled) ปิด (Disabled) หรือใส่ข้อมูล.

หลังจากสร้างเสร็จเรียบร้อยเราสามารถดูค่า settings ได้โดยคลิกที่ GPO และเลือก แท็บ Settings.

การนำ Group Policy Object ไปใช้งาน.

เราสามารถไปที่ OU ที่เราต้องการที่จะ deployment GPO โดยคลิกขวา แล้วเลือก Link an Existing GPO... แล้วจะมีหน้าต่างให้เราเลือก GPO ที่เราได้สร้างไว้.

หลังจาก link GPO เรียบร้อยแล้วเราสามารถดูได้ว่า OU นั้นมี Policy อะไรบ้างที่ link กับมันอยู่

พื้นที่จัดเก็บ GPO บน Domain Controller.

Group Policy Objects ที่เราสร้างขึ้นจะถูกเก็บอยู่ใน C:\Windows\SYSVOL\Domain\Policies โดยโฟล์เดอร์ SYSVOL จะถูกแชร์อยู่แล้ว \\<dc>\SYSVOL\115itchp.local\Policies

จากภาพจะเห็นว่าจะมีโฟล์เดอร์ ที่ถูกสร้างขึ้นจะใช้ Unique ID ของ Group Policy Object นั้นๆ

การอัพเดท GPO (Refresh Group Policy).

• ค่าเริ่มต้นสำหรับ Refresh Group Policy คือ ทุกๆ 90 นาที และอาจจะมีการ random ทุก 30 นาที.
• ทำการอัพเดทด้วยตัวเอง (manual) จะมีอยู่ด้วยกัน 2 แบบ
• รีสตาร์ท computer (อัพเดท computer settings) หรือ Sign-out และ Sign-on (อัพเดท user settings)
• .ใช้ command "gpupdate" (อัพเดท gpo settings) หรือ gpupdate /force (Re-applied all settings)

เปิด Command prompt ให้พิมพ์ gpupdate

Note: อัพเดท Group Policy settings ทั้ง Computer และ User.

เปิด Command prompt ให้พิมพ์ gpupdate /force

Note: re-applied Group Policy settings ทั้ง Computer และ User

การตรวจสอบ Group Policy Objects บนเครื่อง computer ปลายทาง.

โดยปกติแล้วการตรวจสอบ GPO จะมีอยู่ด้วยกัน 2 ส่วน คือ GPO ของ User Configuration และ Computer Configuration ในการตรวจสอบจะใช้วิธีการเหมือนกันแต่แตกต่างอยู่กับ Permission ที่ใช้ในการรันคำสั่ง.

การตรวจสอบในส่วนของ User Configuration.

ไปที่เครื่อง computer ที่ต้องการตรวจสอบแล้วให้ทำตามขั้ยตอนต่อไปนี้.

1- ให้เปิด Command Prompt ขึ้นมาตามภาย ในกรณีไม่ได้เปิดด้วย run as administrator ดูได้แค่ค่า User settings เท่านั้น.
2- พิมพ์คำสั่ง gpresult /r
3- สั่งเกตุจะมีหัวข้อ USER SETTINGS.

4- จะมีข้อมูลเกี่ยวกับ User เช่น อยู่ OU ใหน หรือ last group policy was applied เป็นต้น

5- ในส่วนของ Applied Group Policy Objects จะแสดงชื่อของ GPO ที่ถูก apply มาทั้งหมดสำหรับ User Configuration.

การตรวจสอบในส่วนของ Computer Configuration.

ไปที่เครื่อง computer ที่ต้องการตรวจสอบแล้วให้ทำตามขั้ยตอนต่อไปนี้.

1- ให้เปิด Command Prompt ด้วย run as administrator จะสามารถดู Computer settings และก็จะสามารถดูค่าของ User settings ได้ด้วยแต่ มันจะแสดงค่าของ User ที่ใช้รัน as administrator ซึ่งมันไม่ใช้ค่า user settings ของ user นั้น.

2- พิมพ์คำสั่ง gpresult /r
3- สั่งเกตุจะมีหัวข้อ COMPUTER SETTINGS.

4- จะมีข้อมูลเกี่ยวกับ Computer เช่น อยู่ OU ใหน หรือ last group policy was applied เป็นต้น

5- ในส่วนของ Applied Group Policy Objects จะแสดงชื่อของ GPO ที่ถูก apply มาทั้งหมดสำหรับ Computer Configuration.

Read More

วิธีสร้าง Group ใน AD DS

ในบทความนี้จะเป็นการสร้าง Group เพื่อเป็นกลุ่มของ Users หรือ Computer เพื่อใช้ในการกำหนดสิทธิ์การใช้งานหรือใช้กับ services ต่างๆ เพื่อแบ่งแยกงานทำงานหรือการเข้าถึง.

ใน AD DS เราสามารถสร้าง Group ได้ 2 ชนิดประกอบไปด้วย.

• Security group สามารถเอา group ชนิดนี้ ไปกำหนด permission ได้ เช่นกำหนดให้คนใน group สามารถเข้าถึงและแก้ไขข้อมูลในโฟล์เดอร์ได้.
• Distribution group ใช้กับ Email เท่านั้น เราไม่สามารถใช้ group นี้ไปกำหนด permission ได้.

จากรูปภาพด้านล่างสังเกตุว่าใน OU ชื่อ Groups จะมี Group อยู่ซึ่งประกอบด้วย Security group และ Distribution group ส่วนรูปด้านขวาแสดงเมื่อต้องการจะ add permission ให้กับ folder เวลาจะค้นหา group เพื่อกำหนด permission จะไม่แสดงชื่อ Group ที่เป็น Distribution group

ขั้นตอกการสร้าง Group.

ตัวอย่าง: สร้าง Group สำหรับทีม ITAdmin เพื่อใช้ในการกำหนด permission โดยนำ account ของ IT เข้ามาเป็น member ของ Group นี้.

ข้อมูลสำหรับสร้าง Group.

ชื่อของ group: ITAdmin (Bangkok)

ชนิดของ group: Security

สมาชิก: user account ของ IT

เปิด ADUC > ไปที่ OU ที่ต้องการสร้าง > คลิกขวา > เลือก New > เลือก Group.

- ตั้งชื่อ group เป็น "ITAdmin (Bangkok)"

- กำหนด group type เป็น Security.

หลังจากสร้าง group จะแสดง Group ตามภาพ.

ให้คลิกขวาที่ group > เลือก Properties > ไปที่ Member > เลือก Add > เลือก User account ที่ต้องการ add แล้วคลิก OK.

หลังจาก add เสร็จเรียบร้อยแล้วจะแสดงชื่อของผู้ใช้ที่ได้เพิ่มไปก่อนหน้านี้.

Read More

วิธีติดตั้ง Remote Server Administration Tools (RSAT) บน "Windows 11"

ในบทความนี้จะกล่าวถึงวิธีการติดตั้ง Remote Server Administration Tools (RSAT) บน Windows client สำหรับ RSAT เป็น tool ที่ช่วยให้ admin หรือ helpdesk สามารถทำงานได้สะดวกมากขึ้น โดยที่ไม่จำเป็นต้อง remote หรือ login เข้าระบบ AD DS เลย เราสามารถที่จะติดตั้ง tools ที่ใช้ในการจัดการ AD DS เช่น Active Directory Users and Computers, Active Directory Sites and Services บนเครื่อง computer เป็นต้น

สำหรับการติดตั้ง RSAT ใน Windows 10/11 จะมีอยู่ด้วยกัน 2 วิธี.

1. ใช้ Windows PowerShell
2. .ติดตั้งผ่าน GUI (Optional features)

หมายเหตุ:

.สำหรับการติดตั้ง RSAT แนะนำให้ติดตั้งผ่าน Windows PowerShell เพราะถ้าหากใช้ GUI ตัว Optional features เปลี่ยน location (ในบางบทความจะอยู่ Settings > Apps > Optional feature แต่บาง OS จะอยู่ Settings > System > Optional feature ง่ายที่สุดให้ search หาคำว่า Optional features ก็ได้). จะใช้วิธีใหนผลลัพท์เหมือนกัน.

วิธีการติดตั้ง Remote Server Administration Tools (RSAT)

1. เปิด Windows PowerShell ด้วย run as administrator แล้ว run คำสั่งต่อไปนี้

 Get-WindowsCapability -Name RSAT* -Online | Select-Object DisplayName,Name,State

2. จะแสดง management tools ของ RSAT ทั้งหมดดังภาพแต่ เราต้องการเฉพาะ feature "RSAT: Active Directory Domain Services and Lightweight Directory Services Tools" เท่านั้น.

3. เราสามารถใช้คำสั่งในการติดตั้งดังนี้.

Add-WindowsCapability -Name <RSAT name> -Online

Add-WindowsCapability -Name "Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0"-Online แล้วกด Enter เพื่อดำเนินการติดตั้ง.

4. หลังจากนั้นจะมีการ download package และเริ่มติดตั้ง (จะต้องมี internet connection).

5. แสดงภาพเมื่อติดตั้งเสร็จ.

ตรวจสอบหลังการติดตั้ง.

1. .ให้ใช้ command "Get-WindowsCapability -Name RSAT* -Online | Select-Object DisplaName,Name,State" จะเห็นว่า state = Installed แสดงว่ามันติดตั้งเสร็จเรียบร้อยแล้ว.

2. หลังจากติดตั้ง จะมี AD tools ที่ถูกติดตั้งเข้ามาดังรูปด้านล่าง.

3. สามารถค้นหาด้วย keyword: active directory จะแสดง AD tools ขึ้นมา.

4. เราสามารถเปิด ADUC และสามารถเห็นข้อมูลใน Directory ต่างๆ ได้.

Read More

วิธีนำเครื่อง Computer เข้าสู่ระบบ Domain (Join Domain)

ในบทความนี้จะเป็นการนำเครื่อง Computer เข้ามาเป็นสมากชิกของ Domain (join domain) เพื่อที่เราจะสามารถความคุมหรือตั้งค่าผ่านต่างๆ โดยใช้ GPO และเราสามารถมั่นใจว่า Computer ที่เข้ามาใช้ระบบมีความปลอดภัยและน่าเชื่อถือ.

ตั้งค่า Network ก่อน join domain.

ก่อนที่จะนำเครื่อง Computer join domain เราจะต้องแน่ใจว่า computer สามารถติดต่อกับ Domain Controller ให้ได้ก่อน.

ตั้งค่า IP Address สำหรับ Computer client.

• IP Address: 172.16.10.200
• Subnet mask: 255.255.255.0
• Default gateway: 172.16.10.254
• Preferred DNS server: 172.16.10.11 (ITC-AD01)
• Alternate DNS server: 172.16.10.12 (ITC-AD02)

1. Sign-in computer ด้วย local administrator ให้เลือกไปที่ Windows > Settings.

2. ให้เลือก Network & internet > เลือก Ethernet.

3. ให้เลือก Edit ที่ IP assignment.

4. ตั้งค่า Network ตามที่ได้กำหนดข้างต้น หลังจากนั้นให้กด Save.

5. หลังจากบันทึกแล้วจะแสดงรายละเอียดของ IP Address.

6. ทดสอบการเชื่อมต่อ (connection) ระหว่าง Client และ Domain Controller.

โดยเราสามารถเช็ค DNS loopup และ connection ดั่งนี้.

• ใช้คำสั่ง nslookup แล้วตามด้วย domain name.
• จะ return addresses ของ DC ที่อยู่ในระยย
• ทดสอบด้วยการใช้คำสั่ง ping ไปยัง domain เพื่อทดสอบ connectiont (จะต้อง allow ICMP port)

ขั้นตอนการ Join domain.

ข้อมูลที่ใช้ในการ join domain มีดังนี้.

• ชื่อของ Domain หรือ NetBIOS domain name ใช้เป็น "115itckp"
• ใช้ User account ในการ join domain โดยค่าเริ่มต้น user สามารถ join domain ได้ (User สามารถ join domain ได้แต่ถูกจำกัดไว้ไม่เกิด 10 devices Link )
• Sign-in ด้วย local administrator.

1. sign-in ด้วย local administrator (itcadmin เป็น account ที่ถูกสร้างในขณะที่ติดตั้ง) แล้วไปที่ปุ่ม Windows > เลือก Settings..

2. .ให้เลือก System > About > เลือกที่ Domain or workgroup.

3.เลือกแท็บ Computer Name > เลือก Change.... ในตัวอย่างจะมีการกรอกข้อมูล 2 หัวข้อ.

• กรอกชื่อ Computer name: ITC-PC01 (ในกรณีที่ไม่ได้เปลี่ยนชื่อ Computer ตั้งแต่แรกอยู่แล้ว).
• Member of Domain: 115itckp (ใช้ Net BIOS domain name).

หลังจากนั้นให้เลือก OK.

4. หลังจากนั้นจะมีหน้าต่าง Welcome to the domain 115itckp domain ให้เลือก OK.

5. เครื่อง Computer จะให้ restart เพื่อ apply การตั้งค่า ให้คลิก OK ทั้ง 3 หน้าต่าง.

6. ให้กดปุ่ม Restart now เพื่อทำการ restart ได้เลย.

7. หลังจาก restart เครื่องกลับมาแล้ว เวลาจะ sign-in เข้าระบบจะแสดงข้อความ Sign in to: 115ITCKP.

ทดสอบเข้าใช้งาน Computer หลัง join domain.

หลังจากที่เราได้ join domain เสร็จแล้วเราสามารถใช้ user account ที่ถูกสร้างบน domain controller ในการ sing-in เข้าระบบได้เลย.

1. เข้าใช้งานระบบด้วย User ที่ถูกสร้างบน AD DS โดยใส่ Username และ password แล้วกด Enter.

2. ระบบจะแจ้งให้ User change password ในครั้งแรกที่ทำการ logon ให้เลือก OK.

3. ให้ตั้ง Password ใหม่โดยจะต้องห้ามซ้ำกับ password เดิม.

4. โดยกรอก New password และ Confirm password และกดปุ่ม Enter.

5. ให้กด OK.

6. เมื่อเปลี่ยน password สำเร็จจะแสดง account ที่ใช้ในการ sign-in เข้าระบบ computer.

7. เราสามารถตรวจสอบ computer ว่าเป็น member ของ domain ได้โดยไปที่ Windows > Settings > Account > Access work or school > สังเกตุว่าจะมี icon Connected to 115ITCKP AD domain

ตรวจสอบในระบบ Domain Controller

1. เปิด ADUC แล้วไปที่ OU ชื่อ Computers สังเกตุว่ามี Computer ที่เราได้ join domain มาอยู่ที่ OU นี้.

ตรวจสอบที่ DNS Server.

1. ไปที่ Server Manage > Tools > DNS server > เข้าไปที่ Forward Lookup Zone > เลือก 115itckp.local >สั่งเกตุว่าจะมี Host (A) ของ Client ถูกสร้างขึ้นมาใน DNS server ด้วย.

Read More