Acti A ive Direcctory Win W ndo ows 2008 R2 R Be est Practtice | Step by Step S Install & Configuring forr IT Proffessiona als
เนื้อหาการ อ เรียนรูแ้ ละการฝึ ล กปฏิ ก บตั ดด้ิ ว้ ยตัวเอองในรูปแบบ แ Ste p By Steep
Suttipan Passorn P | สุทธิ ท พนั ธ์ ภัสสรร Microsoft Most M Valuabble Professioonal | Manaagement Infrrastructure http://wwww.mvpskill.coom | Changee The Worldd By Contributions 10 Septem mber 2012 | Version 1.00
เอกสาารแจกฟรี ห้ามมคัดลอก หรือนํนาไปจําหน่ายเเพือ่ หวังผลทางงการค้า
Active Directory Winndows 2008RR2 Step by Steep
จากกผูเ้ ขียน W 2008R2 เน้นการเรียนรูแ้ ละการฝึกปฏิ ก บตั ดิ ว้ ยตัวเองในรู ว ปแบบบ Step By Steep จัดทําเนื้อหาา 1. E-Book Activee Directory Windows แบบ "ผล --> ไไปหา --> เหตุตุ" หวังว่าเพื่อน ๆ พีน่ ้องร่วมออาชีพจะได้นําไปใช้ ไ เป็ นแนวททางในการซักซซ้อมเพือ่ เข้าใจภาพรวมของกการใช้ งานอย่างแท้จริง เนื้อหาทัง้ หมดครอบคลุ ห มข้ขอสอบวิชา 700-640 TS: Winndows Serverr 2008 Active Directory, Coonfiguring หากก ซักซ้อมทํา LAAB จนครบถ้วนแล้ น ว ผมมันใจ ่ จว่าจะทําให้ทุกกท่านสอบผ่าน Microsoft Certify วิชานี้ได้ออย่างสบาย า างเดียว" .... Skill เกิดจากการฝึ จ กปฏิบับติ การปฏิบตั จิจริงจะจําได้งา่ ยว่าต้องเลือกปปุม่ 2. E-Book เล่มนีน้้ไม่เหมาะกับกาารอ่าน......."อ่านอย่ ไหน กดตรงไหหน และเปิ ดตรรงไหนมาใช้งานน จะหัดขับรถออย่ามัวแต่ทอ่ งตํารา ลุยเลยครับบบบ! :-) 3. E-Book เล่มนีน้้รวบรวมและจับั ใจความมาจาากแหล่งหนังสือสามเล่มดังนี้ หากผูอ้ ่านสนใใจภาคทฤษฏีเเชิงลึก สามารถถหาอ่านเพิม่ เติติม ตามรายการด้า้ นล่างนี้ครับ • Microsoft Preess MCTS Self-Paced Trainning Kit Exam m 70-640. • Sams Windowws Server 2008 R2 Unleasshed. • Pearson MCTTS.70-640 Ceert.Guide. สุทธิพนั ธ์ ภัภสสร | Suttipaan Passorn Founderr mvpskill.com | Change thee World by Coontributions
หมายเหตุ: สัญลักกษณ์ ต่าง ๆ ในนหนังสือ ความหมายยของรูป = จดเอง ตัวใครตัวมันครับ ^ ^ ความหมายยของรูป = มีแหล่ ห งอ้างอิงเพิม่ เติม หรือเป็ น Tip ให้เก็บไว้เอาไปใช้งานระะยะยาว
โปรดดตรวจสอบ Version ล่าสุดขอองเอกสารที่ http://www.mvpsskill.com ก่อนนํ น าไปใช้ งานจริ งิ
Page 1 of 2337
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Requirement สําหรับการทํา LAB ประกอบการเรียนรู้
หลังจากทีท่ ุกท่านอ่านหนังสือพร้อมกับทํา LAB ไปด้วยกันจนจบแล้ว ท่านจะสามารถสร้างระบบ Active Directory ขนาดใหญ่ ประกอบกันเป็ น Enterprise Infrastructure ได้ตามรูปด้านบนนี้ครับ ผมทดสอบทํา LAB บน VmWare Workstation ครับ โดยใช้ PC ทีม่ ี RAM 8 GB และ Harddisk ทีม่ พี น้ื ทีว่ า่ ง 100 G ใน LAB ของบทต้น ๆ จะไม่จาํ เป็ นต้องเปิ ด Vm Guest พร้อมกันมากมายนัก แต่พอบทท้าย ๆ แล้วจําเป็ นจะต้องเปิด Vm Guest พร้อม ๆ กันมากขึน้ ผมจึงขอแนะนําว่าให้ใช้ Harddisk Raid 10 หรือ ใช้ Disk แบบ SSD เพือ่ ทําการทดสอบจะได้ความเร็วในการทํางานมาก ยิง่ ขึน้ ครับ สําหรับผูท้ ต่ี อ้ งการทดสอบ Windows Server 2008R2 สามารถ Download Evaluation ได้ท่ี http://technet.microsoft.com/en-us/evalcenter/dd459137.aspx และ Step by Step ของ Windows Server 2008 Feature อื่น ๆ แนะนําให้โหลดอ่านต่อทีน่ ่ีครับ http://www.microsoft.com/en-us/download/details.aspx?id=17157 หรือใช้ Keyword ในการค้นหาว่า Windows Server 2008 Step-byStep Guides
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 2 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
ตารางการตัง้ ค่า Server (Virtual Machine ทีจ่ าํ เป็ นต้องใช้) เพื่อประกอบการทํา LAB ด้วยกัน (ดูรปู ด้านบนประกอบนะครับ) Server Name Domain Name Type of Domain IP Address Prefer DNS1/2 1 dc01 demo.local Root – First DC in forest 192.168.1.10 Self 2 dc02 demo.local Root – Additional Domain Controller 192.168.1.20 Self 3 dc03 cm.demo.local Child Domain 192.168.1.30 Self 4 dc04 cm.demo.local Child – Additional Domain Controller 192.168.1.40 Self 5 dc05 abc.com Domain Tree 192.168.1.50 Self 6 dc06 abc.com Domain Tree – Additional Domain Controller 192.168.1.60 Self Client
Domain Name Type of Domain
IP Address
Prefer DNS1/2
ตารางการตัง้ ค่า Server (Virtual Machine เผื่อใช้งาน) เพือ่ ประกอบการทํา LAB ระดับ Advance Server Name Domain Name Type of Domain IP Address 1 core01 demo.local Root – First DC in forest 192.168.1.10
Prefer DNS1/2 Self
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 3 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
สารบัญ | Table of Contents จากผูเ้ ขียน ......................................................................................................................................................................................... 1 Requirement สําหรับการทํา LAB ประกอบการเรี ยนรู ้ ................................................................................................................ 2 Module 1: Introducing Active Directory Domain Services (AD DS) ................................................................................................ 12
ภาพรวมของ Module1 .............................................................................................................................................................. 13 วางแผน Pre Install Active Directory: ก่อนการติดตั้ง Active Directory Server Role........................................................ 13 Lab1: ติดตั้ง Active Directory Domain Service ซึ่ งเป็ น Domain Controller ตัวแรกในระบบ.................................... 14 Checklist เพื่อตรวจสอบหลังการติดตั้ง Domain Controller ........................................................................................... 20 Active Directory Schema ....................................................................................................................................................... 21
ส่ วนประกอบที่สาํ คัญของ Domain Controller ................................................................................................................. 23 ส่ วนประกอบสําคัญของ Domain Controller .................................................................................................................... 24 ประเภทของ Active Directory Domain และการนําไปใช้งาน......................................................................................... 27 ภาพรวม ของ Active Directory Data Store ......................................................................................................................... 29 การ Raise Domain & Forest Functional Level ..................................................................................................................... 30 Lab1.1 Advance: ติดตั้ง ADDS Role บน Server Core .................................................................................................. 32
สรุ ปสําหรับ บทเรี ยนที่ 1 Introducing Active Directory Domain Services (AD DS) ........................................................ 37 Module 2: Administering Active Directory Securely and Efficiently................................................................................................. 38 Lab2: Administering Active Directory by Using Administrative Tools ............................................................................. 39
การใช้งาน MMC .................................................................................................................................................................. 42 การค้นหา Object ใน Active Directory ................................................................................................................................ 51 Lab3: Find Objects in Active Directory ............................................................................................................................ 52
การค้นหา Object โดยใช้คาํ สัง่ ds commandline .............................................................................................................. 54 โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 4 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
dsquery: Displays objects matching search criteria ............................................................................................................. 54 dsget: ใช้เพื่อดูขอ้ มูล Properties ของ Object .................................................................................................................... 55
การใช้คาํ สัง่ ผสมระหว่าง Dsquery และ dsget ................................................................................................................ 56 dsrm: Removes objects ......................................................................................................................................................... 57
ค้นหา User ที่ไม่ Active เพื่อทําการลบด้วยคําสัง่ .......................................................................................................... 57 dsmove: Moves objects to another container within the domain ......................................................................................... 58 dsmod: Modifies objects ........................................................................................................................................................ 58
วิธีการ สร้าง Saved Queries ............................................................................................................................................... 58 ใช้งาน คําสัง่ dsadd เพื่อ Create User ............................................................................................................................... 63 Script สําหรับเพิ่ม OU / USER ........................................................................................................................................... 64
การออกแบบและการสร้าง OU (Organizational Unit ) เบื้องต้น ................................................................................... 66 Lab4: จัดการ Active Directory ด้วย PowerShell ............................................................................................................ 69 PowerShell : ใช้งานเกี่ยวกับ Users .................................................................................................................................... 71
ติดตั้งและใช้งาน PowerShell ISE ...................................................................................................................................... 74 PowerShell : การใช้งานเกี่ยวกับ Computers .................................................................................................................... 76
คําสัง่ PowerShell เพื่อเปลี่ยน Password ของ Users ........................................................................................................ 77 คําสัง่ PowerShell เพื่อเปลี่ยน List User Account............................................................................................................... 78 การใช้งาน Delegation Control Wizard ................................................................................................................................ 84 การ Delegate Reset Password / Unlock User Account....................................................................................................... 85 การจัดการ Security Permission ของ Active Directory Object ........................................................................................... 86 Module 3: Managing Users and Service Accounts ......................................................................................................................... 89
ติดตั้ง และใช้งาน RSAT .................................................................................................................................................... 89 โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 5 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
การใช้งาน Server Core ผ่าน Remote ด้วย Sconfig.cmd .................................................................................................. 91 การใช้งาน Active Directory Administrative Center ............................................................................................................. 93 Lab5: Create and Administer User Accounts.................................................................................................................. 94 Lab6: Configure User Object Attributes .......................................................................................................................... 94 Lab7: Automate User Account Creation.......................................................................................................................... 95
การใช้งาน CSVDE .............................................................................................................................................................. 95 LDIFDE = LDAP Data Interchange Format (LDIF)............................................................................................................... 96 Lab7-4: Create and Administer Managed Service Accounts.......................................................................................... 96 Module 4: Managing Groups ............................................................................................................................................................ 98
ทําความเข้าใจเรื่ อง Group Membership............................................................................................................................. 98 ประเภทของ Group (มี 2 ประเภท) ................................................................................................................................ 100 Scope ของ Group (มี 3 Scope) ......................................................................................................................................... 101 Concept การนํา AGUDLP ไปใช้งาน ............................................................................................................................... 101 Lab8: Administer Groups ............................................................................................................................................... 102
การค้นหา Group Members ใน Active Directory .............................................................................................................. 104 Lab9: Best Practices for Group Management............................................................................................................... 108 Module 5: Managing Computer Accounts...................................................................................................................................... 109 Lab10: Create Computers and Join the Domain .......................................................................................................... 109
การทํา Offline Domain Join .......................................................................................................................................... 110 Lab11: Administer Computer Objects and Accounts .................................................................................................... 111 Module 6: Implementing a Group Policy Infrastructure ................................................................................................................. 113 Group Policy คืออะไร? ..................................................................................................................................................... 113
ประโยชน์ของ Group Policy............................................................................................................................................. 113 เข้าใจเรื่ อง Local Group Policy .......................................................................................................................................... 114 โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 6 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Option ของ Group Policy ที่เพิ่มขึ้นมาใน Windows Server 2008 .................................................................................. 115
พื้นฐานความเข้าใจเรื่ อง Group Policy............................................................................................................................ 115 เครื่ องมือในการใช้บริ หารจัดการ Group Policy ........................................................................................................... 116 สรุ ปการเปลี่ยนแปลงของ Group Policy ที่มีใน Windows 2008................................................................................... 117 หัวข้อที่ตอ้ งทําความเข้าใจเกี่ยวกับ Group Policy......................................................................................................... 118 ประเภทของ GPO........................................................................................................................................................ 119 ลําดับการประมวลผลของ GPO ในระบบ Active Directory ................................................................................... 119 GPO Link........................................................................................................................................................................ 120
การจัดการ Group Policy Processing ................................................................................................................................ 122 GPO Link Order ............................................................................................................................................................. 122 GPO Inheritance ............................................................................................................................................................ 122
การบังคับให้ GPO ต้องถูกประมวลผลเสมอ (Enforcing Inheritance) .................................................................. 123 การควบคุม Refresh Time ........................................................................................................................................... 124 การปรับแต่ง Refresh Interval ..................................................................................................................................... 124 การปรับแต่ง Slow-Link Detection ............................................................................................................................... 125 GPO Loopback Processing ........................................................................................................................................... 126
การวางแผน GPO Modeling และ GPO Result .......................................................................................................... 126 การบริ หารจัดการ Group Policy ...................................................................................................................................... 127 การ Delegating Control สําหรับ GPOs ....................................................................................................................... 128 ทําความเข้าใจกับ Starter GPOs ................................................................................................................................. 129 การ Enable / Disable GPO ........................................................................................................................................... 129 Advance Group Policy Management (AGPM) .................................................................................................................... 130
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 7 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
การใช้งาน Search And Filtering GPO .............................................................................................................................. 130 การใช้งาน WMI Filter หรื อ WMI Query ..................................................................................................................... 132 เริ่ มต้นด้วย Default Policies ......................................................................................................................................... 133 การตั้งค่า Default Domain Policy ................................................................................................................................. 133 การตั้งค่าเพิม่ เติมจาก Default Domain Policy ............................................................................................................ 134 การตั้งค่า Default Domain Controller Policy................................................................................................................. 134 การใช้งาน Top 10 GPO Settings ที่ใช้งานประจํา ................................................................................................... 135 การแก้ไขปัญหาเกี่ยวกับ Group Policy ........................................................................................................................... 135 การจัดการ GPO Storage ............................................................................................................................................. 135 Protocol ที่จาํ เป็ นสําหรับการ Process GPO ................................................................................................................... 137
การ Import, Migration GPO........................................................................................................................................... 138 การ Backup / Restore GPO .......................................................................................................................................... 138 การบริ หารจัดการ SYSVOL ............................................................................................................................................. 139 แนวทางการแก้ปัญหา Replication ของ Sysvol ............................................................................................................. 139 Lab12: Implement Group Policy Create, Edit and Link GPOs ..................................................................................... 140 Lab13: Manage Group Policy Scope ............................................................................................................................ 140 Lab15: Troubleshoot Policy Application ........................................................................................................................ 140 Module 7: Managing User Desktop with Group Policy.................................................................................................................. 147 Lab16: Manage Administrative Templates .................................................................................................................... 147 Lab17: Manage Group Policy Preferences ................................................................................................................... 149
เริ่ มต้นกับ GPO Preferences ....................................................................................................................................... 149 ใช้ Group Policy Preferences สร้าง Shortcut Notepad บน Desktop ......................................................................... 150
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 8 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
การใช้ GPO-Preferences สร้าง Folder ใหม่ที่เครื่ องปลายทาง .............................................................................. 154 การใช้ GPO-Preferences ทําการ MAP Network Drive ............................................................................................... 154 LAB18: Manage Software With GPSI ........................................................................................................................... 156
การติดตั้ง Software ด้วย Group Policy (GPSI) ................................................................................................................. 156 Lab: Manage Security Settings With Security Template .............................................................................................. 160 Lab: Audit Active Directory Changes ............................................................................................................................ 161 Lab: Link VS Unlink ....................................................................................................................................................... 163 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings ............................................................ 165 Lab19: Use Group Policy to Manage Group Membership ........................................................................................... 165 Lab20: Manage Security Settings ................................................................................................................................. 167
การใช้งาน Security Template...................................................................................................................................... 168 การใช้งาน Security configuration Wizard ................................................................................................................... 169 Lab21: Audit File System Access.................................................................................................................................. 172 Lab: Audit Active Directory Changes ............................................................................................................................ 173 Lab: Audit Authentication ............................................................................................................................................... 175 Lab22: Configure Application Control Policies .............................................................................................................. 176 Module 9: Securing Administration ................................................................................................................................................ 180 Lab23: Delegate Administration .................................................................................................................................... 180 Lab24: Audit Active Directory Changes ........................................................................................................................ 182 Module 10: Improving the Security of Authentication in an AD DS Domain ................................................................................ 183 Lab25: Configure Password and Account Lockout Policies ......................................................................................... 183
ใช้งาน Fine Grained Password Objects ............................................................................................................................ 183 Lab26: Audit Authentication ........................................................................................................................................... 193 Lab27: Configure Read-Only Domain Controller .......................................................................................................... 193
การออกแบบและใช้งาน Read Only Domain Controller (RODC) ................................................................................. 193 โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 9 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Module 11: Configuring Domain Name System ............................................................................................................................ 196
การออกแบบ DNS Namespace Option............................................................................................................................ 197 ชนิดของ DNS Zone .......................................................................................................................................................... 197 ความเข้าใจเรื่ อง DNS Zone Transfer กับ Replication ..................................................................................................... 198 ความเข้าใจเรื่ อง DNS Caching......................................................................................................................................... 199 TIP: เนื้ อหาที่ตอ้ งทําความเข้าใจเกี่ยวกับ DNS / WINS ................................................................................................ 200 Lab28: Install DNS Service............................................................................................................................................ 200 Lab29: Advance Configuration DNS ............................................................................................................................. 201
การใช้ DNS Stub Zone................................................................................................................................................. 203 Module 12: Administering AD DS Domain Controllers .................................................................................................................. 204 Lab30: Install Domain Controller ................................................................................................................................... 204 Lab31: Install Server Core Domain Controller .............................................................................................................. 208 Lab32: Transfer Operation Master Roles ...................................................................................................................... 210
ทําความเข้าใจ Operation Master Roles ของ Active Directory ........................................................................................ 212 การ Seize Operations Master ............................................................................................................................................ 214 Lab33: Configure Global Catalog and Universal Group Membership Caching ........................................................... 216 Global Catalog, Universal Group Membership ................................................................................................................... 216 Lab34: Configure DFS-R Replication of SYSVOL ........................................................................................................ 217 Module 13: Managing Sites and Active Directory Replication ...................................................................................................... 220 Lab35: Configure Site and Subnet ................................................................................................................................ 220 Lab36: Configure Replication ........................................................................................................................................ 220 Module 14: Directory Service Continuity........................................................................................................................................ 222 Lab36: Monitor Active Directory Events and Performance........................................................................................... 222 Lab37: Manage Active Directory Database .................................................................................................................. 224 Lab38: Using Active Directory Recycle Bin .................................................................................................................. 225 โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 10 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Lab39: Backup and Restore Active Directory ............................................................................................................... 230 Module 15: Managing Multiple Domains and Forests ................................................................................................................... 235 Lab40: Configure Name Resolution Between Forest ................................................................................................... 235 Lab37: Configure a Forest Trust ................................................................................................................................... 235
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 11 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Module 1: Introducing Active Directory Domain Services (AD DS) เบือ้ งต้นเกี่ยวกับ ADDS Active Directory เป็ นเครือ่ งมือ ทีม่ มี ากับ Windows Server Operating System โดยทําหน้าทีช่ ว่ ยจัดการทรัพยากรในระบบ จากจุดศูนย์กลางโดยเครือ่ งมือของ Server Domain Controller ถ้าองค์กรทีม่ ี User มาก ๆ นํา Active Directory มาใช้งาน จะช่วยลด ภาระค่าใช้จา่ ยในการบริหารจัดการ User Environment อีกทัง้ ยังเพิม่ ความปลอดภัยให้กบั ระบบโดยรวมโดยทีไ่ ม่ตอ้ งซือ้ เครื่องมือเพิม่ เติม (มีมากับ Windows อยูแ่ ล้ว ถ้าใช้ให้เป็ น ปรับแต่งให้ดี ระบบก็จะมีประสิทธิภาพเป็ นประโยชน์ต่อองค์กร) สมัย Windows 2000 – Windows 2003 เค้าเรียกกันแค่ AD หรือ Active Directory แต่ใน Windows 2008 เรียกเพิม่ ว่า Active Directory Domain Services (ADDS) ขอให้เข้าใจว่าเป็ นเรือ่ งเดียวกัน ADDS เป็ นพืน้ ฐานทีส่ าํ คัญสําหรับผูด้ แู ลระบบสาย IT Pro ของ Microsoft ทีจ่ าํ เป็ นจะต้องเรียนรูไ้ ว้เป็ นพืน้ ฐานในการนําไป เรียนรูต้ ่อยอด หรือติดตัง้ ปรับแต่งระบบทีเ่ กีย่ วกับ Microsoft Server Platform หรือในหน่วยงานทีใ่ ช้งาน Microsoft Platform เป็ นหลัก Active Directory Domain Services (ADDS) เป็ น Roles บน Windows Server ทีม่ ไี ว้เพือ่ ใช้งานเกีย่ วกับการ ระบุตวั ตน (ช่วย Authentication & Authorization & Audit) และการเข้าถึงทรัพยากรต่าง ๆ บนขอบเขตของ Active Directory ซึง่ Windows Server 2008 เน้นใช้คาํ ว่า (identity and access) หรือ IDA ประโยชน์ ของ Active Directory Active Director คือชื่อเรียกของเทคโนโลยี Microsoft Directory Service ซึง่ นําข้อดีหลาย ๆ อย่างในการบริหารจัดการ Client / Server มาให้ผดู้ แู ลระบบทํางานได้งา่ ยขึน้ เช่น • ฟรี ! (หมายถึงคุณจ่ายค่า License เฉพาะ Windows OS) • รวมศูนย์การบริหารจัดการเรือ่ ง Username / Password • เพิม่ ความสะดวกให้กบั ผูด้ แู ลระบบในการควบคุมมาตรฐานของ Client Environment (ผ่าน Group Policy) • เพิม่ ความสะดวกให้กบั ผูด้ แู ลระบบในการควบคุมมาตรฐานของการใช้งาน Software Deployment (ผ่าน Group Policy) • เพิม่ ความสะดวกให้กบั ผูด้ แู ลระบบในการควบคุม Security Parameter (ผ่าน Group Policy) • สามารถจัดการควบคุมการเข้าถึง ข้อมูล, User Data และทรัพยากรในขอบเขตของสมาชิกทีอ่ ยูใ่ น Active Directory ได้ • Active Directory เป็ นพืน้ ฐานทีจ่ าํ เป็ นหากต้องนํามาใช้งาน Exchange / Sharepoint / SQL
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 12 of 237
เอกสาารแจกฟรี ห้ามมคัดลอก หรือนํนาไปจําหน่ายเเพือ่ หวังผลทางงการค้า
Active Directory Winndows 2008RR2 Step by Steep
ภาพรวมของง Modulee1 • ใน M Module นี้คณ ุ จะได้เรียนรูส้ ว่ นประกอบที น ส่ าํ คคัญของ Activee Directory แลละการติดตัง้ เพืพื่ อใช้งานอย่างถูถูกวิธี า ยนรูด้ งั นี้ ก่อนอื่น มาทําความมรูจ้ กั ศัพท์ทใ่ี ช้เรียกในระหว่างการเรี Activve Directory Domain Servvices (ADDS)) = เป็ นชื่อเรียก Roless ในการทํางานนบน Windowss Server 20088 (สมัย Windows Server 2003 เรียก Activve Directory เฉย ๆ ซึง่ ขอให้ห้ เข้าใจจว่าเป็ นเรือ่ งเดีดียวกัน) ADDDS ช่วยเป็ นศูนย์ น กลางในการบบริหารจัดการกการเข้าถึงทรัพยากร โดยทีช่ ว่ วยจัดการเรือ่ ง Authenticatioon, Authhorization, Audditing อีกทัง้ ยังสามารถใช้ ง บรหารจั ริ ดการ Cllients Environment ด้วย Group Policy main Controlleer (DC) = Dom ใช้เรียกเครือ่ ง Servver ทีส่ งให้ ั ่ ทาํ งานใน ง Roles ของ ข Active Diirectory Domaain Services (ADDS) Activve Directory Database = หลังจากติ จ ดตัง้ Roles ของ Activee Directory Doomain Servicees (ADDS) ลงงบนเครือ่ ง Winndows Serverr เรียบร้อยแล้ว ระบบจะสร้าง Dataabase ขึน้ มาเพื พือ่ เก็บ Objectt ไว้สาํ หรับเรียกใช้งาน เช่น UUsers, Compuuter Accountss, Printer, Shaared Folder, ข้อมูลเกีย่ วกับ Identities โดยทีอ่ ยูข่ อง AD database จะเก็บไวว้ท่ี Folder %SSystemroot%\ntds\ntds.dit
วางแแผน Pre Insstall Active Directory: D ก่ออนการติดตัง้ Active Direectory Serveer Role 1. Windowss 2008 R2 รองงรับ CPU แบบบ x64 และ Itaanium เท่านัน้ 2. เครือ่ ง Seerver ทีม่ ี OS อยูแ่ ล้วก่อนจะทําเป็ น Activee Directory Seerver ต้องแน่ใจว่ จ า SID ใหม่จจริง ๆ ไม่ใช่การ Clone มาใช้ช้งาน (เพือ่ ป้องกกัน SID ซํ้าซ้อนกั อ น) 3. วางแผนชืชื่อ (Namespacce & DNS) ใหห้เรียบร้อย (ชื่อ Server และ ชื่อ domain) 4. จะต้องมี DNS Server เพื เ อ่ รองรับการรทํางานของ ADDDS ซึง่ ตาม Best B Practice ควรใช้ DNS SServer ของ Microsoft M Windows 5. IP Addreess ของเครือ่ ง Server Domaain Controller ต้องเป็ น Statiic IP Address 6. Passwordd Restore Moode ระหว่างกาารติดตัง้ จะมีกาารให้ตงั ้ ค่า Passsword Restore Mode ควรบบันทึกจดไว้ดวยจะได้ ว้ ไม่ลาํ บาาก recovery ทีหลัง 7. Network Firewall การใใช้งาน Active Directory ระหหว่าง Clients / Servers จําเป็ปนต้อง Allow PPort ที่ Firewaall ตามข้อมูล Link L ด้านล่าง หหรือใช้ Keywoord “Active Dirrectory and AActive Directorry Domain Services Port RRequirements” ในการค้นหา http://technet.microsofft.com/en-us/liibrary/dd7727723(WS.10).asspx 8. Configuraation Time-Zoone ตัง้ ค่า OSS ทีต่ ดิ ตัง้ เสร็จแแล้วระหว่าง cllient / server การตั ก ง้ ค่า Timee Zone เป็ นเรืรือ่ งสําคัญมาก ๆ ครับ
โปรดดตรวจสอบ Version ล่าสุดขอองเอกสารที่ http://www.mvpsskill.com ก่อนนํ น าไปใช้ งานจริ งิ
Page 13 of 237 2
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Lab1: ติดตัง้ Active Directory Domain Service ซึง่ เป็ น Domain Controller ตัวแรกในระบบ สามารถดู VDO Step By Step ประกอบหนังสือเล่มนี้ได้ท่ี http://www.mvpskill.com/kb/%E0%B8%A7%E0%B8%B4%E0%B8%98%E0%B8%B5%E0%B8%95%E0%B8%B4%E0%B8%94% E0%B8%95%E0%B8%B1%E0%B9%89%E0%B8%87-active-directory-windows-2008r2.html เริม่ ต้นสร้าง Domain Controller ตัวแรกในระบบกันดูครับ Objective: เรียนรูท้ จ่ี ะติดตัง้ ADDS Roles (การสร้าง Domain Controller เครือ่ งแรกในระบบ) นัดหมายการทํา LAB ดังนี้คอื Server Name = dc01 Domain Name = demo.local IP Address = 192.168.1.10 Primary DNS = 192.168.1.10 ภาพรวมของขัน้ ตอนสร้าง Domain Controller ตัวแรกในระบบ Forest 1. Add Roles “Active Directory Domain Service” โดยเครือ่ งมือ Server Manager 2. ใช้คาํ สัง่ dcpromo.exe เพือ่ ติดตัง้ Active Directory ตาม Wizard Step By Step: ทําการสร้าง Domain Controller ตัวแรกขึน้ มาในระบบโดยใช้ช่อื dc01.demo.local Step: 1 ทีเ่ ครือ่ ง Server dc01 ตรวจเช็ค IP Address / Primary DNS ให้เรียบร้อย จากนัน้ เข้าไปที่ Server Manager แล้วทําการเลือก Add Roles
Step: 2 เลือก Next จากนัน้ ทําการเลือก Active Directory Domain Services
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 14 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Step: 3 กด Next ไปเรือ่ ย ๆ จนกว่าจะเสร็จ (ก่อนจะกด Next หากมีเวลาเหลือผมแนะนําให้ลองอ่าน Help ที่ Microsoft จัดทํามาครับ ผมลองอ่านแล้ว พบว่ามีวธิ ที าํ มากมายทีเ่ ป็ น KB บรรจุไว้ อ่านไม่ยากครับ)
Step: 4 หลังจากติดตัง้ AD DS Role เสร็จแล้วให้ใช้คาํ สัง่ Dcpromo.exe เพือ่ เข้าสู่ Wizard การเลือกติดตัง้ Active Directory ซึง่ จะใช้คาํ สัง่ Run > Dcpromo.exe หรือทําการเลือกคลิก๊ จาก Wizard ในหน้าจอ Server Roles ก็ได้
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 15 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Step: 5 กด Next โล้ด
Step: 6 กด Next โล้ด จนถึงหน้าจอให้เลือก ประเภทของ Domain / Forest ซึง่ ในทีน่ ้ีเป็ น Domain Controller ตัวแรกของระบบจึงต้อง เลือก Create a new domain in a new forest
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 16 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Step: 7 ทําการตัง้ ชื่อ Domain namespace ตามทีอ่ อกแบบไว้ ในทีน่ ้ีใช้ .local เนื่องจากจะได้ไม่ซ้าํ กับ domain ทีมอี ยุจ่ ริงในระบบ
Step: 8 ทําการเลือก Forest Functional Level ในทีน่ ้ีผมสมมุตวิ า่ เราทํา Domain Controller กับระบบทีม่ แี ต่ Windows Server 2008R2 จึงเลือกระดับ สูงสุด “Forest Functional Level = Windows 2008 R2”
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 17 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
อ่านเกีย่ วกับ Functional Level เพิม่ เติมได้ท่ี http://technet.microsoft.com/en-us/library/understanding-active-directory-functionallevels(WS.10).aspx Step: 9 ทําการเลือกติดตัง้ DNS Server โดยอัตโนมัตพิ ร้อมไปด้วยเลย
Step: 10 สังเกตุขอ้ ความทีใ่ ห้ดวู า่ ส่วนประกอบของ Database / Log / SYSVOL อยูต่ รงใหนบ้าง
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 18 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Step: 11 ตัง้ รหัสผ่านของการใช้งาน Active Directory Restore Mode
Step: 11 หลังจากนัน้ รอติดตัง้ เรียบร้อย ทําการ Reboot เครือ่ ง Server dc01 ให้เรียบร้อย
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 19 of 237
เอกสาารแจกฟรี ห้ามมคัดลอก หรือนํนาไปจําหน่ายเเพือ่ หวังผลทางงการค้า
Active Directory Winndows 2008RR2 Step by Steep
ติดตัง้ DDomainn Contrrller ตัววแรกในนระบบเสสร็จเรียบร้อยแแล้วครับ Cheecklist เพือ่ ตรวจสอบหลั ต งการติ ง ดตัง้ DDomain Conntroller Best Practice การตรวจสอบหลังจากติดตัง้ Do main Controlller เสร็จเรียบร้ร้อยแล้ว 1. ตรรวจสอบ Evennt Viewer ดู Error (ไม่ควรมี Error ระดับรุนนแรงหรือแจ้งเตืตือนจากระบบการใช้งานหลักั ) สามารถเปิดโดยใช้ ด คาํ สัง่ evenntvwr 2. ตรรวจสอบ AD DDatabase ว่าถูกสร้างมาเรียบร้ บ อย ? 3. ตรรวจสอบ SYSVVOL / Net loggon ต้องถูกสร้าง า Share มาโดยอัตโนมัตแิ ละเข้ ล าถึงได้ ? 4. ตรรวจสอบ DNS Record (ถ้าอยู อ เ่ ครือ่ งเดียวกักับ Domain Coontroller) ? 5. ทดดสอบเข้าถึงเคครือ่ งมือ Defauult ต่าง ๆ ให้ครบ ร เครือ่ งมือที่อยูใ่ น Administrative Toolss เช่น AD Useers & Computeer / AD Site & Servvice? 6. Reeview Defaultt Configuration เช่น Built-in Container. / Computers Container. C / Doomain Controollers Containeer.
โปรดดตรวจสอบ Version ล่าสุดขอองเอกสารที่ http://www.mvpsskill.com ก่อนนํ น าไปใช้ งานจริ งิ
Page 20 of 237 2
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Active Directory Schema เครือ่ งมือ Active Directory Schema โดยปกติแล้วถูกซ่อนไว้ จะไม่แสดงใน Administrative Tools หากจําเป็ นต้องใช้งานจะต้อง ใช้คาํ สังพิ ่ เศษทําการ Register .dll ขึน้ มาใช้งาน หากคุณเป็ นคนสร้าง Domain Controller ขึน้ มา ควรจะทําการ Register .dll ตัวนี้ไว้เพือ่ เตรียมพร้อมสําหรับการปรับแต่งขัน้ Advance (เตรียมไว้ก่อนดีกว่าทําฉุกเฉินทีหลัง) Active Directory Schema คือเครือ่ งมือในการบริหารจัดการ Object ขัน้ Advance ซึง่ สามารถเรียกดูเพือ่ ปรับแต่งรายละเอียด ต่าง ๆ ทีเ่ รียกว่า Class และ Attributes ได้ คําสังสํ ่ าหรับการเพิม่ เครือ่ งมือ Active Directory Schema พิมพ์คาํ สังด้ ่ านล่างลงบนช่อง RUN ครับ regsvr32 schmmgmt.dll
ข้อความแจ้งหลังจากทีพ่ มิ พ์คาํ สังถู ่ กต้อง
หลังจากที่ Register .dll ได้แล้วก็ไปที่ mmc.exe เพือ่ Add Snap-in เอาไว้ใช้งานครับ Start > Run > MMC > Add / Remove Snap-in
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 21 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
ลองดูตวั อย่างของการเข้าไปดู Active Directory Schema ตามรูปด้านล่างครับ
อ่านต่อเรือ่ ง Advance การปรับแต่ง Active Directory Schema ทีใ่ ช้บอ่ ยได้ท่ี http://support.microsoft.com/kb/300427/en-us http://support.microsoft.com/kb/250455 http://serverfault.com/questions/354275/default-full-name-format-in-active-directory โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 22 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
ส่วนประกอบทีส่ าํ คัญของ Domain Controller
หลังจากทีเ่ ราสร้าง Domain Controller ตัวแรกขึน้ มาในระบบเรียบร้อยแล้ว เครือ่ ง Windows Server ธรรมดาของเรา ก็จะถูกเรียกว่า Domain Controller หรือ Windows Server ที่ run ADDS Roles เรามาดูสว่ นประกอบทีส่ าํ คัญของ Domain Controller ในเครือ่ งกันครับ ว่ามีสว่ นประกอบอะไรบ้าง? และแต่ละส่วนประกอบนัน้ อยูต่ รงไหน ในเครือ่ ง? ต้องดูแลอย่างไร? และมีขอ้ ระวังอย่างไรบ้าง?
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 23 of 237
เอกสาารแจกฟรี ห้ามมคัดลอก หรือนํนาไปจําหน่ายเเพือ่ หวังผลทางงการค้า
Active Directory Winndows 2008RR2 Step by Steep
ส่วนนประกอบสําคัญของ Dom main Controlller แหล่งงอ้างอิง http://ttechnet.microosoft.com/en-uus/library/cc7772829(WS.10).aspx http://technet.micrrosoft.com/en-us/library/cc7754663(WS.1 0).aspx 1. SYSVOLL / NETLOGO ON เครือ่ งทีเ่ ป็ น Domain Controller C จะมี Default Share re แบบนี้ครับ ซึซง่ Sysvol และะ Netlogon เป็ป็ นพืน้ ที่ ทีม่ ไี ว้จ้ ดั เก็บ Script Logon สําาหรับเครือ่ งที่ Join Domain เข้ามาใช้งาน แและจัดเก็บ Grroup Policy ในนการใช้งาน Deeploy Group Policy P Object พิมพ์คาํ สัง่ net share ทีเ่ ครือ่ ง Domaain Controller แล้วสังเกตรายยการทีเ่ ปิ ด Share ดูครับ
ลองเปิ ดเขข้าไปดูเพือ่ สังเกตุ เ / ทําความรูจ้ กั กับ Defauult Configuration ของ ADDSS ดูครับ จดบันทึกไว้ดว้ ยตัวเองดูดูนะครับ ว่า SYYSVOL และ NNETLOGON จริ จ ง ๆ แล้วเป็น Share Foldeer ทีม่ าจาก Paath ไหนบนเครืรือ่ ง Server
2. DNS Serrver Active Diirectory จะทํางานได้ ง กต็ ่อเมือมี อ่ DNS สนับสสนุ นจากรูปให้เ้ ปิ ดดูและสังเกกตุ DNS Serveer ที่ Active Directory ทํากาาร ติดตัง้ ให้แแบบอัตโนมัตคิ รับ จะเห็นได้ว่วามีการระบุ Poort ทีจ่ าํ เป็ นใช้ง้ านสําหรับ Seervice ต่าง ๆ ขของ Active Directory ไว้ เรียบร้อย
โปรดดตรวจสอบ Version ล่าสุดขอองเอกสารที่ http://www.mvpsskill.com ก่อนนํ น าไปใช้ งานจริ งิ
Page 24 of 237 2
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
จากรูปด้านบนจะเห็นได้วา่ _gc เป็ นตัวแทนของ Service Global Catalog โดยทีท่ าํ งานอยู่ Port 3268 บนเครือ่ ง dc01.demo.local (ตัวอย่างการอ่านค่า ให้ลองคลิก๊ เข้าไปศึกษาทําความเข้าใจทีละอัน) 3. AD Database หรือ Active Directory Data store ไฟล์ต่าง ๆ และความสําคัญ EDB.LOG เป็ นไฟล์ Transaction เอาไว้เก็บ Primary Transaction ของ Log File EDB.CHK เป็ น Checkpoint ของตัวชีต้ าํ แหน่ง Transaction ล่าสุดของไฟล์ EDB.LOG Edbres0001.jrs / Edbres0002.jrs เป็ นไฟล์สาํ รองไว้กนั พืน้ ทีป่ ระมาณ 20 MB เพือ่ ไม่ให้เกิดเหตการณ์ Hard disk เต็มแล้ว ระบบล่ม
4. Flexible Single Master Operations (FSMO) คําสังในการใช้ ่ คน้ หา FSMO = netdom query FSMO
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 25 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
5. Global Catalog (CG) เป็ นตัวช่วยทีจ่ ดั เก็บข้อมูลบางส่วนของ Object ใน Active Directory เช่น Attribuet ทีส่ าํ คัญและถูกค้นหาบ่อย ๆ เพือ่ เพิม่ ความ รวดเร็วในการค้นหาข้อมูล ลดภาระในการค้นหาข้อมูลจากหลาย ๆ Domain Global Catalog มีความสําคัญมาก ๆ เลยครับ เพราะเวลาที่ Client จะ Log On เข้าสู่ Domain จะต้องมีการติดต่อกับ Global Catalog ให้ได้ เพือ่ ตรวจสอบเรื่อง Membership ของ User นัน้ ๆ วิธเี ปิดดู Global Catalog ว่าได้ตงั ้ ค่าไว้หรือเปล่า ให้เปิด Active Directory Sites and Service เข้าไปที่ Server Name ทีต่ อ้ งการตรวจเช็ค > NTDS Settings > Properties > ดูตามรูปด้านล่าง
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 26 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
ประเภทของ Active Directory Domain และการนําไปใช้งาน
คําอธิบายรูปแรกบนหน้าปกของวิชานี้ (แบบสัน้ ๆ ) ถึงการใช้งานตามสถานการณ์ของแต่ละประเภท • Additional Domain Controller เป็ นการเพิม่ Domain Controller เข้าไปใน Domain ทีม่ อี ยูแ่ ล้ว เพือ่ แบ่งเบาภาระการทํางานของ Domain Controller ทีม่ อี ยู่ ั่ (เรียก ก่อนหน้านี้และเพิม่ การรองรับการทํางานในกรณีท่ี Domain Controller ทีมอี ยูก่ ่อนหน้านี้อาจไม่สามารถทํางานได้ชวคราว การทํางานแบบนี้วา่ Multi – Master) คือสามารถทํางานทดแทนกันได้ จากรูปด้านบน dc01.demo.local เป็ น Domain Controller ตัวแรกทีเ่ ราได้สร้างขึน้ จาก LAB ทีผ่ า่ นมา และ dc02.demo.local เป็ น Additional Domain Controller ของ Domain demo.local • Child Domain เป็ นการสร้าง Domain ไว้ในกรณีท่ี เราต้องการบริหารจัดการแบบรวมศูนย์ แต่ ….. ต้องการแยกขอบเขตการบริหารจัดการกัน ยกตัวอย่างเช่น สํานักงานใหญ่อยูก่ รุงเทพ ต้องการตัง้ สํานักงานสาขาทีเ่ ชียงใหม่ จึงตัง้ ระบบ Child Domain ขึน้ มาโดยใช้ชอื cm.demo.local และมี Server 2 ตัวสําหรับ Domain cm.demo.local คือ dc03 และ dc04 การตัง้ ค่าแบบนี้จะทําให้การปรับแต่งได ๆ ที่ demo.local ไม่มผี ลกระทบมายัง cm.demo.local และเช่นกันครับ การปรับแต่งค่าได ๆ ที่ cm.demo.local ก็จะไม่มผี ลกระทบ
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 27 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
กับ demo.local แต่……ผูด้ แู ลระบบที่ demo.local ถือว่าเป็ น Administrator Account ในระดับ Enterprise Admin Groups จะ สามารถเข้ามาปรับแต่ง Child Domain และ Domain Tree ได้เช่นกัน
• Domain Tree เป็ นการสร้าง Domain ไว้ในกรณีท่ี เราต้องการบริหารจัดการแบบรวมศูนย์ แต่ใช้ชอื Domain ทีแ่ ตกต่างกัน เช่นตามรูปตัวอย่าง เรามี Root Domain ชื่อ demo.local แต่เราขยายกิจการใหม่ จําเป็ นต้องตัง้ สาขาใหม่และชื่อของกิจการไม่เหมือนเดิม จึงทําการ ตัง้ Domain สําหรับกิจการใหม่น้ีวา่ abc.com โดยทีเ่ ลือกตัง้ ค่าเป็ น Domain Tree วิธกี ารตัง้ ค่าแบบนี้จะมีประโยชน์คอื ช่วยให้การบริหารจัดการยังเป็ นแบบรวมศูนย์อยูเ่ หมือนเดิม โดยที่ ผูด้ แู ลระบบที่ demo.local ถือว่าเป็ น Administrator Account ในระดับ Enterprise Admin Groups จะสามารถเข้ามาปรับแต่ง Child Domain และ Domain Tree ได้เช่นกัน จากรูปด้านล่างแสดงถึง Enterprise Admins Group ทีส่ มาชิกใน Groups นี้สามารถเข้าไปบริหารจัดการได้ทุก Domain ใน Forest เดียวกัน
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 28 of 237
เอกสาารแจกฟรี ห้ามมคัดลอก หรือนํนาไปจําหน่ายเเพือ่ หวังผลทางงการค้า
Active Directory Winndows 2008RR2 Step by Steep
ภาพ พรวม ของ Acctive Directoory Data Stoore อ้างอิอิงจาก http://teechnet.microssoft.com/en-uss/library/cc7722829(WS.10).aspx
Direcctory Partition ส่วนประกอบ และข้อควรจําา: อ้างอิอิงจาก http://teechnet.microsooft.com/en-uss/library/cc9611591.aspx http:///www.tech-faaq.com/directoory-partitions.hhtml 1. Doomain Partitiion เป็ น Partition ทีใ่ ช้เ้ ก็บข้อมูลเกีย่ วกั ว บ users, coomputers, grooups, และมีอยูไ่ ด้ในหลาย Doomain ใน Fore rest เดียวกันมีการ replicate ไป ยัง Domain D Controoller ทุกตัวใน Domain เดียวกั ว น 2. Coonfiguration Partition มีแค่หนึ่งเดียวใน FForest เก็บข้อมูลเกีย่ วกับ โครงสร้างของ Foorest เช่น Domains, Sites ถูถกผูกไว้กบั D omain Controoller ตัวไหน หรื หอ ข้อมูลเช่น Domainn Controller ตัวั ไหนมีอยูใ่ น Forest F นัน้ ๆ บบ้าง มีการ repplicate ไปยัง Domain D Controoller ทุกตัวใน Forest เดียวกักัน 3. Scchema Partition มีแค่หนึ่งเดียวใน FForest เก็บข้อมูลเกีย่ วกับการรควบคุมเปลีย่ นนแปลงข้อมูลของ ข Schema มีการ replicatee ไปยัง Domain Controller ทุทก โปรดดตรวจสอบ Version ล่าสุดขอองเอกสารที่ http://www.mvpsskill.com ก่อนนํ น าไปใช้ งานจริ งิ
Page 29 of 237 2
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
ตัวใน Forest เดียวกัน 4. Application Partition เป็ น Partition พิเศษทีส่ ามารถบังคับให้ replicate ไปยัง Domain Controller ทีต่ อ้ งการได้ เพื่อให้ Application และ Service บางอย่างที่ ต้องากรอาศัยการ Replicate สามารถใช้จดั เก็บข้อมูลได้ โดยช่วยให้โปรแกรมบางอย่างทีต่ อ้ งการปรับแต่งเฉพาะ อาศัยความสามารถของ Active Directory ทํางานโดยได้ความสามารถเพิม่ เหมือนกับ Active Directory (redundancy, availability, fault tolerance)
การ Raise Domain & Forest Functional Level อ้างอิงจาก http://technet.microsoft.com/en-us/library/cc787290(v=ws.10).aspx Domain / Forest Functional Level คือการระบุความสามารถโดยรวมของ Active Directory ทุกตัว ใน Domain หรือใน Forest ว่าจะมา ความสามารถสุงสุดในแบบไหนบ้าง ตัวอย่างเช่น Domain Functional Level มีให้เลือกปรับแต่งได้ 6 ระดับดังต่อไปนี้ (ในแต่ละระดับก็มคี วามสามารถแตกต่างกัน) Domain functional level. 1. Windows 2000 mixed (the default in Windows Server 2003) 2. Windows 2000 native 3. Windows Server 2003 interim 4. Windows Server 2003 5. Windows Server 2008 6. Windows Server 2008 R2 ส่วน Forest Functional Level มีให้เลือกปรับแต่งได้ดงั ต่อไปนี้ 1. Windows 2000 (the default in Windows Server 2003 and Windows Server 2008) 2. Windows Server 2003 interim 3. Windows Server 2003 (the default in Windows Server 2008 R2) 4. Windows Server 2008 5. Windows Server 2008 R2 ส่วน Feature ในแต่ละ Level มีให้อ่านตาม Link นี้ครับ http://technet.microsoft.com/en-us/library/understanding-active-directory-functional-levels(v=ws.10).aspx การ Raise Domain Functional Level ทําการ Logon ด้วย Domain Administrator โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 30 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
เปิดเครือ่ งมือ Active Directory Domains and Trusts เลือก Domain เป้าหมายจากนัน้ ทําการ Raise Domain Functional Level ให้เป็ น Windows Server 2008 R2
การ Raise Forest Functional Level ทําการ Logon ด้วย Domain Administrator เปิดเครือ่ งมือ Active Directory Domains and Trusts
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 31 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Lab1.1 Advance: ติดตัง้ ADDS Role บน Server Core Objective: ใน LAB นี้เป็ นการเรียนรูข้ นั ้ Advance ซึง่ เป็ นการทดสอบเฉย ๆ นะครับ ทํา LAB นี้จบก็สามารถลบ Virtual Machine นี้ทง้ิ ไปได้เลย โดย ไม่ตอ้ งเกีย่ วกับ LAB ทีผ่ า่ นมา Windows Server Core เป็ นระบบปฏิบตั กิ ารรูปแบบใหม่ทม่ี มี ากับ Windows Server 2008 คุณสามารถเลือกติดตัง้ ระบบปฏิบตั กิ ารใน รูปแบบ Server Core เพือ่ ใช้ในองค์กรทีเ่ น้นความปลอดภัยสูงมาก เนื่องจาก Windows Server Core ไม่ตดิ ตัง้ ระบบ Component, Binary, Services ต่าง ๆ ทีไ่ ม่จาํ เป็ นใช้งาน คุณต้องเลือกติดตัง้ เองแบบ Manual ทัง้ หมด ทําให้ Windows Server Core มี Attack Surface ทีน่ ้อยมาก อีกทัง้ ไม่ม ี Graphic Mode ทีเ่ ป็ นภาระการประมวลผล ทําให้การภาระของเครือ่ งน้อยลง โดยเฉพาะการต้องอัพเดท Patch ต่าง ๆ ทีไ่ ม่เกีย่ วข้องกับการใช้งานจริง โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 32 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Windows Server 2008 R2 Server Core มีขอ้ จํากัดในการนําไปใช้งานคือไม่สามารถทํางานได้ทุก Roles เหมือน Windows ทีม่ ี GUI Mode นะครับ ผมได้ List รายการ Roles / Feature ที่ Server Core ทําการสนับสนุ นมาได้ดงั ต่อไปนี้ Roles ที่สามารถเรียกใช้งานได้ในระบบ Windows Server Core 1. Active Directory Certificate Services 2. Active Directory Domain Services 3. Active Directory Lightweight Directory Services (AD LDS) 4. BranchCache Hosted Cache 5. DNS Server 6. Dynamic Host Configuration Protocol (DHCP) Server 7. File Services 8. Hyper-V 9. Print and Media Services 10. Streaming Media Services 11. Web Server (IIS) (including a subset of ASP.NET) Feature ที่สามารถเรียกใช้ได้ในระบบ Windows Server Core 1. Failover Clustering 2. Multipath I/O 3. Network Load Balancing 4. Quality of Service (QoS) 5. Removable Storage Management 6. Simple Network Management Protocol (SNMP) 7. Subsystem for UNIX-based applications 8. Telnet client 9. Windows Bitlocker Drive Encryption 10. Windows Internet Name Service (WINS) 11. Windows-on-Windows 64-bit (WoW64) 12. Windows PowerShell 13. Windows Server Backup หมายเหตุ : อ้างอิงจาก http://technet.microsoft.com/en-us/library/cc753802(v=ws.10).aspx
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 33 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
ส่วน Windows Server 2012 ก็มรี องรับ Roles / Feature ต่าง ๆ ดังนี้ครับ http://technet.microsoft.com/en-us/library/jj574158.aspx สิ่ งที่ต้องเตรียมตัวสําหรับ LAB Advance ดังนี้ คือ • ติดตัง้ Windows Server Core ให้เรียบร้อย • Server Name = dc01 • Domain Name = demo.local Step By Step: ทําการสร้าง Domain Controller ตัวแรกขึน้ มาในระบบโดยใช้ช่อื dc01.demo.local โดย Windows Server Core Step: 1 ที่ Server Core ให้ใช้เครือ่ งมือในการตัง้ ค่าพืน้ ฐาน sconfig.cmd โดยสามารถพิมพ์คาํ สังนี ่ ้ได้ท่ี Command line ได้เลย
เครือ่ งมือ sconfig.cmd รวบรวมคําสังที ่ ส่ าํ คัญพืน้ ฐานในการปรับแต่งคอมพิวเตอร์เบือ้ งต้นมาไว้ให้เรียบร้อยแล้ว
ในทีน่ ่ีเราต้องการตัง้ ค่า Comuter Name ให้กดเลข 2 จากนัน้ เลือก Enter ให้ทาํ การตัง้ ค่า Computer Name ตามนัดหมาย ในทีน่ ้ีใช้วา่ core01 จากนัน้ ทําการ Restart Server ตามทีไ่ ด้รบั แจ้งเตือน เพือ่ ให้การ เปลีย่ นชื่อ Server มีผล
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 34 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
หลังจากทีเ่ ครือ่ ง Server reboot กลับมาเรียบร้อยแล้วให้ทาํ การตัง้ ค่า IP Address โดยเลือกตัวเลข 8 จากนัน้ กด Enter เลือก Network Interface ทีจ่ ะตัง้ ค่า แล้วเลือก Option 1: Set Network Adapter IP Address เลือก Static IP แล้ว ทําการตัง้ ค่า IP Address 192.168.1.10 และ DNS Server = 192.168.1.10 ด้วยเช่นกัน
หลังจากตัง้ ค่า IP Address เสร็จแล้วระบบจะจากนัน้ ตัง้ ค่า DNS Server โดยเลือกตัวเลข 2 แล้วใส่ IP Address 192.168.1.10 (ตัวเอง) เข้าไป
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 35 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
จากนัน้ ให้กลับสูเ่ มนูหลักโดยเลือกเลข 4 และทีเ่ มนูหลักให้ออกจาก Sconfig.cmd โดยเลือกเลข 13 ที่ Command line menu ให้ทาํ การติดตัง้ DNS Server roles โดยใช้คาํ สัง่ ocsetup DNS-Server-Core-Role
คําสัง่ DNS-Server-Core-Role เป็ น Case Sensitive นะครับ หมายเหตุ เราสามารถใช้คาํ สัง่ oclist ในการหาชื่อ Role ทีจ่ ะพิมพ์เพือ่ สังให้ ่ ตดิ ตัง้ ได้ดว้ ย ่ role ตัวอย่างเช่น oclist >oclist.txt จากนัน้ ไปตามเปิดไฟล์ oclist.txt ดูครับ จะเป็ น role ทีส่ ามารถติดตัง้ เลือกใช้งานได้ และพิมพ์คาํ สังของ ต่าง ๆ ตามนัน้ ได้เลย จากนัน้ ให้พมิ พ์คาํ สัง่ dcpromo เพือ่ ทําการสร้าง Domain Controller ขึน้ มาตามรูปแบบคําสังนี ่ ้ครับ รูปแบบคําสังหากต้ ่ องการใช้งาน Unattened file แทนทีพ่ มิ พ์คาํ สังยาว ่ ๆ ให้พมิ พ์ตามด้านล่างนี้แล้ว Save เป็ น .txt ไฟล์ [DCINSTALL] AutoConfigDNS=Yes DomainNetBiosName=demo NewDomainDNSName=demo.local ReplicaOrNewDomain=Domain NewDomain=Forest ForestLevel=4 DomainLevel=4 SafeModeAdminPassword=password@1 RebootOnSuccess=Yes
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 36 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
ตัวอย่างรูปแบบคําสัง่ dcpromo /unattend:c:\unattend.txt
สรุปสําหรับ บทเรียนที่ 1 Introducing Active Directory Domain Services (AD DS) ให้ประเมิน และทบทวน LAB ด้วยตัวเองว่าเข้าใจเรือ่ งต่าง ๆ เหล่านี้ให้ครบถ้วน 1. 2. 3. 4. 5.
รูจ้ กั ประโยชน์ของการใช้ ADDS สามารถสร้าง ADDS หรือ Domain Controller ตัวแรกในระบบได้ สามารถติดตัง้ และปรับแต่ง Server Core ด้วยคําสังพื ่ น้ ฐานได้ สามารถสร้าง Server Core ให้เป็ น Domain Controller ได้ รูจ้ กั ส่วนประกอบทีส่ าํ คัญของ Domain Controller
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 37 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Module 2: Administering Active Directory Securely and Efficiently เป้ าหมายการเรียนรู้สาํ หรับ Module นี้ 1. สามารถเข้าใจการใช้งาน Active Directory Administration Tools 2. รูจ้ กั การใช้งาน Least Privilege 3. รูจ้ กั การสร้างและค้นหา Object ใน Active Directory 4. สามารถใช้ PowerShell ขัน้ พืน้ ฐานสําหรับ Active Directory ได้ หลังจากทีเ่ รามี Domain Controller ตัวแรกในระบบแล้ว สิง่ ทีผ่ ดู้ แู ลระบบต้องรับมือต่อไปคือการบริหารจัดการเพือ่ ให้ User สามารถ เข้าใช้งานได้ครับ ใน Module นี้จงึ เป็ นการเรียนรูเ้ พือ่ ใช้งานเครือ่ งมือต่าง ๆ ที่ ผูด้ แู ลระบบจําเป็ นจะต้องหัดใช้ ทําความรูจ้ กั ไว้ เครือ่ งมือหลักสําหรับเอาไว้บริหารจัดการ Active Directory สําหรับผูด้ แู ลระบบมีดงั ต่อไปนี้
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 38 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
• Active Directory Users and Computers เป็ นเครือ่ งมือสําหรับผูด้ แู ลระบบ Active Directory ทีจ่ าํ เป็ นใช้บอ่ ยทีส่ ดุ เพือ่ ใช้จดั การ Function ต่าง ๆ ของทรัพยากรบน Domain เช่น User, Groups, Computers, Printers, และ Share Folder • Active Directory Sites and Services เป็ นเครือ่ งมือสําหรับบริหารจัดการ Replication, Network Topology, และบริการต่าง ๆ ทีเ่ ชื่อมต่อกันในระดับ Domain , Forest ซึง่ เราจะ เรียนรูว้ ธิ ใี ช้งานกันใน Module ทีเ่ หลือถัดไป • Active Directory Domains And Trusts ใช้ทาํ งานสําหรับปรับแต่งการเชื่อมต่อ Trust Relationship การจัดการความสัมพันธ์ระหว่างโดเมนทีอ่ ยูใ่ น Tree เดียวกัน ใช้ปรับแต่งค่า ระดับของ Domain / Forest Functional Level ซึง่ เราจะเรียนรูว้ ธิ ใี ช้งานกันใน Module ทีเ่ หลือถัดไป • Active Directory Schema มีไว้สาํ หรับการปรับแต่งขัน้ Advance เพือ่ ปรับค่า หรือตรวจสอบค่าของ Object ใน Schema สามารถปรับแต่ง Attributes และ Object class ได้จากเครือ่ งมือนี้ (ปกติทใ่ี ช้งานบ่อยสุดคือการปรับแต่งเรือ่ งการตัง้ ค่ช่อื ผูใ้ ช้งาน ให้เป็ น Format ทีเ่ ราต้องการ)
Lab2: Administering Active Directory by Using Administrative Tools ใน LAB นี้เป็ นการทําความเข้าใจเรือ่ งการใช้เครื่องมือพืน้ ฐานสําหรับสร้าง User / Groups / Computer Object ด้วยเครือ่ งมือ ต่าง ๆ ทีม่ มี ากับ Windows Server โดย Default • การสร้าง Administrative Console ขึน้ ใช้งานเอง • การใช้งาน User Account Control
หมายเหตุ: ก่อนจะทํา LAB ใน Module 2 ให้เกิดความเข้าใจมากขึน้ ผมได้สร้าง Script ในการ Add User จํานวนมากเข้าไปใน ระบบ ชื่อว่า module2-add-user.bat อยูใ่ นไฟล์แนบของเอกสาร pdf นี้ ขอให้ผทู้ เ่ี รียนรูน้ ําไฟล์ดงั กล่าวเข้าไปรันใน Server เพือ่ สร้าง User จํานวนมาก และเรียนรูใ้ นลําดับต่อไป “อย่าลืม Run “module2-add-user.bat” บนเครื่อง Server dc01.demo.local ก่อนนะครับ ” ยํา้ อีกครัง้ ว่า ไฟล์ module2-add-user.bat มีมากับหนังสือเล่มนี้อยูแ่ ล้วในไฟล์แนบ ให้ Copy ไปวางใน Server แล้ว Run ดูครับ
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 39 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
ทําการ Copy ไปวางไว้บน Server แล้วเข้า Command Line โดย Run > Cmd.exe แล้วค่อย Run Script นะครับ อย่า Run โดยการ Double Click (ผูเ้ ขียนต้องการให้เห็นว่า Script Run อะไรไปบ้างทีละช้า ๆ ครับ)
ระหว่าง RUN สังเกตดูตอ้ งไม่ม ี Error นะครับ ถ้า Error แสดงว่าชื่อ Domain ทีส่ ร้างไม่ตรงกับทีน่ ดั แนะไว้
หลังจากที่ Run Script เรียบร้อยแล้ว จะพบว่ามี User และ OU เพิม่ ขึน้ มาจํานวนมาก
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 40 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
เริ่ มต้นทํา LAB ดูครับ “การสร้าง Administrative Console ขึน้ ใช้งานเอง” โดยปกติแล้ว หากผูด้ แู ลระบบจะใช้งานเครือ่ งมือต่าง ๆ จะต้องเปิดเข้าไปโดยเลือกที่ Start > Administrative Tools จากนัน้ จะเห็นส่วนของผูด้ แู ลระบบทีม่ ใี ห้ใช้อยู่ (ตัวอย่างตามรูปด้านล่าง)
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 41 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
แต่ในสถานการณ์จริง ทีผ่ ดู้ แู ลระบบเป็ นประจําต้องใช้งานเครือ่ งมือต่าง ๆ และบ่อย ๆ ผูด้ แู ลระบบ สามารถสร้างเครือ่ งมือทีใ่ ช้เป็ นประจําส่วนตัวได้เอง เราเรียกการใช้งานแบบนี้วา่ Custom Administrative Console ครับ เราสามารถสร้าง Custom MMC เอาไว้ใช้งานของตัวเองได้ดว้ ย และการใช้งาน MMC ต่าง ๆ นัน้ เราสามารถใช้เครือ่ งมือทุกอันด้วย Alternate Credentials
การใช้งาน MMC MMC หรือ Microsoft Management Console เป็ นเครือ่ งมือหลักทีด่ งึ เอา Tools ต่าง ๆ ของ Microsoft ออกมาใช้งานในรูปแบบ Shotcut การเรียกใช้งาน MMC สามารถพิมพ์ได้จากคําสังที ่ ่ menu Run ได้เลยครับตามรูป
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 42 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
จากรูปด้านล่างจะเป็ นการสร้างเครือ่ งมือทีใ่ ช้บ่อยมาเป็ น Shotcut ส่วนตัวในรูปแบบของ mmc
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 43 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
จากรูปด้านล่าง ผมสร้าง Custom Administrative Console แล้วทําการ Save ไว้ท่ี Desktop โดยตัง้ ชื่อว่า Suttipan-AdministrativeConsole.msc
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 44 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
และ mmc นัน้ ยังสามารถจัดการควบคุมการเข้าถึงในกรณีทท่ี าํ เป็ น shotcut แจกจ่ายไปยังผูด้ แู ลระบบอื่น ๆ ได้ดว้ ย
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 45 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
รู้จกั เครื่องมือ Active Directory Users & Computers (ADUC) เบือ้ งต้น
เครือ่ งมือ Active Directory Users and Computers ต่อไปนี้จะขอเรียกว่า ADUC เป็ นเครือ่ งมือพืน้ ฐานทีจ่ าํ เป็ นจะต้องใช้งานบ่อยทีส่ ดุ ในการจัดการ Object ของ Active Directory และสามารถปรับแต่งให้แสดงผลข้อมูลอื่น ๆ ได้มากกว่า Default ดังนี้ 1. ที่ Menu View สามารเลือก Customize View ได้
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 46 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
2. ในส่วนของการแสดงผล เราสามารถเลือก Add / Remove Columns ได้ดว้ ย View > Add / Remove Columns
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 47 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
เครือ่ งมือ Active Director Users and Computers เป็ นเครือ่ งมือทีอ่ าํ นวยความสะดวกในการสร้าง Object ใน Active Directory ต่าง ๆ เหล่านี้ในรูป (แต่ไม่เหมาะกับในกรณีทต่ี อ้ งการสร้าง Object พร้อม ๆ กันจํานวนมาก)
ตัวอย่างการสร้าง Object ตามรูปด้านบนคือ Wizard ในการสร้าง User โดยใช้เครือ่ งมือ GUI Base Active Directory Administrative Center http://technet.microsoft.com/en-us/library/dd560651(v=ws.10).aspx
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 48 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
คําสังสํ ่ าหรับเรียกใช้งานผ่าน Command Line = dsac.exe เป็ นเครือ่ งมือทีม่ มี าใหม่พร้อมกับ Windows 2008 R2 ซึง่ สร้างมาจากพืน้ ฐานของคําสังจาก ่ PowerShell ซึง่ เป็ นอีกทางเลือกนึงในการ เลือกใช้ทาํ งานกับระบบ Active Directory การทํางานทีร่ องรับสําหรับเครื่องมือนี้คอื • เครือ่ งมือการสร้าง User ทีล่ ะเอียดกว่า ADUC • Template การ Query ข้อมูลทีใ่ ช้บอ่ ยดีกว่า ADUC
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 49 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
ตัวช่วยในการ Query ตามรูปด้านล่าง เหมาะกับการค้นหา Object ในรูปแบบ GUI
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 50 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
ทดลองใช้งาน Administrative Center ดังต่อไปนี้ ทําการสร้าง User และ Review Properties ทัง้ หมด จะเห็นได้วา่ เครือ่ งมือ Administrative Center มี Properties ทีส่ ามารถมองเห็นได้ จากหน้าจอเดียวได้สวยงามขึน้
การค้นหา Object ใน Active Directory สําหรับผูด้ แู ลระบบทีม่ จี าํ นวน Users / Computers มาก ๆ การค้นหา Object ใน Active Directory เป็ นเรือ่ งสําคัญ สิง่ ทีเ่ จอเป็ นประจําเช่น 1. พนักงานลาออก จําเป็ นต้อง Disable หรือ Deleted User Account นัน้ ๆ 2. ต้องการ Assign Network Map Drive ใหม่ 3. ต้องการย้าย OU หรือมีพนักงานย้ายฝา่ ย ย้ายแผนก 4. มีพนักงานเปลีย่ นชื่อ 5. ต้องการเปลีย่ นชัวโมงการทํ ่ างานของพนักงานนัน้ ๆ 6. ต้องการเปลีย่ น Group Member ของพนักงานนัน้ ๆ งานประจําเหล่านี้หากมี User จํานวนไม่มากอยูใ่ นระบบ Active Directory เราก็สามารถทําได้โดยใช้เครือ่ งมือ ADUC แต่จากประสพการณ์การดูแลระบบทีม่ จี าํ นวน User มากกว่า 20000 คนขึน้ ไป การใช้เครือ่ งมือแบบ GUI ทําให้การค้นหา Object ใน Active Directory เป็ นเรือ่ งล่าช้าอย่างยิง่ (ต้องรอจนกว่าเครือ่ งมือจะ Refresh ครบทุก Object)
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 51 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
ในเบือ้ งต้นเครือ่ งมือในการค้นหา Object สามารถเรียกใช้ได้จาก 1. Active Directory users and computers (ADUC) 2. Active Directory Administrative Center 3. ใช้คาํ สัง่ dsquery.exe ใน Command Line 4. ใช้เครือ่ งมือ Saved Query ในกรณีทม่ี กี ารค้นหา Object บ่อย ๆ Lab3: Find Objects in Active Directory เรียนรูก้ ารค้นหา Object ใน Active Directory ด้วยวิธกี ารต่าง ๆ การปรับแต่ง View ของ Object และการค้นหา Object ง่ายขึน้
การค้นหา Object ใน Active Directory ด้วย Find
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 52 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
การสร้าง Save Query ช่วยในการค้นหา Object ทีใช้คนหาบ่อย ๆ เช่น - ค้นหา User Locked - ค้นหา User ที่ Password Expired ในการสร้าง Save Query จําเป็ นจะต้องรูจ้ กั การ Query String ทีห่ าได้จาก Google ทัวไปครั ่ บ
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 53 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
การค้นหา Object โดยใช้คาํ สัง่ ds commandline คําสัง่ DS ต่าง ๆ ทีเ่ กีย่ วข้องเน้นช่วยเหลือในการทํางานได้รวดเร็วกว่า GUI (ในกรณีทม่ี ี Object มาก ๆ การใช้ GUI จะช้าและบางครัง้ เสียเวลารอ Load หน้าจอ refresh เป็ นอย่างมาก) จากประสบการณ์ของผูเ้ ขียนในการดูแล user กว่า 20000 คนใน Domain เดียวกัน การใช้ Command ต่าง ๆ เหล่านี้มปี ระโยชน์มาก ๆ เลยครับ
dsquery: Displays objects matching search criteria dsquery เป็ นคําสังที ่ ใ่ ช้คน้ หา Object ใน Active Directory ครับ อย่างทีเ่ กริน่ ไว้ คือถ้า Object เราเยอะจริง ๆ ถ้ามัวแต่ไปเปิ ดที่ AD Users and Computers จะต้องรอนานมากกว่าจะ Refresh User ทัง้ หมดมาให้ดไู ด้ ถ้าเราต้องการค้นหา User ให้ได้ตรงกับทีต่ อ้ งการ ก็ใช้ Dsquery สะดวกดีครับ (ดีกว่าไปไล่เปิดดูทลี ะ OU ในเครือ่ งมือ GUI Base) ตัวอย่างจากคําสังด้ ่ านล่างคือผมต้องการค้นหา User ชื่อ Suttipan เพือ่ นําไป Assign Drive Logon ผ่าน Network แต่ผมไม่ ทราบว่า user นี้อยูใ่ น OU ไหน จะให้เปิดดูทลี ะอันหรือใช้ Find ใน AD Users & Computers ก็จะเสียเวลาโหลดนานกว่า Command Line ง่าย ๆ ตัวอย่างด้านล่างนี้ครับ ใช้ Dsquery เพือ่ List รายชื่อ User ทัง้ หมดใน Active Directory คําสัง่ = dsquery user จะแสดงผลลัพท์ User ทัง้ หมดใน Database แต่มขี อ้ จํากัดคือจะแสดงผลแค่ 100 รายการเท่านัน้ หากมี User มากกว่านี้มนั จะไม่แสดงผล นะครับ ตัวอย่าง สําหรับการใช้งานโดยให้แสดงผลทัง้ หมดคือ Dsquery user –limit 20000 (คือให้ list User มาทัง้ หมดเลยมากสุดไม่เกิน 20000 Users) ส่วนใหญ่ผมจะให้ List แล้ว Export ออกมาเป็ น File เพือ่ นําไปใช้งานต่อนะครับจึงใช้รปู แบบเต็ม ๆ ประมาณนี้ Dsquery user –limit 20000 > user.txt & user.txt
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 54 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
ตัวอย่างคําสังนี ่ ้คอื ให้ list ออกมาเป็ นไฟล์ .txt แล้วลองเปิดขึน้ มาดูก่อนครับ
ตัวอย่างการใช้งานเพือ่ ค้นหา User dsquery user -name "*suttipan"
จะเห็นได้วา่ มันแสดงถึง User = Suttipan อยูภ่ ายใต้ OU = Management ครับ เพียงเท่านี้เราก็สามารถใช้ GUI ในการเข้าไป Assign Drive Logon ได้อย่างถูกต้องถึงตัว User แล้วครับ (ถ้า User เป็ นหลัก 20000 แบบผูเ้ ขียนเคยทํางานมา จะขอยืนยันอีกครัง้ ครับว่าใช้ dsquery รวดเร็วกว่าเป็ นอย่างมาก)
dsget: ใช้เพือ่ ดูขอ้ มูล Properties ของ Object dsget เป็ นการใช้คน้ หา ข้อมูลของ User นัน้ ๆ ครับ เช่น ผมต้องการรูว้ า่ User = Suttipan นัน้ มีทท่ี าํ งานระบุไว้ใน Active Directory ว่าที่ ไหน (Office) ผมก็สามารถใช้รปู แบบคําสังต่ ่ อไปนี้ได้เลยครับ dsget user cn=suttipan,ou=Management,dc=demo,dc=local –office
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 55 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
ตัวอย่าง ข้อมูลของ User ทีค่ น้ หาได้จาก dsget user /? ครับ
การใช้คาํ สังผสมระหว่ ่ าง Dsquery และ dsget เราสามารถเชื่อมต่อคําสังโดยใช้ ่ เครือ่ งหมายไปป์ได้ครับ | (เครือ่ งหมาย = | ) ตัวอย่างนี้เป็ นคําสังที ่ ใ่ ช้คน้ หา User ในระบบโดยทีร่ จู้ กั แต่ช่อื และเราขีเ้ กียจพิมพ์คาํ สัง่ ในรูปแบบ DN ยาว ๆ ก็ใช้คาํ สังนี ่ ้ครับ ตัวอย่าง ดูวา่ user = Engineer02 ถูก Disable ไว้หรือเปล่า รูปแบบคําสัง่ = dsget user –name engineer02 | dsget user -disabled
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 56 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
dsrm: Removes objects ตัวอย่างคําสัง่ ลองค้นหา Object ก่อน คําสังเพื ่ ่อค้นหา User ทีม่ ชี ่อื ขึน้ ต้นด้วย itsupport Dsquery user -name "*itsupport*"
ตัวอย่างคําสัง่ ทําการลบ Object โดยไม่ตอ้ งระบุประเภท (ไม่เหมือนการ Query) dsrm "CN=itsupport01,OU=IT,DC=demo,DC=local"
ค้นหา User ทีไ่ ม่ Active เพือ่ ทําการลบด้วยคําสัง่ คําสังนี ่ ้ผมใช้บอ่ ยในการค้นหา User ทีไ่ ม่ได้ใช้งานเพือ่ ทําการลบออกจากระบบครับ dsquery user -inactive 10 -limit 0 เลข 10 หมายถึงจํานวนอาทิตย์นะครับ การนําไปประยุกต์ใช้คน้ หา User และ Computer Object ทีไ่ ม่มกี ารใช้งานแล้วย้ายไปอยูใ่ น OU พิเศษเพื่อเตรียมลบออกจากระบบครับ ทํา Batch Script เพื่อใช้งานตรวจสอบ user ที่ไม่ค่อยได้ใช้งาน 12 อาทิ ตย์ for /f "Tokens=*" %%s in ('dsquery user -inactive 12 -limit 0') do ( DSMOVE %%s -newparent "OU=Quarantine,DC=demo,DC=local" ) ทํา Batch Script เพื่อใช้งานตรวจสอบ user ที่ไม่ค่อยได้ใช้งาน 12 อาทิ ตย์ for /f "Tokens=*" %%s in ('dsquery computer -inactive 12 -limit 0') do ( DSMOVE %%s -newparent "OU=Quarantine,DC=demo,DC=local" )
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 57 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
dsmove: Moves objects to another container within the domain คําสังนี ่ ้ใช้สาํ หรับ ย้าย Object ครับ ผมใช้ในกรณีทต่ี อ้ งย้ายพร้อม ๆ กันเยอะ ๆ ครับ ตัวอย่างการใช้งาน รูปแบบคําสัง่ dsmove UserDN -newparent TargetOUDN dsmove "CN=itsupport02,OU=IT,DC=demo,DC=local" -newparent "OU=Management,DC=demo,DC=local"
dsmod: Modifies objects คําสังนี ่ ้ใช้สาํ หรับ ปรับแต่งค่าง Properties ของ Object ครับ ผมใช้ในกรณีทต่ี อ้ งทํา Batch ปรับแต่งพร้อม ๆ กันเยอะ ๆ ครับ ตัวอย่างการใช้งาน dsquery user -name "*suttipan" | dsmod user -office "Bangkok"
Tip: การใช้ตวั แปร username สําหรับ DS commands ใช้คาํ ว่า $username$ แทนการเรียกใช้ %username%.
วิธกี าร สร้าง Saved Queries อ้างอิงจาก http://technet.microsoft.com/en-us/library/cc771131(WS.10).aspx ในการบริหารจัดการระบบ การค้นหา Object ทีม่ ปี ริมานมากในระบบเป็ นภาระอย่างหนึ่งของผูด้ แู ลระบบ ทัง้ นี้ได้รวบรวม Query ประจําที่ ใช้ในการบริหารจัดการ Object ดังนี้ เรียกการทํางานแบบนี้วา่ Save Queries นะครับ สถานการณ์จริงทีผ่ เู้ ขียนประสบมาแล้วจําเป็ นต้องใช้ Function Save Query บ่อย ๆ คือการทีร่ ะบบตัง้ ค่าให้พมิ พ์รหัสผ่านผิด เกิน 5 ครัง้ แล้ว User จะถูก Lock ไม่สามารถเข้าระบบได้ แต่ดนั เกิดเจอ Worm / Virus ระบาดในระบบ Network ทําให้สร้าง Authentication ผิด ๆ ส่งมาที่ Server จํานวนมาก เป็ นผลให้ User ทัง้ ระบบเกิดการเข้าใช้งานไม่ได้ การตัง้ ค่า Save Query ในการหา User Account ทีถ่ กู Lock ช่วยให้ทราบได้วา่ ระบบมีการระบาดของ Worm / Virus ชนิดนี้ หรือไม่ แลยังช่วยให้สามารถปลด Lock User ทีม่ ปี ญั หาได้อย่างรวดเร็ว โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 58 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Step 1 ทีเ่ ครือ่ งมือ AD Users and Computers ให้เลือกคลิกขวาตรง Saved Queries > New > Query
Step 2 ทําการตัง้ ชื่อพร้อมระบุขอ้ มูลเพิม่ เติมจากนัน้ เลือก Define Query
Step 3 เลือก Custom Search แล้วเลือก TAB Advanced จากนัน้ ทําการ Copy LDAP Query ทีไ่ ด้จดั หามาให้
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 59 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Step 4 ข้อมูลทีไ่ ด้จากการ Query เพียงแค่กด F5 หากต้องการ ทําการ Refresh ค่าผลลัพธ์ของการ Query
ลองทําต่อให้ครบทัง้ หมดด้านล่างนี้นะครับ ผมหาทีใ่ ช้บอ่ ย ๆ มาจาก Google อันทีจ่ าํ เป็ นใช้งานครับ ตัวอย่าง Query ที่ใช้บ่อยรวบรวมมาจาก Google ครับ Find Groups that contains the word admin (objectcategory=group)(samaccountname=*admin*) Find users who have admin in description field (objectcategory=person)(description=*admin*) Find all Universal Groups (groupType:1.2.840.113556.1.4.803:=8) Empty Groups with No Members (objectCategory=group)(!member=*) Finds all groups defined as a Global Group, a Domain Local Group, or a Universal Group โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 60 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
(groupType:1.2.840.113556.1.4.804:=14) Find all User with the name Bob (objectcategory=person)(samaccountname=*Bob*) Find user accounts with passwords set to never expire (objectCategory=person)(objectClass=user)(userAccountControl:1.2.840.113556.1.4.803:=65536) Find all users that never log in to domain (&(&(objectCategory=person)(objectClass=user))(|(lastLogon=0)(!(lastLogon=*)))) Find user accounts with no log on script (objectcategory=person)(!scriptPath=*) Find user accounts with no profile path (objectcategory=person)(!profilepath=*) Finds non disabled accounts that must change their password at next logon (objectCategory=person)(objectClass=user)(pwdLastSet=0)(!useraccountcontrol:1.2.840.113556.1.4.803:=2) Finds all disabled accounts in active directory (objectCategory=person)(objectClass=user)(!useraccountcontrol:1.2.840.113556.1.4.803:=2) Finds all locked out accounts (objectCategory=person)(objectClass=user)(useraccountcontrol:1.2.840.113556.1.4.803:=16) Finds Domain Local Groups (groupType:1.2.840.113556.1.4.803:=4) Finds all Users with Email Address set (objectcategory=person)(mail=*) Finds all Users with no Email Address (objectcategory=person)(!mail=*) โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 61 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Find all Users, Groups or Contacts where Company or Description is Contractors (|(objectcategory=user)(objectcategory=group)(objectcategory=contact))(|(description=North*)(company=Contractors*)) Find all Users with Mobile numbers 712 or 155 (objectcategory=user)(|(mobile=712*)(mobile=155*)) Find all Users with Dial-In permissions (objectCategory=user)(msNPAllowDialin=TRUE) Find All printers with Color printing capability Note: server name must be changed (&(&(&(uncName=*Servername*)(objectCategory=printQueue)(printColor=TRUE)))) Find Users Mailboxes Overriding Exchange Size Limit Policies (&(&(&objectCategory=user)(mDBUseDefaults=FALSE))) Find all Users that need to change password on next login. (&(objectCategory=user)(pwdLastSet=0)) Find all Users that are almost Locked-Out Notice the “>=” that means “Greater than or equal to”. (objectCategory=user)(badPwdCount>=2) Find all Computers that do not have a Description (objectCategory=computer)(!description=*) Find all users with Hidden Mailboxes (&(objectCategory=person)(objectClass=user)(msExchHideFromAddressLists=TRUE)) Find all Windows 2000 SP4 computers (&(&(&(objectCategory=Computer)(operatingSystem=Windows 2000 Professional)(operatingSystemServicePack=Service Pack 4)))) Find all Windows XP SP2 computers โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 62 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
(&(&(&(&(&(&(&(objectCategory=Computer)(operatingSystem=Windows XP Professional)(operatingSystemServicePack=Service Pack 2)))))))) Find all Windows XP SP3 computers (&(&(&(&(&(&(&(objectCategory=Computer)(operatingSystem=Windows XP Professional)(operatingSystemServicePack=Service Pack 3)))))))) Find all Vista SP1 computers (&(&(&(&(sAMAccountType=805306369)(objectCategory=computer)(operatingSystem=Windows Vista*)(operatingSystemServicePack=Service Pack 1))))) Find All Workstations (sAMAccountType=805306369) Find all 2003 Servers Non-DCs (&(&(&(samAccountType=805306369)(!(primaryGroupId=516)))(objectCategory=computer)(operatingSystem=Windows Server 2003*))) Find all 2003 Servers – DCs (&(&(&(samAccountType=805306369)(primaryGroupID=516)(objectCategory=computer)(operatingSystem=Windows Server 2003*)))) Find all Server 2008 (&(&(&(&(samAccountType=805306369)(!(primaryGroupId=516)))(objectCategory=computer)(operatingSystem=Windows Server 2008*))))
ใช้งาน คําสัง่ dsadd เพือ่ Create User ต่อไปนี้เป็ นการเรียนรูส้ ารพัดรูปแบบในการสร้าง Object ใน Active Diretory นะครับ ตัวอย่างต่าง ๆ เหล่านี้มไี ว้เผื่อนําไปประยุกต์ใช้กบั การสร้างระบบ Active Directory ทีต่ อ้ งการสร้าง Object จํานวน มาก ๆ พร้อมกันครับ การสร้าง User / Computer / Groups ด้วย GUI (เครือ่ งมือ Active Directory users and computers) การใช้ Command Line สร้างและจัดการ User ด้วย dsadd.exe
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 63 of 237
เอกสาารแจกฟรี ห้ามมคัดลอก หรือนํนาไปจําหน่ายเเพือ่ หวังผลทางงการค้า
Active Directory Winndows 2008RR2 Step by Steep
Dsaddd เป็ น comm mand-line ทีใ่ ช้ส้ ร้าง User โดยทีร่ ปู แบบคําสสังเป็ ่ นประมาณ ณนี้ dsaddd user "cn=suttipan,ou=Maanagement,dcc=demo,dc=loocal" -upn
[email protected] -fn sutti pan -ln passoorn -pwd passsword@1 -muustchpwd no -pwdneverexppires no -disaabled no ค่าทีใช้ ใ่ บอ่ ยของ DSSADD - upnn = เอาไว้ใส่คา่ UPN สําหรับ Logon Acouunt เช่น
[email protected] - fn = เอาไว้ใส่คา่ ชื่อ First Namee - ln = เอาไว้ใส่คา่ LLast Name - pwd = เอาไว้ตงั ้ คค่ารหัสผ่าน - muustchpwd = เออาไว้ตงั ้ ค่าสําหรรับบังคับให้ตอ้ งเปลีย่ นรหัสผ่านก่อนการ Loogin ครัง้ แรก - pwdneverexpiress = เอาไว้ตงั ้ ค่าสําหรับบังคับให้ บ รหัสผ่านหมมดอายุ - disabled = เอาไวว้ตงั ้ ค่าให้มผี ล Enable / Disaable Users นัน้ ๆ การสสร้าง User ด้วย Batch Files
Script สําหรับเพิ พิม่ OU / USEER ตัวอยย่างนี้ให้ดจู ากไไฟล์แนบใน หนนังสือเล่มนี้นะคครับ module22-add-user.baat หากตต้องการสร้าง UUser / OU จํานวนมากสามาารถใช้ Commaand ต่อไปนี้ Save ลง Noteppad แล้วตัง้ ชื่อนนามสกุลเป็ น .bat หรือ .cmd เพือ่ นํนาไปประยุกต์ใใช้งานได้ดว้ ยคครับ (ทําจาก Excel E แล้วแปลลงเป็ น Notepad ก็ได้ครับ ถ้ามีเจ้าหน้าทีฝ่ า่ ายทรัพยากรบุคคลเก่ ค ง ๆ Exccel ให้เค้าช่วยทําให้กสสบายเลยครั ็ บ)
dsaddd ou ou=IT,ddc=demo,dc=local dsaddd ou ou=Mannagement,dc==demo,dc=loccal dsaddd ou ou=Salee,dc=demo,dcc=local dsaddd user "cn=suttipan,ou=Maanagement,dcc=demo,dc=loocal" -upn
[email protected] -fn sutti pan -ln passoorn -pwd passsword@1 -muustchpwd no -pwdneverexppires no -disaabled no dsaddd user "cn=ittsupport01,ou=IT,dc=demo,dc=local" -uppn
[email protected] -fn itsupport001 -pwd passsword@1 musttchpwd no -ppwdneverexpires no -disabled no
โปรดดตรวจสอบ Version ล่าสุดขอองเอกสารที่ http://www.mvpsskill.com ก่อนนํ น าไปใช้ งานจริ งิ
Page 64 of 237 2
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
dsadd user "cn=itsupport02,ou=IT,dc=demo,dc=local" -upn
[email protected] -fn itsupport02 -pwd password@1 mustchpwd no -pwdneverexpires no -disabled no dsadd user "cn=itsupport03,ou=IT,dc=demo,dc=local" -upn
[email protected] -fn itsupport03 -pwd password@1 mustchpwd no -pwdneverexpires no -disabled no dsadd user "cn=itsupport04,ou=IT,dc=demo,dc=local" -upn
[email protected] -fn itsupport04 -pwd password@1 mustchpwd no -pwdneverexpires no -disabled no dsadd user "cn=itsupport05,ou=IT,dc=demo,dc=local" -upn
[email protected] -fn itsupport05 -pwd password@1 mustchpwd no -pwdneverexpires no -disabled no dsadd user "cn=sale01,ou=Sale,dc=demo,dc=local" -upn
[email protected] -fn sale01 -pwd password@1 -mustchpwd no pwdneverexpires no -disabled no dsadd user "cn=sale02,ou=Sale,dc=demo,dc=local" -upn
[email protected] -fn sale02 -pwd password@1 -mustchpwd no pwdneverexpires no -disabled no dsadd user "cn=sale03,ou=Sale,dc=demo,dc=local" -upn
[email protected] -fn sale03 -pwd password@1 -mustchpwd no pwdneverexpires no -disabled no dsadd user "cn=sale04,ou=Sale,dc=demo,dc=local" -upn
[email protected] -fn sale04 -pwd password@1 -mustchpwd no pwdneverexpires no -disabled no dsadd user "cn=sale05,ou=Sale,dc=demo,dc=local" -upn
[email protected] -fn sale05 -pwd password@1 -mustchpwd no pwdneverexpires no -disabled no
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
-
Page 65 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
การออกแบบและการสร้าง OU (Organizational Unit ) เบือ้ งต้น OU คือทีจ่ ดั เก็บ Active Directory Object
ซึง่ เป็ นการแบ่งแยก Object เชิง Logical เพือ่ ให้เหมาะกับการร่วมกลุม่ เพื่อบริหารจัดการ หลังจากสร้าง OU เสร็จแล้ว เราจะเอาสมาชิก เช่น Users / Groups / Computers / Printer เอาเข้าไปใส่ OU เพือ่ แบ่งแยกการจัดการเป็ นกลุม่ ๆ ดังนัน้ OU สําคัญมาก ทัง้ การ ออกแบบ เนื่องจากหลังจากทีจ่ ดั ทํา OU และรวมกลุม่ Resource เรียบร้อยแล้ว เราสามารถใช้งาน OU เพือ่ Delegation Task หรือ บังคับ ใช้ Group Policy ในแต่ละ OU ได้ ตัวอย่างการนํา OU ไปใช้งานบริหารจัดการ Resource เช่น • คุณสร้าง OU ชื่อ IT แล้ว Delegate ให้ User = IT manager 01 สามารถทําการสร้าง User หรือ Reset Password ให้กบั User ทัง้ หมดทีอ่ ยูภ่ ายใต้ OU นี้ • คุณสร้าง OU ชื่อ HR แล้วเอา Assigned Group Policy บังคับให้ทุก User ใน OU นี้ไม่สามารถเล่นเกมส์ ไพ่ได้ การออกแบบ OU ที่ใช้แบ่งแยก Resource บ่อย ๆ ที่ผมใช้คือ 1. แบ่งแยกตามทีอ่ ยู่ เช่น OU = Bangkok หรือ OU = Lampang เพือ่ แยก User ระหว่าง Site งาน 2. แบ่งแยกตาม Function งาน เช่น OU = IT หรือ OU = Engineer 3. หรือแบ่งแยกดิบ ๆ ตามลักษณะของ Resource เช่น OU = UsersOffice และ OU = Computer Clients โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 66 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า 4.
Active Directory Windows 2008R2 Step by Step
หรือสุดท้ายคือรูปแบบผสม เรียงจาก ทีอ่ ยู่ > Function งาน > ลักษณะของ OU เช่นรูปด้านล่าง
การสร้าง OU มีจดุ สังเกตคือ ตอนเริม่ เลือก Create New Organizational Unit นัน้ จะมี เครือ่ งหมาเช็คถูกตรงประโยค Protect Container from accidental deletion หมายความว่า หากสร้าง OU นี้ขน้ึ มาแล้ว การลบ OU นี้จะต้องลําบากมีขน้ึ ตอนเพิม่ ขึน้ มากกว่าเดิม (สมัยก่อน windows 2003 เรา สามารถคลิก๊ ขวาเลือก Deleted ได้เลย แต่ถา้ เป็ น Windows 2008 ช่วยป้องกันจุดนี้ให้ครับ)
หากเราต้องการทีจ่ ะลบ OU นัน้ ๆ จริง ๆ ก็จะต้องไปที่ Menu = View > Advance Features ครับ
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 67 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
จากนัน้ เราก็สามารถจะทําการเลือก Check Box ออกแล้วค่อยลบ OU นัน้ ทิง้ ไปได้ครับ
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 68 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
การสร้าง OU ทีละเยอะ ๆ ด้วย Command Line เราสามารถสร้าง OU ทีละเยอะ ๆ ด้วยคําสัง่ DSADD ครับ ตัวอย่างในการใช้งานคือเราต้องรูว้ า่ Domain ของเรานัน้ เขียนเป็ นภาษา DN ได้อย่างไร ในทีน่ ้ี Domain ของผมคือ Demo.local การเขียนเป็ นภาษา DN คือ Dc=demo,dc=local ่ วอย่างด้านล่างนี้ครับ จากนัน้ เราก็เตรียมสร้าง OU ด้วยรูปแบบคําสังตั จากตัวอย่างด้านล่างนี้ผมทําการสร้าง OU ชื่อ IT และ Management ขึน้ มาด้วย Command Line ดังนี้ dsadd ou ou=IT,dc=demo,dc=local dsadd ou ou=Management,dc=demo,dc=local เราสามารถใส่ Note หรือ Description ได้เพิม่ เติมด้วยนะครับ ใช้คาํ สังต่ ่ อท้ายดังนี้ dsadd ou ou=Sale,dc=demo,dc=local –desc “Sale Department” Lab4: จัดการ Active Directory ด้วย PowerShell PowerShell เป็ นเครือ่ งมือทีม่ มี าพร้อมกับ Windows 2008 R2 เรียบร้อยแล้ว โดยทีม่ คี วามแตกต่างในการเลือกใช้ (จากการเปิดใช้ดงั นี้) เรียกใช้ผดิ ที่ คําสังที ่ เ่ กีย่ วกับ Active Directory Module อาจไม่ทาํ งานนะครับ (ต้องสังเพิ ่ ม่ เติม) ่ (ตามรูปด้านล่าง) 1. เปิดใช้ PowerShell ทัวไป
2. เปิ ดใช้ PowerShell โดยมี Module Active Directory มาพร้อมกับ PowerShell (ตามรูปด้านล่าง)
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 69 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
สังเกตุดดู ี ๆ ก่อนนะครับ ในการใช้ PowerShell จัดการว่าเปิดมาจาก Mode ไหน (มันแตกต่างกันนะครับ)
หากเปิด PowerShell ธรรมดาขึน้ มา เราต้อง Import Module ทีเ่ กีย่ วกับ Active Directory เข้าไปก่อนด้วยคําสังนี ่ ้ครับ โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 70 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
คําสัง่ = Import-module ActiveDirectory
ในรูปด้านล่างนี้ผมได้เปิด PowerShell จาก Administrative Tools นะครับ
1. ในเบือ้ งต้นให้ทาํ ความเข้าใจเกีย่ วกับคําสังที ่ ม่ ใี ห้ใช้ของ PowerShell ทีเ่ กีย่ วข้องกับ Active Directory ก่อนนะครับ คําสัง่ = Get-Command -Module ActiveDirectory
PowerShell : ใช้งานเกีย่ วกับ Users Get-Help Get-ADUser –Full (พิมพ์คาํ สังนี ่ ้เพือ่ ดูตวั อย่างการใช้งาน) Get-ADUser (พิมพ์คาํ สังนี ่ ้เพื่อเข้าสูก่ ารค้นหา User ใน Active Directory) !? (พิมพ์คาํ สังนี ่ ้เพือ่ ลองดูตวั อย่างการใช้งานคําสัง)่ department -eq " IT Department " (พิมพ์คาํ สังนี ่ ้เพือ่ ค้นหา User ทีม่ ี Department = IT Department)
Get-ADUser -Filter 'department -eq " IT Department "’ Get-ADUser -Filter '(department -eq " IT Department ") -and (office -eq "BKK")' โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 71 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
ข้อควรระวังในการอ่านหนังสือช่วง PowerShell นี้ Error ทีผ่ มพบบ่อยคือการทําความเข้าใจเรือ่ งใส่ประโยคปิดด้วยเครือ่ งหมาย ‘ ตัวอย่างการพิมพ์ดา้ นล่างคือ Error พิมพ์คาํ สังไม่ ่ ครบครับ
หากจะพิมพ์ให้ครบต้องปิดด้วยเครือ่ งหมาย ‘ นะครับ ฉะนัน้ หาก Copy Command ไป RUN แล้วเจอ Error แบบนี้ให้ตรวจเช็คเครือ่ งหมายปิดประโยคให้ดกี ่อนนะครับ
อีกตัวอย่างนึงของการใช้ คําสัง่ Get-ADUser ทีใ่ ช้บอ่ ยคือการ List Properties ของ User คนนัน้ ๆ ออกมาตามคําสังด้ ่ านล่างนี้ครับ Get-ADUser suttipan -Properties * (พิมพ์คาํ สังนี ่ ้เพือ่ ให้ List Properties ของ User Suttipan)
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 72 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
อีกตัวอย่างของการ Search ค่าของ User บน Active Directory ทีใ่ ช้งานบ่อย ๆ Search-ADAccount -PasswordNeverExpires | FT Name, DistinguishedName
เราสามารถใช้คน้ หา Object ทีม่ ปี ญั หาบ่อย ๆ เช่น Search-ADAccount -PasswordNeverExpires | FT Name, DistinguishedName Search-ADAccount -AccountDisabled | FT Name, DistinguishedName Search-ADAccount -AccountExpiring | FT Name, DistinguishedName Search-ADAccount -LockedOut | FT Name, DistinguishedName Search-ADAccount -PasswordExpired | FT Name, DistinguishedName อีกตัวอย่างหนึ่งสําหรับการ List user บน Active Directory ด้วย PowerShell ครับ Get-ADuser –Filter * | FT Name, DistinguishedName, Enable โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 73 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
ติดตัง้ และใช้งาน PowerShell ISE Windows PowerShell 2.0 มีมาพร้อมกับ Windows7 และ Windows2008R2 ซึง่ มี Sub Feature พิเศษอีกอันนึงคือ PowerShell ISE หรือ PowerShell (Integrated Scripting Environment) ผมชอบใช้ ISE เพราะสามารถกด TAB ค้นหาคําสังได้ ่ ครับ วิ ธีติดตัง้ ผ่าน PowerShell Command ใช้คาํ สังต่ ่ อไปนี้ใน PowerShell ครับ 1. Import-Module ServerManager 2. Get-WindowsFeature –Name *PowerShell* 3. Add-WindowsFeature PowerShell-ISE
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 74 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
ติดตัง้ PowerShell-ISE ด้วย Command เสร็จแล้วครับ อีกวิธหี นึ่งคือ วิ ธีติดตัง้ ผ่าน GUI Server Manager เลือกที่ Server Manager > Features > Add Features > Windows PowerShell (Integrated Scripting Environment) ตามรูปด้านล่างนี้เลยครับ
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 75 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
วิ ธีเรียกใช้งาน PowerShell-ISE เรียกจาก Command Line โดยคําสัง่ Powershell_ise.exe
เรียกจาก PowerShell สัน้ ๆ โดยพิมพ์คาํ สัง่ ISE
PowerShell : การใช้งานเกีย่ วกับ Computers คําสังต่ ่ อไปนี้มไี ว้สาํ หรับค้นหาและ List Computer Object อันนี้ใช้บอ่ ยเพือ่ หาว่า Computer Object มีกเ่ี ครือ่ ง อยู่ OU ไหน และมี OS Version อะไรบ้าง (สะดวกดีครับเวลาเอาไว้ทาํ Report) รูปแบบคําสัง่ get-Adcomputer -Filter * -Properties * | FT Name, OperatingSystem, DistinguishedName
หรือจะเพิม่ รูปแบบคําสังสํ ่ าหรับตรวจเช็คเครือ่ งทีไ่ ม่คอ่ ยได้ใช้งาน (ดู Last Logon) เนื่องจากบ่อยครัง้ เราจะเจอ Object ทีค่ า้ งไว้ในระบบ ซึง่ ไม้ได้ถกู Cleanup โดยอัตโนมัติ หาก List ดูเอง จะได้จดั การระบบแบบ Pro-Active ดูก่อนครับ get-Adcomputer -Filter * -Properties * | FT Name, OperatingSystem, LastLogonDate, DistinguishedName
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 76 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
คําสัง่ PowerShell เพือ่ เปลีย่ น Password ของ Users โดยประยุกต์ใช้ให้เปลีย่ น Password จํานวนมาก Get-ADUser -Filter 'office –eq "BKK"' | FT name (พิมพ์คาํ สังนี ่ ้เพือ่ ให้ ค้นหา User ทีม่ ี Office อยูใ่ น BKK)
Get-Help Read-Host –Full (พิมพ์คาํ สังนี ่ ้เพื่อดูตวั อย่างการใช้งานคําสัง่ Read-Host)
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 77 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Get-Help Set-ADAccountPassword –Full (พิมพ์คาํ สังนี ่ ้เพื่อดูตวั อย่างการใช้งานคําสัง่ Set-ADAccountPassword) Get-ADUser -Filter 'office -eq"BKK"' | Set-ADAccountPassword -Reset –NewPassword (Read-Host -AsSecureString 'New password') password@1 (พิมพ์คาํ สังนี ่ ้เพื่อเปลีย่ น Password ของคนทีม่ ี Offfice อยู่ BKK ให้เป็ นรหัสผ่านใหม่ = password@1)
คําสัง่ PowerShell เพือ่ เปลีย่ น List User Account Get-Help Get-ADUser -Parameter Properties(พิมพ์คาํ สังนี ่ ้เพือ่ ดูตวั อย่างการใช้งานคําสัง่ –Parameter ของ Get-ADUser) Get-ADUser -Filter 'office –eq ”BKK"' –Properties Office,StreetAddress,City,State,Country,PostalCode | Format-Table SamAccountName,Office,StreetAddress,City,State,Country,PostalCode (พิมพ์คาํ สังนี ่ ้เพื่อให้ PowerShell ทําการ List รายชื่อของ พนักงานทีอ่ ยู่ Office BKK โดยเรียงข้อมูลทีต่ อ้ งการ)
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 78 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
4. คําสังเกี ่ ย่ วกับ Groups Get-Help Get-ADGroup –Full (พิมพ์คาํ สังนี ่ ้เพือ่ ดูตวั อย่างการใช้งานคําสัง)่ Get-ADGroup -Filter * Get-ADGroup -Identity Sales (พิมพ์คาํ สังนี ่ ้เพือ่ ดู Group G-Finance)
Get-Help Get-ADGroupMember –Full(พิมพ์คาํ สังนี ่ ้เพือ่ ดูตวั อย่างการใช้งานคําสัง)่ Get-Help Disable-ADAccount –Full(พิมพ์คาํ สังนี ่ ้เพือ่ ดูตวั อย่างการใช้งานคําสัง)่ Get-ADGroup -Identity G-Finance | Get-ADGroupMember | Disable-ADAccount –WhatIf
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 79 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
การ Disable User ใน Group / Enable User ใน Group ด้วย Powershell Get-ADGroup -Identity G-Finance | Get-ADGroupMember | Disable-ADAccount Get-ADGroup -Identity G-Finance | Get-ADGroupMember | Enable-ADAccount
ตัวอย่างการ Enable User ใน Group Finance
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 80 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
5. การใช้งาน Powershell กับ OU Get-Help Get-ADOrganizationalUnit –Full (พิมพ์คาํ สังนี ่ ้เพื่อดูตวั อย่างการใช้งานคําสัง)่ Get-ADOrganizationalUnit -Filter * -Properties ProtectedFromAccidentalDeletion (พิมพ์คาํ สังนี ่ ้เพือ่ ดูวา่ OU ไหนยังไม่ได้มกี าร ้ปองกันการถูกลบโดยไม่ตงั ้ ใจ)
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 81 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
6. ใช้ Powershell ค้นหาเครือ่ ง Computer ทีเ่ ป็ น Windows2008R2 Get-ADComputer -Filter 'OperatingSystem -like "Windows Server 2008 R2*"' –Properties OperatingSystem,OperatingSystemHotfix,OperatingSystemServicePack,OperatingSystemVersion
Get-Help ConvertTo-Html –Full(พิมพ์คาํ สังนี ่ ้เพือ่ ให้แปลงผลทีไ่ ด้เป็ น html) Get-Help Out-File –Full(พิมพ์คาํ สังนี ่ ้เพือ่ ดูตวั อย่างการใช้งานคําสัง)่ คําสังด้ ่ านล่างนี้ใช้เพือ่ สร้าง Report ออกมาเป็ น .html ครับ Get-ADComputer -Filter 'OperatingSystem -like "Windows Server 2008 R2*"' –Properties OperatingSystem,OperatingSystemHotfix,OperatingSystemServicePack,OperatingSystemVersion | ConvertTo-Html -Property Name,SID,OperatingSystem* | Out-File C:\OSList.htm
ลองเปิดไฟล์ทไ่ี ด้จาก C:\OSlist.htm ดูครับ ใช้คาํ สัง่ PowerShell สร้าง OU ใช้คาํ สังด้ ่ านล่างนี้ครับ (ในรูปตัวอย่างผมใช้งานจาก PowerShell ISE ทําการ RUN นะครับเพราะสามารถใช้ TAB ได้) new-adorganizationalunit Test1 new-adorganizationalunit Test2
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 82 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
ใช้คาํ สัง่ PowerShell สร้าง User New-ADUser -SamAccountName test02 -Name "test02" -UserPrincipalName
[email protected] -AccountPassword (ConvertTo-SecureString -AsPlainText "password@1" -Force) -Enabled $true -PasswordNeverExpires $true -Path "OU=Engineer,DC=demo,DC=local"
ผลลัพธ์ทไ่ี ด้จากการ RUN PowerShell เพือ่ สร้าง User = Test02 อยูใ่ น OU = Engineer ครับ ตามรูปด้านล่าง
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 83 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
การใช้งาน Delegation Control Wizard การเป็ นผูด้ แู ลระบบ Active Directory จําเป็ นจะต้องเข้าใจการใช้งาน Delegation ให้เป็ น เพราะมีประโยชน์มาก ๆ ในการบริหารจัดการ User / Computer ขนาดใหญ่ จะช่วยลดภาระการทํางานของผูด้ แู ลระบบไปได้อย่างมาก เครือ่ งมือ Delegation Control Wizard เป็ นเครือ่ งมือทีช่ ว่ ยมอบอํานาจในการจัดการ Object ใน Active Directory ให้กบั ผูท้ เ่ี กีย่ วข้อง ยกตัวอย่างเช่น เรามอบหมายสิทธิการ Reset Password / ปลด Lock สําหรับ User ทุกคนในองค์กรให้กบั ฝา่ ยงาน Service Desk แทนทีผ่ ดู้ แู ลระบบ Active Directory จะต้องมาทําการรับสายแจ้งปญั หาเพือ่ ปลด Lock หรือ Reset Password ให้กบั User ด้วยตัวเองทุกครัง้ เครือ่ งมือ Delegate Control Wizard สามารถเรียกใช้ได้โดยการ คลิก๊ ขวาที่ Object ระดับ Domain , OU ในเครือ่ งมือ Active Directory Users and Computers
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 84 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
การ Delegate Reset Password / Unlock User Account ในสถานการณ์ทต่ี อ้ งเป็ นผูด้ แู ลระบบ Active Directory ให้กบั องค์กร มักจะเจอปญั หาเกีย่ วกับ User บ่อย ๆ เช่น - User ถูก locked ไม่ให้เข้า Login เนื่องจากพิมพ์รหัสผ่านผิด - User ต้องการ Reset Password สถานการณ์ทเ่ี จอบ่อยๆ เช่นนี้ หากผูด้ แู ลระบบมัวเสียเวลามาเฝ้าระวัง หรือเป็ นผูจ้ ดั การเอง ก็จะทําให้เป็ นภาระในการดูแลระบบ เราจึง สามารถ Delegate ให้กบั ทีมงานทีอ่ ยูท่ าํ งาน 24x7 ทําหน้าทีน่ ้ีแทน หรือ Delegate ให้ทมี งานฝา่ ย HR เป็ นผูด้ ดู าํ เนินการแทน ตัวอย่างการ delegate ให้ User = itsupport01 สามารถทําการ Unlock User / Reset User’s Password ในระบบได้ เป้าหมายของการลองทํา LAB นี้เพือ่ สมมุตสถานการณ์วา่ User = itsupport01 เป็ น User ของ Service Desk ทีค่ อยรับ Call จาก User เพือ่ ทําการปลด Lock หรือ Reset Passowrd ให้กบั User ตลอด 24x7 อ้างอิงจาก http://support.microsoft.com/kb/294952 http://support.microsoft.com/default.aspx?scid=kb;EN-US;279723
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 85 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
การจัดการ Security Permission ของ Active Directory Object เบือ้ งหลังการทํางานของ Delegate Control Wizard คือการไปตัง้ ค่า Special Security Permission ครับ ซึง่ Object ใน Active Directory นัน้ สามารถตัง้ ค่า Permission ได้โดยต้องเข้าสู่ Mode Advance Feature ก่อนครับ ทีเ่ ครือ่ งมือ Active Directory Users and Computers ให้ไปทีเ่ มนู View แล้วเลือก Enable Advance Feature ขึน้ มาครับ
หลังจากนัน้ จะสามารถเข้าไปดู Permission ในแต่ละ Object ได้ครับ ยกตัวอย่างเช่น ผมต้องการดูวา่ มีใครได้สทิ ธิ ์อะไรบ้างบน Domain Demo.local ผมก็คลิก๊ ขวาที่ demo.local แล้วเลือก Properties
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 86 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
จากนัน้ ให้เลือก ดูท่ี TAB Security จะเห็นสิทธิต่าง ๆ ทีแ่ ต่ละ user สามารถกระทําได้ท่ี demo.local
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 87 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
โดยทีห่ ากกดเข้าไปที่ Advance อีกครัง้ จะเห็นสิทธิ ์พิเศษทําให้เข้าใจเรือ่ ง Delegation มากยิง่ ขึน้ ครับ
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 88 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Module 3: Managing Users and Service Accounts ติดตัง้ และใช้งาน RSAT Remote Server Administration Tools for Windows 7 เป็ นเครือ่ งมือช่วยติดต่อกับ Server โดยผ่านทาง Client หมายถึงผูด้ แู ลระบบ ทําการลงโปรแกรม RSAT นี้ไว้ทเ่ี ครือ่ ง Notebook , PC ส่วนตัว แล้วเปิ ดโปรแกรม RSAT เข้าไป Config เครือ่ ง Server ทําให้ลดภาระในการ Remote Desktop เข้าไปใช้บริหารจัดการเครือ่ ง Server คนทีเ่ ป็ น Admin ดูแล Active Directory สามารถติดตัง้ และใช้งานเครือ่ งมือนี้ได้ทนั ใจกว่า Remote ไปหน้าเครือ่ งครับ รวมถึงคนทีต่ อ้ งการตัง้ เครือ่ งให้เป็ น Server Core โดยติดตัง้ Server Core ทิง้ ไว้แล้วก็ปล่อยมันไว้จอมึด ๆ แบบนัน้ แหล่ะครับ เราจะปรับแต่งอะไรก็ใช้ RSAT ทําการ Connect เข้าไป Config เอาครับ เครือ่ งมือ RSAT สามารถ Download Remote Server Administration Tools for Windows 7 with Service Pack 1 (SP1) ได้ท่ี http://www.microsoft.com/download/en/details.aspx?id=7887 หรือ Copy ไปใช้งานจาก Folder ทีผ่ สู้ อนเตรียมให้ Step 1 ที่ เครือ่ ง Client ให้ทาํ การ Join Domain และติดตัง้ Windows6.1-KB958830-x64-RefreshPkg
Step 2 หลังจากติดตัง้ เรียบร้อยแล้วให้เข้าไปที่ Control Panel เพือ่ เลือก Turn Windows Feature On
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 89 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Step 3 ทําการเลือก Remote Server Administration Tools ทีต่ อ้ งการใช้งานสําหรับฝงั ่ Client
Step 4 สามารถเรียกใช้งานเครือ่ งมือทัวไปได้ ่ จาก Tools ทีเ่ ลือกขึน้ มา
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 90 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
การใช้งาน Server Core ผ่าน Remote ด้วย Sconfig.cmd อ้างอิงจาก http://technet.microsoft.com/en-us/library/ee441254(WS.10).aspx Step 1 ที่ เครือ่ ง Client ให้ตดิ ตัง้ Windows6.1-KB958830-x64-RefreshPkg
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 91 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Step 2 ทําการ Set IP Address โดยใช้ Option 8
Step 3 ทําการเลือก Enable Remote Management โดยเลือก Option 4 จากนัน้ ทําการ Allow การเข้าถึงให้ครบ
ระบบจะให้ทาํ การ Restart อีกครัง้ หลังจากนัน้ ทํา Server Core ให้ Join Domain โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 92 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Step 4 หลังจากทําการ Enable หมดแล้วทีฝ่ งั ่ client ทําการเพิม่ Server Manager เข้าไปใน Windows Feature
Remark: ให้ Connect เข้าระบบ Server Core ด้วย Hostname
การใช้งาน Active Directory Administrative Center ADAC เป็ นเครือ่ งมือใหม่สาํ หรับใช้การจัดการระบบ Active Directory ทีม่ มี าให้กบั ระบบปฏิบตั กิ าร Windows Server 2008 R2 ซึง่ อํานวยความสะดวกมาขึน้ ในการใช้งาน
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 93 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
ส่วนประกอบทีส่ าํ คัญและมีประโยชน์ของ ADAC คือ "Global Search เสิรช์ เอนจินของ Active Directory" ช่วยให้คน้ หา Object โดยมีตวั ช่วยทีท่ าํ ให้สะดวกขึน้ เป็ นอย่างมาก (มี Template ทีใ่ ช้ประจําให้เลือกใช้) Step 1 ทดลองค้นหา User ที่ Locked หรือ Disable
Lab5: Create and Administer User Accounts รวมสารพัดวิธกี ารสําหรับสร้าง User Account LAB นี้เป็ นการสร้าง User ด้วย GUI, Command Line, Powershell ซึง่ ได้เรียนรูไ้ ปแล้ว แต่มขี อ้ ควรจําของ Best Practice เรือ่ ง Life Cycle of a User Account ต้องจดเพิม่ - User ลาออก, Tempolary Users, Lab6: Configure User Object Attributes LAB นี้เป็ นการปรับแต่ง User Properties ด้วย GUI, Command Line, Powershell ซึง่ ได้เรียนรูไ้ ปแล้ว มีขอ้ ควรจําเพือ่ นําไปใช้งานจริงคือเรือ่ ง User Template
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 94 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Lab7: Automate User Account Creation การสร้าง User ด้วย Batch, PowerShell, LDIFDE, CSVDE มีขอ้ ควรจําในการเลือกเอาไปใช้งานทีต่ อ้ งจดคือ !
การใช้งาน CSVDE รูปแบบคําสังในการ ่ Export = csvde -f c:\dc01.csv Step 1 ใช่คาํ สัง่ Export ข้อมูลออกมาเก็บไว้ท่ี c:\dc01.csv
Step 2 เปิดดูขอ้ มูลด้วย Excel ทําการ Filter เฉพาะส่วน user
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 95 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Step 3 แหล่งข้อมูลของ TAB ทีใ่ ช้ประจํา http://www.computerperformance.co.uk/Logon/Logon_CSVDE_Bulk.htm First Name = givenName Last Name = sn Office = physicalDeliveryOfficeName Destination OU = destinationOU Common Name = CN User Logon Name = userPrincipalName User Must Change Password at next logon = mustChangPassword Account is Disabled = accountDisabled Profile Path = profilePath Login Script = scriptPath Hone Foler = homeFolder Step 4 การ Import เข้าใช้คาํ สังต่ ่ อไปนี้ Csvde -i -f c:\import.csv
LDIFDE = LDAP Data Interchange Format (LDIF) คําสังสํ ่ าหรับ Export = ldifde -f c:\export.ldf คําสังสํ ่ าหรับ Import = ldifde -i -f c:\import.ldf Lab7-4: Create and Administer Managed Service Accounts อ้างอิงจาก http://technet.microsoft.com/en-us/library/ff641729(v=ws.10).aspx New-ADServiceAccount –Name App1_SVR1 โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 96 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Add-ADComputerServiceAccount -identity core01 -ServiceAccount App1_SVR1 Get-ADServiceAccount -Filter 'Name -like "*"' | FT Name,HostComputers –A
ทีเ่ ครือ่ งปลายทาง Core01 ให้ทาํ การ Add ด้วย AD-Powershell Module Install-ADServiceAccount -Identity App1_SVR1
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 97 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Module 4: Managing Groups หัวข้อทีจ่ ะเรียนรูใ้ น Module นี้ • Group and AGUDLP • Starter Policies Group Policy Preferences • Fine Grained Password Objects
ทําความเข้าใจเรือ่ ง Group Membership OU = เอาไว้แบ่งแยกการจัดการ และใช้งาน Group Policy Group = เอาไว้จดั การเรือ่ งการเข้าถึงทรัพยากร การทํางานของ Groups และการเลือกใช้ A domain local group is a security or distribution group that can contain universal groups, global groups, other domain local groups from its own domain, and accounts from any domain in the forest. You can give domain local security groups rights and permissions on resources that reside only in the same domain where the domain local group is located. A global group is a group that can be used in its own domain, in member servers and in workstations of the domain, and in trusting domains. In all those locations, you can give a global group rights and permissions and the global group can become a member of local groups. However, a global group can contain user accounts that are only from its own domain. A universal group is a security or distribution group that contains users, groups, and computers from any domain in its forest as members. You can give universal security groups rights and permissions on resources in any domain in the forest. Universal groups are not supported. ทําความเข้าใจประเภทของ Group และการนําไปใช้งาน
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 98 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 99 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
ประเภทของ Group (มี 2 ประเภท) 1. Distribution Group เป็ น Group ทีเ่ อาไว้สาํ หรับรวมรายชื่อสมาชิก เพือ่ ส่งเมล์เป็ นกลุม่ ไม่สามารถ Assign Permission / Right ได้ 2. Security Group เป็ น Group ทีเ่ อาไว้รวมสมาชิกเป็ นกลุม่ เพือ่ ทีน่ ําไปจัดการด้าน Right / Permission อีกทัง้ ยังสามารถนําไปใช้สาํ หรับส่งเมล์เป็ นกลุม่ ได้ แบบ Distribution Group ได้ดว้ ย
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 100 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Scope ของ Group (มี 3 Scope) นอกจากมีประเภทของ Group แล้ว ยังมีขอบเขตของแต่ละ Group เพือ่ ให้เลือกนําไปใช้งานได้ดงั นี้ TIP: Group Nesting = เอา Group ไปเป็ น Member ของ Group 1. Domain Local Group สมาชิก = มาจากโดเมนไหนก็ได้ใน Forest เดียวกัน สมาชิก = User, Global Group, (Universal Group - ขึน้ อยูก่ บั Domain Functional Level ด้วย) 2. Global Group สมาชิก = มาจากโดเมนเดียวกันใน Forest เดียวกัน สมาชิก = User, Global Group, Universal Group (ต้องมาจากโดเมนเดียวกันใน Group ทีส่ ร้าง) 3. Universal Group สมาชิก = มาจากโดเมนไหนก็ได้ใน Forest เดียวกัน สมาชิก = User, Global Group, Universal Group
Concept การนํา AGUDLP ไปใช้งาน สําหรับการใช้งานเพือ่ Assign Permission ข้าม Forest ทีม่ ี Trust กัน โดยทัวไปใช้ ่ Concept ตามชื่อย่อด้านล่างนี้ครับ Account Global Groups โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 101 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Universal Groups ---------------------------------------------------------Domain Local Groups Permission
Lab8: Administer Groups Shadow Group = Group that all user in OU as members การสร้าง Groups สามารถใช้ User Template ในการจัดการได้ดว้ ย LAB นี้เป็ นการทําความเข้าใจการนํา Shadow Group Concept ไปใช้งาน 1. สร้าง OU ชื่อ IT 2. สร้าง User ใน OU ชื่อ IT หลาย ๆ คนเพือ่ ทดสอบ (ในทีน่ ้ีใช้ it01, it02, it03, it04 ตามรูป) 3. สร้าง Global Group ชื่อ ITs โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 102 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
4. จากนัน้ จะเริม่ ใช้คาํ สังเพื ่ อ่ ให้ทุก Users ใน OU = IT ทําการเพิม่ อัตโนมัตไิ ปอยูใ่ น Group Its 5. ใช้คาํ สังเพื ่ อ่ เช็คว่าไม่มสี ามาชิกอยูก่ ่อนหน้านี้ dsquery group –name ITs 6. ใช้คาํ สังเช็ ่ คว่าใน Group มีใครเป็ น Member บ้าง dsquery group -name ITs | dsget group –members and hit Enter
C:\>dsquery group -name ITs จะได้ผลลัพธ์แบบนี้ "CN=ITs,OU=IT,DC=demo,DC=local" C:\>dsquery ou -name IT จะได้ผลลัพธ์แบบนี้ "OU=IT,DC=demo,DC=local" C:\>dsquery group -name ITs | dsget group -members C:\>dsquery user ou=IT,dc=demo,DC=local | dsmod group "CN=ITs,OU=IT,DC=demo,DC=local" -chmbr จะได้ผลลัพธ์แบบนี้ dsmod succeeded:CN=ITs,OU=IT,DC=demo,DC=local คําสังที ่ ไ่ ด้ใช้งานไปเอาไว้สาํ หรับสร้าง Schedule Task เพือ่ ให้ใช้งานได้ตลอดเวลา
บริหารจัดการ Group ด้วย Role Base โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 103 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Audit_Role Read_ACL
การค้นหา Group Members ใน Active Directory ผูด้ แู ลระบบ Active Directory จะเจอปญั หานี้บอ่ ยครับ ว่าในแต่ละ Groups ทีเ่ ราสร้างขึน้ มา มีสามาชิก Members เป็ นใครบ้าง ยังถูกต้องอยูเ่ ป็ นปจั จุบนั หรือเปล่า จึงเป็ นเรือ่ งทีต่ อ้ งเรียนรูห้ ลากหลายวิธกี ารสร้าง Report ออกมาครับ การ Export Group member ของ Active Directory มาเป็ นรายงาน ทีผ่ มใช้เป็ นประจํามีดงั นี้ 1. ใช้เครือ่ งมือ Dumpsec.exe Dompsec.exe เป็ นเครือ่ งมือ Free Download ครับ สามารถเปิ ดใช้งานได้เลย ง่ายและสะดวกในการ Export Data ต่าง ๆ ในระบบ
วิธใี ช้กเ็ ปิดขึน้ มาแล้วเลือก Dump user as column
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 104 of 237
เอกสาารแจกฟรี ห้ามมคัดลอก หรือนํนาไปจําหน่ายเเพือ่ หวังผลทางงการค้า
Active Directory Winndows 2008RR2 Step by Steep
จากนนัน้ เลือก Focus ในข้อมูลทีต่ องการ อ้ Export ออกมาได้เลยยครับ Save เป็ป็ นไฟล์ .csv แลล้วเอาไปใช้งานนต่อได้หลากหลายครับ
โปรดดตรวจสอบ Version ล่าสุดขอองเอกสารที่ http://www.mvpsskill.com ก่อนนํ น าไปใช้ งานจริ งิ
Page 105 of 237
เอกสาารแจกฟรี ห้ามมคัดลอก หรือนํนาไปจําหน่ายเเพือ่ หวังผลทางงการค้า
Active Directory Winndows 2008RR2 Step by Steep
2. ใช้ช้ DSQUERY ส่วนใใหญ่ผมจะใช้ในนกรณีทส่ี นใจ Group นัน้ เป็นพิ น เศษ แล้วทําาเป็ น Batch Run ไว้ครับ เช่น ผมต้องการตรรวจสอบเป็ นปรระจําว่า Group = G-Financee มีสมาชิกเป็ นใครบ้ ใ าง ก็ใช้คาสั าํ งดั ่ งนี้ครับ dsquuery group –nname G-Finannce | dsget grooup –memberrs
จากนนัน้ ก็ทาํ เป็ น Baatch ไป RUN ให้ output ออกมาเป็ น Textt Files ก็ได้ครับั 3. ใช้ช้ Dos กาก ๆ คําสัง่ net group “ชืชื่อ Group” ตัวอยย่าง net groupp G-engineer ก็จะ List mem mber ออกมาครรับ
4. ใช้ช้ PowerShell
โปรดดตรวจสอบ Version ล่าสุดขอองเอกสารที่ http://www.mvpsskill.com ก่อนนํ น าไปใช้ งานจริ งิ
Page 106 of 237
เอกสาารแจกฟรี ห้ามมคัดลอก หรือนํนาไปจําหน่ายเเพือ่ หวังผลทางงการค้า
Active Directory Winndows 2008RR2 Step by Steep
คําสังนี ง่ ้เอาออกมาเฉฉพาะ User / Group G นะครับ get-aaduser –filter * –Propertiess * | FT name,, memberof
5.ใช้้คาํ สัง่ csvde รูปแบบบคําสัง่ CSVDE -f aduserss.csv -r objecctClass=user หลังจากได้ จ ไฟล์ .cssv มาแล้วเปิ ดด้ดวย Excel แล้ว้ สนใจเฉพาะะ Filed “membberof”
โปรดดตรวจสอบ Version ล่าสุดขอองเอกสารที่ http://www.mvpsskill.com ก่อนนํ น าไปใช้ งานจริ งิ
Page 107 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Lab9: Best Practices for Group Management ACL_Sales_Folder_Read เป็ น Practice ในการ Assign Permission
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 108 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Module 5: Managing Computer Accounts ใน Module นี้เป็ นเรือ่ งการ Join Domain และการบริหารจัดการ Computer Account ซึง่ ง่ายทีส่ ดุ แล้วครับ ☺ หมายเหตุ Port ทีส่ าํ คัญสําหรับใช้งาน Active Directory LDAP TCP-in - 389 LDAP UDP in - 389 LDAP for Global Catalog TCP in - 3268 NetBIOS name Resolution UDP in - 138 SAM/LSA TCP in - 445 SAM/LSA UDP in - 445 Secure LDAP TCP in - 636 Secure LDAP for Global Catalog TCP in - 3269 W32Time NTP UDP in - 123 RPC - RPC Dynamic RPC Endpoint Mapper DNS - TCP and UDP 53 Kerberos V5 UDP in - 88 Netbios Datagram UDP in – 137 Lab10: Create Computers and Join the Domain Remote Join Domain (ปิด Firewall ให้หมดด้วยครับ) รูปแบบคําสังสํ ่ าหรับ Remote Join Domain netdom join W7-01 /domain:demo.local /UserO:Administrator /PasswordO:* /UserD:demo\Administrator /PasswordD:* /REBoot:5 เงือ่ นไขในการใช้ Remote Join Domain ด้วย Netdom Command สําหรับ Windows 7 1. เปิด Port 135, 139 และ Function Network Discovery (NB-Name-In) 2. ทีเ่ ครือ่ ง Windows 7 ต้อง Enable User Administrator 3. เครือ่ ง Domain Server ต้องสามารถ MAP C$ ของเครือ่ ง Windows 7 ผ่านทาง Network ได้
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 109 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
การ Prestage Computer Acccount การ Remote Control Computer Account การทํา Offline Domain Join ก่อนทําขัน้ ตอนนี้จะแวะมาเรียนรูเ้ รือ่ ง Sysprep โปรดจดไว้เพือ่ การนําไปใช้งาน
การใช้งาน Offline Domain Join เพือ่ = คําสังสํ ่ าหรับการทํา Offline Join Domain (ทําทีเ่ ครือ่ ง Domain Controller) djoin /provision /domain demo.local /machine W7-03 /savefile C:\W7-03.txt
ทีเ่ ครือ่ ง W7-03 ให้สร้าง Folder c:\DJOIN\ ทําการ Copy W7-03.txt มาไว้ท่ี Folder นี้ จากนัน้ ใช้คาํ สัง่ djoin /requestodj /loadfile C:\DJOIN\W7-03.txt /windowspath %SystemRoot% /localos
ทําการ Restart เครือ่ ง หรือปิ ดเครื่องเพื่อรอใช้งาน สังเกตุ Computer Object ที่ Domain Controller
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 110 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Lab11: Administer Computer Objects and Accounts โดยปกติ User ทัวไปจะสามารถ ่ Join Domain ได้ไม่เกิน 10 เครือ่ ง เครือ่ งมือสําหรับเข้าถึง = ADSIEDIT การตัง้ ค่าสําหรับ Join Domain ms-DSMachineAccountQuota = xx
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 111 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 112 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Module 6: Implementing a Group Policy Infrastructure หมายเหตุ: Module นี้ตอ้ งมี Client สัก 2 เครือ่ งเพือ่ ใช้ทดสอบนะครับ
Group Policy คืออะไร? Group Policy = Set of rules that you can apply throughout the enterprise. (จากหนังสือ Group Policy Pocket Administrator) Group Policy Object หรือ GPO คือคุณลักษณะ (feature) ทีแ่ ถมมาฟรีกบั ระบบปฏิบตั กิ ารของ Microsoft โดยมีจุดเด่นคือช่วย ให้ผดู้ แู ลระบบสามารถบริหารจัดการปรับแต่ง ควบคุมการทํางานของเครือ่ งคอมพิวเตอร์และผูใ้ ช้ (User) ่ ด-ปิดการทํางานในส่วนทีเ่ ราต้องการได้ ช่วยให้กาํ หนดค่าพืน้ ฐานต่าง ๆ เช่นค่าความปลอดภัย ค่ารีจสิ ทรี ค่า Services หรือสังเปิ จากศูนย์กลาง (Centralized Management)
ประโยชน์ของ Group Policy ตัวอย่างข้อดีของการใช้งาน Group Policy Object (ต่อไปนี้ผเู้ ขียนจะใช้ช่อื เรียกสัน้ ๆ ว่า GPO) เช่น นายหมํ่าเป็ นผูด้ แู ลระบบ ในบริษทั ทีม่ คี อมพิวเตอร์ใช้งานอยู่ 1500 เครือ่ ง ทัง้ นี้นายหมํ่าต้องการให้พนักงานทุกคนไม่สามารถใช้งานโปรแกรมทีเ่ กีย่ วข้อง กับ Game ได้ นายหมํ่าจึงเดินไปที่ Server แล้วเปิด Group Policy Management Console (เครือ่ งมือในการใช้บริหารจัดการ GPO เรียกสัน้ ๆ ว่า GPMC) แล้วทําการสังคํ ่ าสังบางอย่ ่ างลงไปที่ GPO เพียงเท่านี้ พนักงานทีใ่ ช้งานคอมพิวเตอร์ 1500 เครือ่ ง จะไม่สามารถเปิ ดโปรแกรมทีเ่ กีย่ วข้องกับ Game ได้ จากตัวอย่างด้านบนตามสถานการณ์สมมุตขิ องนายหมํ่า จะเห็นได้วา่ GPO มีขอ้ ดีทค่ี อื สามารถช่วยให้นายหมํ่าทํางานครัง้ เดียว แล้วมีผลต่อคอมพิวเตอร์ทุกเครือ่ งทีน่ ายหมํ่าต้องการบังคับใช้ GPO จึงช่วยลดค่าใช้จา่ ยในการ Support User ช่วยควบคุมการ ใช้งาน Desktop Environment คือ อนุญาตให้ใช้งาน หรือไม่อนุญาตให้ใช้งาน ลดค่าใช้จา่ ยและอํานวยความสะดวกให้กบั ผูด้ แู ล ระบบเป็ นอย่างดีเลยครับ • Apply security settings • Manage desktop and application settings • Deploy software • Manage folder redirection
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 113 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
• Configure network settings
เข้าใจเรือ่ ง Local Group Policy Group Policy มีมาพร้อมกับระบบปฏิบตั กิ ารตัง้ แต่ Windows 2000 เป็ นต้นไป โดยทีห่ ากเรียกใช้งานจาก Local Environment บนเครือ่ งคอมพิวเตอร์นนั ้ ๆ เราจะเรียกมันว่า Local Group Policy Local Group Policy ถูกจัดเก็บไว้ท่ี %Systemroot%\System32\GroupPolicy\ ทัง้ นี้ Option ใหม่ของระบบปฏิบตั กิ ารตัง้ แต่ Windows Vista เป็ นต้นไปสามารถจัดการ Multiple Local Group Policy ได้ดว้ ย โดยทีส่ ามารถแยกการบังคับใช้ได้ถงึ ระดับ User โดยที่ LGPO ระดับ User จะถูกจัดเก็บอยูท่ ่ี %Systemroot%\System32\GroupPolicyUsers\
หลังจากทีเ่ ครือ่ งคอมพิวเตอร์เริม่ เปิดใช้งาน LGPO จะถูกเรียกขึน้ มาใช้งานก่อนเป็ นอันดับแรก จากนัน้ ก็จะประมวลผลต่อไป ด้วย GPO ในระดับ Domain-based ต่อไป Proof Of Concept: ทดสอบการใช้งาน Local Group Policy โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 114 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Tip: Local GPO สามารถจัดการผ่าน Remote Command ได้ดว้ ย Gpedit.msc /gpcomputer: “%ComputerName%”
Option ของ Group Policy ทีเ่ พิม่ ขึน้ มาใน Windows Server 2008 การเลือกใช้งานหรือบังคับใช้ในแต่ละตัวเลือกของ Group Policy เราเรียกว่า Policy Settings แต่ระบบตัง้ แต่ Windows Vista เป็ นต้นไป ทาง Microsoft ได้เพิม่ ตัวเลือกในการปรับแต่งขึน้ มาอีกเรียกว่า “Group Policy Preferences” ความแตกต่างของ Policy Setting กับ Policy Preferences มีแยกให้เข้าใจในตารางดังนี้ Policy Settings มีตวั เลือกให้ใช้งานโดยเน้นทีก่ ารบังคับใช้ (Enforcement) เช่นการ Disable User Interface ต่าง ๆ ไม่ให้ User เข้าถึงหรือใช้งานได้
Policy Preferences มีตวั เลือกให้ใช้งานโดยทีเ่ น้นเพิม่ ความสามารถในการทํางานของ User มากกว่าการบังคับใช้ เช่น Map Network Drive , Map Network Printer, ปรับแต่ง Shortcut การบังคับใช้จะถูก Refresh โดยอัตโนมัตทิ ุกครัง้ ที่ เปิดเครือ่ งหรือ การบังคับใช้สามารถเลือกได้ ว่าจะถูก Refresh โดยอัตโนมัตทิ ุก User ทําการ Log In ครัง้ ที่ เปิดเครือ่ งหรือ Log In หรือทําการเรียกใช้แค่ครัง้ เดียว (Applied Once) การยกเลิกใช้งาน Policy Settings จะทําให้คา่ ต่าง ๆ ทีบ่ งั คับใช้คนื การยกเลิกใช้งาน Policy Preferences ไม่สามารถคืนค่าเดิมทีเ่ คย กลับสูค่ า่ เดิมอัตโนมัติ ถูกเรียกใช้ไปได้แล้ว
พืน้ ฐานความเข้าใจเรือ่ ง Group Policy ในการจัดการระบบ IT ทีม่ กี ารใช้งาน Active Directory ผูด้ แู ลระบบจะสามารถเรียกใช้งานได้ทงั ้ Policy Settings และ Policy Preferences ได้ โดยทีเ่ ราเรียก Group Policy แบบนี้วา่ Domain-based Group Policy Domain-base Group Policy จะจัดเก็บข้อมูลไว้ท่ี SYSVOL โครงสร้างของ Group Policy (ในทีน่ ้ีขอเรียกสัน้ ๆ ว่า GPO) มีสงิ่ สําคัญให้ทาํ ความเข้าใจดังนี้ Group Policy Container (GPC) GPC จัดเก็บข้อมูลไว้ท่ี Active Directory Database และทําการ Replicate ไปยังทุกๆ Domain Controller ทัง้ นี้หน้าทีข่ อง GPC คือเก็บ Properties ของ GPO นัน้ ๆ และเก็บค่า Globally Unique Identifier ของแต่ละ GPO (GUID) Group Policy Template (GPT) GPT จัดเก็บข้อมูลไว้ท่ี SYSVOL และทําการ Replicate ไปยัง Domain Controller ตัวอื่น ๆ ด้วย หน้าทีข่ อง GPT คือเก็บไฟล์ท่ี เกีย่ วข้องกับ GUID ของแต่ละ GPC เพือ่ ให้ถกู เรียกนําไปใช้งาน
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 115 of 237
เอกสาารแจกฟรี ห้ามมคัดลอก หรือนํนาไปจําหน่ายเเพือ่ หวังผลทางงการค้า
Active Directory Winndows 2008RR2 Step by Steep
ทีเ่ ครืรือ่ ง Domain CController หลังจากเราเริ ง ม่ Im mplement Acti ve Directory ในระบบแล้ ใ ว จะพบว่ามี GPOO ทีถ่ กู สร้างมาาไว้อตั โนมัตอิ ยู่ 2 GPO Os ซึง่ ส่วนใหญ ญ่จะสับสนในกาารนําไปใช้งานดังต่อไปนี้ • Default DDomain Policyy การปรับแแต่งค่า GPO อันนี้จะมีผลต่อทัทง้ Domain ที่อี ยูใ่ นระบบ • Default DDomain Controller Policy การปรับแแต่ง GPO อันนี้จะมีผลเฉพาะะเครือ่ ง Doma in Controller เท่านัน้ [เรือ่ งต้ ง องจด] หลักกการทํางานของง Group Policcy และประโยชชน์ในการนําไปใใช้งาน
ความมแตกต่างของกการใช้งาน Grooup Policy ในระดับ Computer / Users = Run Level of Grouup Policy = Policcy Refresh Tim me = GPO OTool.exe is uused to troubleshoot GPO status, includding problemss caused by thhe replication of GPOs, leaading to inconnsistent versioons of a GPCC and GPT.
เครืองมื อ่ อในการใใช้บริหารจัดการ ก Group Policy P GPO สามมารถบริหารจัดการได้ ด ผา่ นเครือ่ งมือทีห่ ลากกหลายทัง้ GUII และ Commaand-line โดยหลลัก แล้วมีดงั นี้ GUI--Based 1. Group Poolicy Management Consolee (GPMC) เป็ นเครือ่ งงมือทีม่ มี าให้พร้ พ อมอยูแ่ ล้วกับ Windows Seerver 2008 โดดยหน้าทีห่ ลักของ ข GPMC คืออมีเครือ่ งมือให้ห้บริหารจัดการงาน ต่าง ๆ ขออง GPO ดังนี้ - สร้าง ลบ หรือปรับแต่ง GPO - Copyy, Import, Expport - Backkup, Restore - ทํา M Modeling เพือ่ ทดสอบผลของ ท ง GPO ก่อนใช้ช้งานจริง 2. Group Poolicy Management Editor (GPME) หลังจากเปิ ด GPMC แล้ล้วเลือก GPO ขึน้ มาทําการ EEdit ก็จะพบหนน้าตาของ GPM ME 3. Remote SServer Adminnistration Toolls (RSAT) เป็ นเครือ่ งงมือสําหรับลงไไว้ทเ่ี ครื่อง Clieent เพือ่ สามารรถบริหารจัดกาารมายัง Serveer ปลายทางผ่าานทาง Console ต่าง ๆ ของ ผูด้ แู ลระบบบ ใน RSAT ก็กจะมี GPMC ให้เรียกใช้งานนได้ดว้ ย 4. Advance Group Policyy Managemennt (AGPM) AGPM ปจั จุบนั เป็ น com mponent ทีม่ ากับ Microsoft Desktop Opttimization Pacck (MDOP)
โปรดดตรวจสอบ Version ล่าสุดขอองเอกสารที่ http://www.mvpsskill.com ก่อนนํ น าไปใช้ งานจริ งิ
Page 116 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
เป็ นเครือ่ งมือบริหารจัดการทีเ่ พิม่ ความสามารถหลากหลายทางด้านบริหารจัดการในภาพรวมมากยิง่ ขึน้ Command-line Based 1. GPRESULT 2. GPUPDATE 3. RSOP.MSC 4. GPOTOOL.EXE เครื่องมือที่จาํ เป็ นอื่น ๆ 1. Group Policy Client-side Extension สําหรับ Windows XP, Windows 2003 และ Windows Vista เป็ นเครือ่ งมือทีท่ าํ ให้ CSE Engine ใน Client รุน่ เก่าสามารถใช้งาน Feature ใหม่ ๆ บน GPO ของ Windows 2008 ได้ เช่น การใช้งาน Preferences Settings
สรุปการเปลีย่ นแปลงของ Group Policy ทีม่ ใี น Windows 2008 1. GPO บน Windows 2000, Windows XP และ Windows Server 2003 ใช้การแจ้งเตือนการเปลีย่ นแปลง Policy Change ร่วมกับ Windows Logon Process แต่ GPO บน Windows Vista ขึน้ ไปใช้กระบวนการ อัพเดท Policy Change ผ่านทาง Group Policy Client Service 2. การเก็บ Error ของ GPO Process บน Windows 2000, Windows XP และ Windows Server 2003 เก็บข้อมูล Error Log ไว้ท่ี %Systemroot%\Debug\Usermonde\Userenv.log แต่ GPO Error Log บน Windows Vista ขึน้ ไปเก็บไว้ใน Event Viewer ซึง่ สามารถเข้าดูได้จาก Applications And Services Log\Microsoft\Windows\GropupPolicy 3. การติดต่อกับ Client บน Windows 2000, Windows XP และ Windows Server 2003 ใช้ ICMP แต่ Windows Server 2008 ใช้ Network Location Awareness เพือ่ ให้ GPO สามารถตรวจสอบ Bandwidth ระหว่าง Client-Server ได้ดขี น้ึ กว่าการใช้ ICMP 4. ใช้ GPOs ในรูปแบบ ADMX แทน ADM เป็ นข้อมูลของ GPO ทีม่ ใี ห้เลือกใช้และปรับแต่ง การออกแบบโครงสร้างไฟล์ ADM ใหม่ให้เป็ น ADMX ทําให้เก็บข้อมูลรายละเอียดของ GPO ได้มากขึน้ และลดขนาดของ GPO ลงไปได้เยอะมาก เช่นจากเดิมเก็บ ข้อมูล GPO ไว้ในไฟล์รปู แบบ ADM ขนาดเท่ากับ 4 MB. หากเปลีย่ นเป็ นแบบ ADMX จะลดเหลือแค่ 4 Kilobytes (KB) เท่านัน้ 5. ADMX ทีม่ ากับ Windows Vista ขึน้ ไป รองรับหลายภาษา โดยจัดเก็บไว้ท่ี %SsytemRoot%\PolicyDefinitions\LanauageCulture (โดย Default จะมีอยู่ 146 Object) 6. การ Replicate SYSVOL ของ Domain Controller จะต่างกันโดยขึน้ อยูก่ บั Domain Functional Level ดังนี้ หาก Domain Function Level เป็ นแบบ Windows 2000 Native หรือ Windows Server 2003 จะทําการ Replicate SYSVOL โดยใช้ File Replication Service (FRS) และหาก Domain Functional Level เป็ นแบบ Windows 2008 จะทําการ Replicate SYSVOL ผ่าน ทาง Distributed File System (DFS)
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 117 of 237
เอกสาารแจกฟรี ห้ามมคัดลอก หรือนํนาไปจําหน่ายเเพือ่ หวังผลทางงการค้า
Active Directory Winndows 2008RR2 Step by Steep
า FRS กับ DFS การ Reeplicate ระหว่าง -
-
Sysvvol ย่อมาจาก Active A Directoory System Voolume จัดเก็บ Domain GPO O, Script สําหรรับ Log on, Loog off, Shutdoown, Starttup Sysvvol จะถูก Replicate ไปยังทุก Domain Co ntroller โดยเลืลือกใช้วธิ ี Replicate จาก Dommain Functionnal Level Sysvvol สามารถ Replicate ได้สองรู อ ปแบบ ผ่านนทาง FRS หรือ DFS FRSS uses a "last writer wins" algorithm a FRSS เป็ นเทคโนโลยีแบบเก่า Domain Functionnal Level = Windows W 2000 Native, Winddows Server 2003 2 DFSS เป็ นเทคโนโลยีแบบใหม่ Doomain Functioonal Level = Windows W Servver 2008 เท่านั น้ FRSS ใช้ Ntfrs.exe เก็น Topology ในการ Repllicate และวาง Schedule โดยใช้การติดต่อกกับ Remote Server S ด้วย RPPC Protoocol FRSS เก็บ Configuration ใน Reggistry และ ใน NTFS File Syystem FRSS เก็บ Strore Transactions T ใน ใ FRS Jet daatabase (Ntfrss.jdb) FRSS เฝ้าระวังการเเปลีย่ นแปลงโดดยดูจาก USN (Update Sequence Numbeer) ของ NTFSS โดยทีค่ อยดูการ ก Flag ของ Addeed, Deleted, Modified. M หากกตรวจพบการเปลีย่ นแปลงขอองไฟล์กจ็ ะทําเข้าไป Scheduule เพือ่ ทําการ Update Sysvvol ให้ตรรงกัน DFSS (Dfssvc.exe)) ใช้ PDC emuulator Master เป็ นตัวกลางในนการเฝ้าระวัง DFSS เก็บ Metadatta เป็ นแบบ Naamespace แลละสถาปตั ย์กรรรมเป็ นแบบ Client-Server โดดยทีค่ อย Lookkup การ เปลียยนแปลงระหว่ ่ า นทุก ๆ Doomain Controlller างกั DFSS ใช้ Common Internet File System (CIFSS) สําหรับติดต่ตอระหว่าง Clieent-Server CIFSS เป็ น Extension ของ Serveer Message BBlock (SMB) File F Sharing Protocol P DFSS สามารถ Enhhancement กาาร Replicatatee ได้ดที ส่ี ดุ สามารถอัพเดทข้อมูลทีเ่ ปลีย่ นแปปลงได้ถงึ ระดับ File Level FRSS ใช้ Rsync Teechnology ส่วน DFS ใช้ Re mote Differenntial Compresssion (RDC) สรุปรระหว่าง FRS กักบ DFS ง่าย ๆ คือ ………… … DFS Repliccate เร็วกว่า FRS F มากกว่า 300 % DFSS ทําการ Comppression ก่อนส่งข้อมูลได้ดกีกว่าและเร็วกว่า 200-300 % ทํทาให้ประหยัด Brandwidth และช่ แ วยลดโอกกาส ในกาาร Replicate หรื ห อ Databasee เสียหายได้
หัวข้อทีต่ อ้ งทําคววามเข้าใจเกียวกั ่ บ Groupp Policy • Understaand Group Poolicy • Implement a Group Poolicy • Explore GGroup Policy Settings and Features • Manage Group Policy Scope • Group Poolicy Processing
โปรดดตรวจสอบ Version ล่าสุดขอองเอกสารที่ http://www.mvpsskill.com ก่อนนํ น าไปใช้ งานจริ งิ
Page 118 of 237
เอกสาารแจกฟรี ห้ามมคัดลอก หรือนํนาไปจําหน่ายเเพือ่ หวังผลทางงการค้า
Active Directory Winndows 2008RR2 Step by Steep
• Troubleshoot Policy Application A
การใช้งานน GPO สามารรถบังคับใช้แบ่งเป็ ง น 2 ระดับขของ Object ในน Active Direcctory คือ Com puter Configuuration และ Usser Configuraation - การบบังคับใช้ GPO ในระดับ Com mputer Object จะมีผลก็ต่อเมืมือ่ Computer เครือ่ งนัน้ ได้เริ่มเปิ ดขึน้ มาเข้า้ สูร่ ะบบปฏิบติตั กิ าร - การบบังคับใช้ GPO ในระดับ User Object จะมีผผลก็ต่อเมือ่ Usser นัน้ ๆ ทําการ ก Log On เข้ข้าระบบ ง องจด] Grouup Policy Refrresh Interval [เรือ่ งต้
-
GPO RRefreshment Time T GPOO บนเครือ่ ง Doomain Controller จะถูก Reffresh ทุก 5 นาาที GPOO สําหรับ Workstation จะ Refresh ทุก 900 – 120 นาที ค่า GGPO ทีเ่ กีย่ วข้องกั อ บ Securityy Settings จะททําการ Refresh เองทุก 16 ชัวโมง ่ ถึงแม้จะะไม่มอี ะไรถูกเปลีย่ นแปลงเลยก็ ๊ ตาม ! แปน ๆ (อันนี้แก้งว่ ง ไม่มอะไร อี T T) ผูด้ แู ลระบบสามารถถปรับแต่งการ Refresh ของ GPO ได้โดยเเลือก Refresh Time หรือเลืออกจาก Slow-LLink Detectionn Mode ของ GPO
ประเภทของ GPO G O สําหรับ Activve Directory รองรั ร บ 3 ระดับของการนําไปใใช้งาน GPO 1. Site GPOOs 2. Domain GGPOs 3. Organizaational Unit (O OU) GPOs ลําดับการประมวลผลของ GPO ในระบบ AActive Directoory หลังจากเครือ่ ง Domain-Bassed Client เริมเปิ ม่ ดเครือ่ งเพือ่อทําการเข้าสูร่ ะบบ ะ ลําดับการรประมวลผลขออง GPO จะมีดัดงต่อไปนี้ 1. Local GPPOs โปรดดตรวจสอบ Version ล่าสุดขอองเอกสารที่ http://www.mvpsskill.com ก่อนนํ น าไปใช้ งานจริ งิ
Page 119 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
2. Site GPOs 3. Domain GPOs 4. OU GPOs Turn Off LGPO = Computer Configuration\Policies.\Administrative Templates\System\Group Policy > Turn Off Local Group Policy Objects Processing. Proof Of Concept: ทดสอบ GPO ทีอ่ ยูใ่ นระดับเดียวกันว่าใครจะประมวลผลก่อน? ก่อนการทํา LAB ต่อไป ให้สร้าง OU และ Users เพิม่ เติมประกอบการทํา LAB dsadd ou ou=ACC,dc=demo,dc=local dsadd user "cn=acc01,ou=ACC,dc=demo,dc=local" -upn
[email protected] -fn acc01 -pwd password@1 -mustchpwd no pwdneverexpires no -disabled no dsadd user "cn=acc02,ou=ACC,dc=demo,dc=local" -upn
[email protected] -fn acc02 -pwd password@1 -mustchpwd no pwdneverexpires no -disabled no dsadd user "cn=acc03,ou=ACC,dc=demo,dc=local" -upn
[email protected] -fn acc03 -pwd password@1 -mustchpwd no pwdneverexpires no -disabled no dsadd user "cn=acc04,ou=ACC,dc=demo,dc=local" -upn
[email protected] -fn acc04 -pwd password@1 -mustchpwd no pwdneverexpires no -disabled no dsadd user "cn=acc05,ou=ACC,dc=demo,dc=local" -upn
[email protected] -fn acc05 -pwd password@1 -mustchpwd no pwdneverexpires no -disabled no
-
GPO Link Group Policy เป็ น Item หนึ่งซื่งสามารถนําไป Link เข้ากับประเภทของการใช้งานได้ (Site, Domain, OU) ทัง้ นี้ในแต่ละ Item ของ GPO สามารถเลือกปลายทางได้วา่ ให้ไปใช้งานทีไ่ หน หมายความว่า สร้าง 1 GPO แต่เอาไป Link ได้หลายสถานที่ ! ทดลองสร้าง GPO-Disable Notepad แล้วดูการ Link
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 120 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Group Policy นัน้ ๆ ทําการ Link ไปทีไ่ ด และ มี Policy ทีส่ งมี ั ่ ผลต่อระดับ Computer หรือ User?
การใช้งาน GPMC จําเป็ นจะต้องติดต่อกับ Domain Controller ทีเ่ ป็ น PDC Emulator ได้เสมอ โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 121 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
การจัดการ Group Policy Processing การทํางานของ GPO เป็ นการทํางานในรูปแบบที่ client ร้องขอนํา GPO ไปใช้งาน Server มีหน้าทีแ่ ค่เตรียมบริการอื่น ๆ ไว้ให้ พร้อมสําหรับการถูกดึงข้อมูลของ GPO ไปใช้ GPO Link Order จะประมวลผลเรียงลําดับจากเลขมากไปน้อย จากรูปด้านล่างหาก GPO ที่ 1-3 มีความขัดแย้งกัน GPO ลําดับที่ 1 จะชนะเสมอ เพราะ ประมวลผลลําดับสุดท้าย
GPO Inheritance GPO Inheritance หมายถึงค่าทีป่ รับแต่งได ๆ ของ GPO จะถูกสืบทอดลงไปยัง Object ทีอ่ ยูด่ า้ นล่างเสมอ นอกจากนัน้ GPO ยังมี Link Order ทีส่ ามารถเรียงลําดับความสําคัญในการประมวลผลได้อกี ด้วย การถูก Inheritance ทําให้การใช้งานบางอย่างของ OU ทีอ่ ยูล่ าํ ดับล่าง ๆ มีผลโดนบังคับใช้ไปด้วย ผูด้ แู ลระบบสามารถยกเลิก การ Inherited ได้ดว้ ยการใช้งาน Option Block Inheritance ตามรูปด้านล่าง จะมีผลให้ OU นัน้ ๆ มีรปู ร่างต่างไปเพือ่ เป็ นการแจ้งเตือนว่า ไม่รบั GPO ทีอ่ ยูด่ า้ นบน
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 122 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
รูปตัวอย่างด้านล่างเป็ นการแจ้งเตือนว่า OU นัน้ ๆ ไม่รบั GPO ทีอ่ ยูด่ า้ นบนเพือ่ นําเข้าไปประมวลผล
การบังคับให้ GPO ต้องถูกประมวลผลเสมอ (Enforcing Inheritance) การปรับแต่งค่า Policy Settings บางค่า เช่นการปรับแต่งค่าความปลอดภัย เป็ นค่าทีม่ ผี ลสําคัญกับระบบโดยภาพรวม ในการใช้ งานจริงจึงอาจจําเป็ นต้องมีบาง GPO ทีต่ อ้ งการเน้นบังคับใช้ให้มผี ลถึงทุก ๆ Object การเลือก Option Enforce จะช่วยให้การใช้งาน หรือบังคับใช้ได้สทิ ธิ ์เหนือกว่าเสมอ ไม่สามารถถูกข้าม หรือถูกยกเลิกการ ประมวลผลได้
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 123 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
การใช้งาน Option Enforce ดูได้จากรูปด้านล่าง
การควบคุม Refresh Time GPO มีการประมวลผลก่อนทีจ่ ะพร้อมให้ User ใช้งานได้ 2 แบบคือ 1. สําหรับระบบปฏิบตั กิ าร ทีเ่ ป็ น Server OS จะใช้รปู แบบ Synchronous foreground processing หมายถึง GPO ทําการ Apply ให้ครบถ้วนทัง้ Computer และ User Configuration ถึงจะยอมให้ User เข้าใช้งานได้ 2. สําหรับระบบปฏิบตั กิ าร ทีเ่ ป็ น Client OS จะใช้รปู แบบ Asynchronous foreground processing หมายถึง GPO ทําการ Apply บางส่วนก่อน เพือ่ ให้ User เข้าใช้งานได้ หลังจากนัน้ จะดําเนินการประมวลผลต่อแบบ Background Option สําหรับคําสังเพื ่ อ่ ให้ GPO ทําการ Refresh Gpupdate /force = บังคับให้ GPO ทําการ Refresh ในส่วนทีม่ กี ารเปลีย่ นแปลง Gpupdate /Wait: WaitTime = บังคับให้ GPO ทําการ Refresh ตามช่วงเวลาทีก่ าํ หนดหลังจากคําสัง่ Gpupdate /Logoff = บังคับให้ GPO ทําการ Refresh พร้อมกับ Logoff ออกจากระบบ Gpupdate /Boot = บังคับให้ GPO ทําการ Refresh พร้อมกับ Reboot เครือ่ ง Gpupdate /Sync = บังคับให้ GPO ทําการ Refresh ในรูปแบบ Synchronously ตอนทีเ่ ปิดเครือ่ งครัง้ ถัดไป การปรับแต่ง Refresh Interval Tip สําหรับการปรับแต่ง Refresh Interval คือควรบังคับใช้ให้ Link เข้าไปที่ OU ของ Domain Controller ตัวอย่างการปรับแต่งอยูท่ ร่ี ปู ด้านล่าง โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 124 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
การปรับแต่ง Slow-Link Detection Function Slow-Link Detect มีไว้เพือ่ ป้องการการทํางานหนักของ เครือข่าย โดยทัวไปแล้ ่ ว GPO ต้องการ Link Speed ประมาณ 500 Kbps สําหรับการรับส่งเพื่อประมวลผลทีด่ รี ะหว่าง Client-Server การคํานวณ Bandwidth ระหว่าง Client-Server มีการเปลีย่ นแปลงในระบบปฏิบตั กิ าร Windows 2008 คือมีการใช้ NLA (Network Location Awareness Service) ในการช่วยคํานวณหา Link Speed โดยค่ามาตรฐาน Link Speed ทีต่ ่าํ กว่า 500 Kbps จะถือ ว่าเป็ น Slow-Link ซึง่ ระบบ Active Directory จะบังคับให้ Client ทําการประมวลผล GPO เฉพาะในส่วนของ Security Settings ก่อน และ ตามด้วย Administrative Template เท่าทีจ่ ะประมวลผลได้ เท่านัน้
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 125 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
GPO Loopback Processing โดยปกติทวไป ั ่ GPO ที่ User ได้รบั จะถูกกําหนด หรือควบคุมเมือ่ User ทําการ Logon เข้าสูร่ ะบบ ในการใช้งาน Loopback Processing คือจะทําการกําหนดค่าในระดับ Computer ยกตัวอย่างเช่น เครือ่ ง Computer ทีต่ อ้ งใช้งานเป็ นเครือ่ งสําหรับส่วนกลาง ซึง่ เราไม่ตอ้ งการ ให้ GPO ในระดับ User มีผลบังคับใช้บนเครื่องนัน้ ๆ ยกตัวอย่างอีกรอบ เช่น หากมีเครือ่ งส่วนกลางตัง้ อยูห่ น้าบริษทั เพือ่ ให้ ลูกค้า มาใช้บริการระหว่างรอติดต่อบริษทั เราได้ทาํ การ Hardening บังคับใช้ User environment ระดับสูงสูดเพือ่ ความปลอดภัย แต่บงั เอิญ MD ของบริษทั ซึง่ ได้รบั GPO ในระดับทีไ่ ม่ถกู บังคับ ใช้อะไรเลย สามารถใช้งานได้ทุกอย่าง มาลองใช้เครือ่ งส่วนกลางเครือ่ งนี้ ระบบความปลอดภัยของเครือ่ งส่วนกลางนี้กจ็ ะถูกลดระดับลง ตาม GPO ที่ MD ได้รบั
Loop back Processing Modes มีรปู แบบการทํางานให้เลือกใช้ต่อไปนี้ Replace = ทําการแทนค่า GPO ของ User ด้วย GPO ในระดับ Computer Merge = ระบบจะทํางานด้วย GPO ของ User ปกติแต่หากพบว่ามี GPO ไดขัดแย้งกับ GPO ของระดับ Computer ค่า GPO นัน้ จะถูก แทนทีด่ ว้ ย GPO ในระดับ Computer แทน
การวางแผน GPO Modeling และ GPO Result การวางแผนสําหรับ Deploy GPO โดยเครือ่ งมือ Group Policy Modeling และ Group Policy Results
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 126 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
การใช้ Group Policy Modeling ช่วยให้จาํ ลองสถานการณ์การใช้งานทีห่ ลากหลายได้ เช่น ลองใช้ Sites ต่าง ๆ การใช้ Option Loopback Processing การใช้ Group Policy Results เป็ นการจําลองการใช้งาน
Proof Of Concept: การใช้งาน Group Policy Modeling และ Group Policy Results
การบริหารจัดการ Group Policy GPO มีผลบังคับใช้กบั User & Computer ซึง่ ในแต่ละส่วนของ GPME จะมีหวั ข้อหลักให้ปรับแต่งดังต่อไปนี้ สําหรับ Policy Settings 1. Software Settings สําหรับจัดการ Deploy Software ผ่าน GPO 2. Windows Settings สําหรับจัดการหัวข้อสําคัญ ๆ ของ Windows Settings เช่น Folder Redirection, Internet Explorer 3. Administrative Templates หัวข้อใหญ่สาํ หรับบริหารจัดการ Registry-Based ทัง้ หมดทีม่ อี ยูใ่ นระบบ สําหรับ Policy Preferences 1. Windows Settings สําหรับจัดการแทนการเขียน Script แบบเก่า 2. Control Panel Settings สําหรับปรับแต่ง Environment ของ Control Panel ทัง้ หมด Proof Of Concept: Review การใช้งาน GPMC ในภาพรวม - การเปลีย่ น DC - การเช็ค Sites Link - การ Delegating Privileges - การเช็ค GPO Permission - การเช็ค Permission สํารหับ Sites และ Domain
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 127 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
ความหมายของ Permission มีดงั นี้ 1. Link GPOs User หรือ Group ทีส่ ามารถ สร้าง และจัดการ Link ของ GPO ได้ 2. Perform Group Policy Modeling Analyses User หรือ Group ทีส่ ามารถจัดการกับคําสัง่ RSoP ได้ สําหรับการ Planning 3. Read Group Policy Results Data User หรือ Group ทีส่ ามารถดู RSoP ใน Mode Logging ได้ การ Delegating Control สําหรับ GPOs ผูด้ แู ลระบบสามารถอนุญาต NonAdministrative User หรือ Group เข้ามาจัดการ GPO ได้ โดยแบ่งระดับ Permission เป็ นดังนี้ 1. Read 2. Edit Settings โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 128 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
3. Edit Settings, Delete, Modify Security สําหรับการ Allow สิทธิในการจัดการ GPOs สามารถทําได้ดงั นี้
ทําความเข้าใจกับ Starter GPOs Starter GPO เป็ น Template สําหรับ GPO ทีอ่ าํ นวยความสะดวกให้กบั การใช้งาน GPO บ่อย ๆ หรือต้องสร้าง GPO ทีม่ กี าร บังคับใช้คล้าย ๆ กันอยูเ่ ป็ นประจํา Starter GPO ไม่ได้เก็บรวมอยูใ่ น Sysvol เนื่องจากต้องมีการสร้างขึน้ มาก่อน ถึงจะมีโครงสร้างเพือ่ นําไปใช้งาน ข้อควรจําของ Starter GPO คือ หากมีการเปลียนแปลงไดๆ ทีต่ วั Starter GPO ตัวหลัก ก็จะไม่มผี ลกับ GPO ทีเ่ คยสร้างไว้โดยอ้างอิงกับ Starter GPO นัน้ ๆ การ Enable / Disable GPO ขัน้ ตอนนี้มคี วามสําคัญมาก ๆ ในการปรับแต่งการใช้งาน GPO เนื่องจากสามารถลดระยะเวลาการประมวลผลของ GPO ไปได้ อย่างมาก GPO บังคับใช้ในระดับ User / Computer ดังนัน้ หากไม่มคี วามจําเป็ นต้องใช้งานในส่วนทีเ่ กีย่ วข้องทาง Microsoft แนะนําว่าควร จะทําการ Disable ทิง้ ไว้เพือ่ ประหยัดเวลาประมวลผลของ GPO
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 129 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Advance Group Policy Management (AGPM) AGPM เป็ น Extension สําหรับใช้งานร่วมกับ GPMC โดยมีเครือ่ งมือช่วยในการบริหารจัดการมากกว่า Technical Term ทัว่ ๆ ไปทีช่ า้ งานใน GPMC ล่าสุด ณ วันทีเ่ ขียนหนังสือนี้ AGPM เป็ น Version 4.0 ซึง่ จะใช้งานได้ตอ้ งติดตัง้ ผ่าน Microsoft Desktop Optimization Pack การใช้งาน Change Control การควบคุม GPO การจัดการ GPO Version กับ History ข้อมูลเพิม่ เติม http://www.microsoft.com/en-us/windows/enterprise/products-and-technologies/mdop/agpm.aspx
การใช้งาน Search And Filtering GPO การบริหารจัดการ GPO จํานวนมาก รวมถึงการเลือก Deploy Option ทีด่ ี สามารถแบ่งเบาภาระของผูด้ แู ลระบบได้เป็ นอย่างดี การใช้งานผ่าน GPMC มีทางเลือกให้ใช้งานดังต่อไปนี้ 1. Security Group Filters ควบคุม Security Group ทีจ่ ะถูก GPO บังคับใช้ 2. Windows Management Instrumentation (WMI) Filters ควบคุมการ Deploy GPO ให้ไปยังเป้าหมายทีต่ อ้ งการโดยเฉพาะ การค้นหา Policy Settings ทีต่ อ้ งการ ข้อดีของ GPMC Version ใหม่คอื สามารถทําการ Filter ได้ เพิม่ ความสะดวก และทําให้ การ Deploy GPO ไปยังเป้าหมายถูกต้องและถูกวิธี เช่น ถ้าเราต้องการ Deploy GPO ให้มผี ลกับ Internet Explorer 6.0 โดยเฉพาะ ก็ สามารถใช้ Filter Policy Settings ที่ Compatible ก่อนได้
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 130 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
การใช้ Filter เพื่อค้นหา GPO ทีต่ อ้ งการเรียกใช้งาน
การค้นหา GPO
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 131 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
การใช้งาน WMI Filter หรือ WMI Query ระบบปฏิบตั กิ ารตัง้ แต่ Windows XP เป็ นต้นไปรองรับ WMI ทีส่ ามารถค้นหา Attribute หรือข้อมูลต่าง ๆ ในเครือ่ งนัน้ ๆ ได้ จึง เป็ นข้อดีของการนํา WMI มาช่วยทําการค้นหาเป้าหมายเพือ่ การ Deploy GPO โดยทัวไปแล้ ่ ว WMI ใช้ Namespace แบบ Root\CimV2 สรุปสัน้ ๆ คือ WMI Query ใช้รว่ มกับ GPO เพือ่ ค้นหาเป้าหมายที่ ต้องการ ตัวอย่างของการใช้ WMI ร่วมกับ GPO - ตรวจสอบจํานวน RAM เครือ่ งเป้าหมายทีต่ อ้ งการ ก่อน Apply GPO - ตรวจสอบพืน้ ทีใ่ น Harddisk เครือ่ งเป้าหมายทีต่ อ้ งการก่อนจะ Apply GPO - ตรวจสอบ Version ของระบบปฏิบตั กิ าร - ตรวจสอบ System Services ของเครือ่ งปลายทาง ตัวอย่าง Query ทีใ่ ช้งานเป็ นประจํา กลุม่ เป้าหมาย
คําอธิบาย
ตัวอย่าง Command Query
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 132 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า Operating system
Resources
Resources
Only target computers running Windows XP Professional. Target only machines that have at least 600 megabytes (MB) available. Target only machines that have at least 256 megabytes (MB) Memory
Active Directory Windows 2008R2 Step by Step
Root\CimV2; Select * from Win32_OperatingSystem where Caption = "Microsoft Windows XP Professional" Root\CimV2; Select * from Win32_LogicalDisk where FreeSpace > 629145600 AND Description "Network Connection"
Root\CimV2; Select * from Win32_PhysicalMemory where Capacity > 262000000
อ้างอิงจาก http://technet.microsoft.com/en-us/library/cc779036(WS.10).aspx เริม่ ต้นด้วย Default Policies ในระบบ Active Directory มี 2 GPO ทีถ่ กู สร้างขึน้ มาโดย Default คือ 1. Default Domain Policy GPO 2. Default Domain Controller Policy GPO
การตัง้ ค่า Default Domain Policy การใช้งาน Default Domain Policy โดยคําแนะนําจาก Best Practice แล้วควรจะปรับแต่งค่าเพียงแค่ 3 Area ของ GPO ดังต่อไปนี้
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 133 of 237
เอกสาารแจกฟรี ห้ามมคัดลอก หรือนํนาไปจําหน่ายเเพือ่ หวังผลทางงการค้า
Active Directory Winndows 2008RR2 Step by Steep
1. Passwordd Policy 2. Account Lockout Policcy M Tim me ของ Clock Synchronization) 3. Kerbeross Policy (ส่วนใใหญ่จะตัง้ ค่า Maximum Prooof Of Conceptt: ตัง้ ค่า Defauult Domain Policy การตัง้ ค่าเพิม่ เติ เ มจาก Defauult Domain Poolicy การตัง้ ค่านอกเหนือจากก 3 ข้อข้างต้น ควรสร้าง GPOO ขึน้ มาใหม่เพือ่ ตัง้ ค่าโดยเฉฉพาะโดยมีคา่ ที่แนะนําคือ me Administrattor Account 1. Accoounts: Renam 2. Accoounts: Administrator Account Status 3. Accoounts: Guest Account A Statuus 4. Accoounts: Renam me Guest Accoount 5. Netwwork Security:: Force Logofff When Logonn Hours Expirre 6. Netwwork Security:: Do Not Storee LAN Managger Hash Valuue On Next Password Chaange 7. Netwwork Access: Allow Anonym mous SID/Nam me Translatioon ่ ในกรณีท่ี Default D Domaain Policy เสียไปเราสามารถถใช้ สาเหหตุทต่ี อ้ งตัง้ ค่า GPO ใหม่แยกกจาก Default Domain Policcy เนื่องจากเผือไว้ dcgppofix.exe เพือ่ restore ค่า Default Domainn Policy GPO ได้ ค่าอื่น ๆ ทีเ่ ราตัง้ ค่าไว้หลายหลายจะไดด้ยงั คงอยูเ่ ท่าเดิม C Pollicy การตัง้ ค่า Deffault Domain Controller Default DDomain Controller Policy ออกแบบมาเพือ่อเพิม่ ความปลออดภัยโดยเฉพาาะให้กบั เครื่อง Domain Conntroller ค่าต่าง ๆ ที่ เ จาก GPPO Link ไปที่ OOU ของ Domain Controllerr) ปรับแต่งใน GPO นี้จะถูกบังคับใชช้ไปที่ Domainn Controller โดดยเฉพาะ (สังเกตได้ ค่าทีแ่ นะนนําให้ปรับแต่งเป็ เ นหลักของ Default D Domaiin Controller Policy P คือ 1. Audit Policy 2. User righht Assignmentt 3. Security Options ง องจด] อย่า Move Domainn Controller ออกจาก อ OU [เรือ่ งต้
โปรดดตรวจสอบ Version ล่าสุดขอองเอกสารที่ http://www.mvpsskill.com ก่อนนํ น าไปใช้ งานจริ งิ
Page 134 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
1. 2. 3. 4. 5. 6. 7. 8. 9. 10.
Active Directory Windows 2008R2 Step by Step
การใช้งาน Top 10 GPO Settings ทีใ่ ช้งานประจํา Log on Banner Desktop Wallpaper Screen Saver Control Devices Control Internet Explorer Event Log Settings Audit Policy Files Permission Audit System Access Password & Lockout Policy
การแก้ไขปญั หาเกีย่ วกับ Group Policy การจัดการ GPO Storage ทําความเข้าใจเกีย่ วกับหน้าทีแ่ ละข้อควรจําของ GPC และ GPT ตามตารางด้านล่างนี้ GPC = Group Policy Container GPT = Group Policy Template Store in AD Database Store in Sysvol Replicate by AD Replication Replicate by Sysvol Replication Store Properties related to the GPO Used for store files related to the gpo on disk Identified with a globally unique identifier (GUID) Identified with a globally unique identifier (GUID) ทีอ่ ยูข่ อง Group Policy Container
Properties ของ GPC
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 135 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Domain Default GPO GUID {31B2F340-016D-11D2-945F-00C04FB984F9} Domain Controller Default GPO GUID {31B2F210-016D-11D2-945F-00C04FB981F1}
Security TAB เป็ นสิง่ ทีต่ อ้ งตรวจเช็ค Manual ในบางกรณีทเ่ี กิดปญั หาด้าน GPO ไม่ทาํ งาน
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 136 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
ทีอ่ ยูข่ อง Group Policy Template
Version ของ GPT เก็บไว้ใน File GPT.ini
Protocol ทีจ่ าํ เป็ นสําหรับการ Process GPO 1. ICMP 2. NLA 3. RPC tcp135 โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 137 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
4. LDAP tcp/udp 389 5. DNS udp/53 6. Query GPT in Sysvol by SMB udp/tcp 445 การ Import, Migration GPO GPO สามารถ Copy และ Import ไปยังปลายทางอื่น ๆ ได้ดว้ ยเครือ่ งมือ GPMC การ Copy ส่วนใหญ่จะให้สาํ หรับ Copy GPO ข้าม Forest (Online Transfer GPO) การ Import จะเน้นเป็ น Offline Files หรือในกรณีท่ี Permission ของ Administrator ข้าม Forest มีไม่เพียงพอสําหรับการ Copy - Paste
Migrate ด้วยคําสัง่ mtedit.exe
การ Backup / Restore GPO การ Backup / Restore GPO มีขอ้ ควรจําคือ Starter GPO และ WMI Filter เป็ น Object ทีต่ อ้ งแยก Backup เพราะการ Backup GPO อย่างเดียวไม่ได้ดงึ ค่า GPO และ WMI Filter มาด้วย โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 138 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
การคืนค่า Default ของ Default Domain Policy และ Default Domain Controller Policy นัน้ จะต้องใช้เครือ่ งมือทีเ่ รียกว่า dcgpofix.exe ทีม่ ากับ Windows 2008 อยูแ่ ล้ว รูปแบบคําสัง่ = dcgpofix.exe /target: domain | dc | Both
การบริหารจัดการ SYSVOL Sysvol เป็ นหัวใจหลักสําคัญของ GPO เนื่องจากเป็ นพืน้ ทีเ่ ก็บ File System Policy และ Script Log On ทัง้ หลาย Group Policy Template ก็ถกู จัดเก็บและ Replicate ภายใต้ Sysvol โดยทัวไปแล้ ่ ว Active Directory จะบริหารจัดการ Sysvol ให้เองโดยอัตโนมัติ แต่กม็ บี าง Tasks ทีเ่ กิดความจําเป็ นต้องจัดการ เองเช่น -
Move Sysvol Storage เพือ่ ปรับปรุงพืน้ ทีเ่ ก็บข้อมูล หรือเพื่อความเร็วในการทํางาน ปรับค่า Default Storage Quota (จาก 4GB) เป็ นค่าอื่น ๆ จําเป็ นจะต้องมีการ Rebuild Sysvol
ข้อควรจําเกีย่ วกับ Sysvol 1. การ Migrate Sysvol เพือ่ ให้ใช้ Technology การ Replicate ทีด่ ขี น้ึ คือการเปลีย่ นจาก FRS เป็ น DFS 2. วิธกี าร Migrate คือ Raise Domain Functional Level 3. การสังเกตุ ว่า Sysvol Replication เป็ นแบบ FRS หรือ DFS ดูงา่ ย ๆ ได้จากคําสัง่ net share
แนวทางการแก้ปญั หา Replication ของ Sysvol โดยทัวไปแล้ ่ ว Active Directory จัดการ Sysvol ให้เรียบร้อยพอสมควร แทบจะเกิดปญั หาน้อยมาก ทัง้ นี้จาํ เป็ นจะต้องรูจ้ กั เครือ่ งมือในการตรวจสอบและแก้ไขปญั หาไปด้วย ดังต่อไปนี้ Key ทีส่ าํ คัญของ Sysvol ก็คอื Services ต่าง ๆ ต้อง Start ดังต่อไปนี้
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 139 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
1. Netlogon 2. FRS (ในกรณีทใ่ี ช้ FRS เป็ นตัว Replicate) 3. DFS (ในกรณีทใ่ี ช้ DFS เป็ นตัว Replicate) คําสังสํ ่ าหรับใช้ทดสอบเพือ่ ประกอบการแก้ไขปญั หา 1. Net share เอาไว้สาํ หรับเช็คว่า Sysvol ยังมีการ Share ทีป่ รกติอยูห่ รือเปล่า 2. Dcdiag.exe รูปแบบคําสัง่ dcdiag /s:servername /test:replication รูปแบบคําสัง่ dcdiag /s:servername /test:netlogons 3. Repadmin.exe รูปแบบคําสัง่ repadmin /showrepl รูปแบบคําสัง่ repadmin /syncall
Lab12: Implement Group Policy Create, Edit and Link GPOs Create, Link Filtering and Commenting
Lab13: Manage Group Policy Scope Link GPO GPO Scope Filtering Configure Loopback Processing Lab15: Troubleshoot Policy Application LAB นีเป็ นการเรียนรูค้ าํ สังที ่ เ่ กีย่ วข้องกับการแก้ไขปญั หาเกีย่ วกับ GPO
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 140 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
เครืองมือทีใ่ ช้งานคือ • The Group Policy Results Wizard เป็ นเครือ่ งมือทีใ่ ช้ได้สองแบบคือ Rsop.msc และ Gpresult.exe ซึง่ หากต้องการใช้ผา่ น Remote Management จําเป็ นจะต้อง Allow Firewall ports 135 and 445. พร้อมกับ Allow WMI ที่ Firewall Rule ด้วยครับ • The Group Policy Modeling Wizard เป็ นเครือ่ งมือทีใ่ ช้สาํ หรับการจําลองการมีผลบังคับใช้กบั เครือ่ งปลายทางนัน้ ๆ GPResult.exe
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 141 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Rsop + GPresult
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 142 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 143 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
ตัวอย่างการใช้งาน GPRESULT.EXE ด้วย Command Line gpresult /r gpresult /v gpresult /z gpresult /h:"%userprofile%\Desktop\RSOP.html" GPO Modeling Wizard
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 144 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
การดู Policy Event
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 145 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 146 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Module 7: Managing User Desktop with Group Policy Lab16: Manage Administrative Templates Policy Definitions จัดเก็บไว้ท่ี %Systemroot%\PolicyDefinitions
ลองเปิดไฟล์ ControlPanelDisplay.adml และ ControlPanelDisplay.admx ดูครับ ลองค้นหาข้อมูล ScreenSaverIsSecure ดูครับ
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 147 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
ทดลองแก้ไข Administrative Template .ADM File ดูครับ http://www.microsoft.com/en-us/download/details.aspx?id=22666 http://www.microsoft.com/en-us/download/details.aspx?displaylang=en&id=18968 หนึ่งในประเด็นทีว่ า่ บางครัง้ ทําให้การจัดการ GPO ทีย่ ากใน Windows XP และใน Windows Server 2003 คือ GPO Template ไม่อยูใ่ น ทุก Domain Controller สําหรับ Windows 2008R2 สามารถใช้ Feature Group Policy Central Store ได้ดว้ ยดังนี้ การสร้าง Central Store Create Folder PolicyDefinitions %SystemRoot%\SYSVOL\domain\Policies\PolicyDefinitions
ทําการ Copy .ADMX Files จาก %SystemRoot%\PolicyDefinitions ไปไว้ท่ี %SystemRoot%\SYSVOL\domain\Policies\PolicyDefinitions
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 148 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Lab17: Manage Group Policy Preferences เริม่ ต้นกับ GPO Preferences GPO Preferences นัน้ เป็ นตัวช่วยทีด่ ใี นการบังคับใช้โดยทีม่ ี Actions ในการทํางานดังต่อไปนี้ 1. Create สําหรับสร้าง GPO Preference 2. Replace สําหรับนําไป Deletes Preference ทีม่ อี ยูแ่ ล้ว และสร้างขึน้ มาใหม่โดย Preference อันใหม่ถา้ ยังไม่ม ี Preference นัน้ ๆ อยู่ 3. Update สําหรับนําไป Modifies Preference เดิมทีม่ อี ยู่ 4. Delete สําหรับ ลบ GPO Preference
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 149 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
แนวทางในการเรือ่ ง GPO Policy Settings กับ Policy Preferences คือPreference นัน้ ออกแบบมาทดแทนการเขียน Log On Script แบบเก่า ซึง่ การบังคับ Environment แบบเก่านัน้ บางครัง้ อาจควบคุมผลกระทบไม่ได้เนื่องจาก การเขียน Script นัน้ ต้องมีทกั ษะ ความชํานาญพอสมควร การใช้งาน Preference นัน้ ควบคุมผลกระทบได้ หาก มีขอ้ บังคับใช้ทข่ี ดั แย้งกันระหว่าง Policy Settings กับ Policy Preference นัน้ ให้พจิ ารณาว่า Policy อันไหนก็ตามทีบ่ งั คับ ใช้ในระดับ Registry จะชนะเสมอ ใช้ Group Policy Preferences สร้าง Shortcut Notepad บน Desktop ทีเ่ ครือ่ ง Domain Controller ให้ทาํ การสร้าง Group Policy ขึน้ มาใหม่ เพือ่ ทดสอบ GPO Preferences
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 150 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 151 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 152 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
จากนัน้ ทําการทดสอบการทํางานของ GPO-Preferences ทีเ่ ครือ่ งปลายทางครับ
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 153 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
การใช้ GPO-Preferences สร้าง Folder ใหม่ทเ่ี ครือ่ งปลายทาง ที่ GPO-Preference ให้ทาํ การสร้าง Folder C:\Apps ให้เครือ่ งทีช่ ่อื ว่า W7-01
กรอกข้อมูลตามรูป
หากต้องการใช้ Option Item-Level Targeting ให้เลือกทําตามตัวอย่างด้านบนครับ การใช้ GPO-Preferences ทําการ MAP Network Drive การทดสอบสร้าง MAP Drive โดยใช้ GPO Preferences โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 154 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 155 of 237
เอกสาารแจกฟรี ห้ามมคัดลอก หรือนํนาไปจําหน่ายเเพือ่ หวังผลทางงการค้า
Active Directory Winndows 2008RR2 Step by Steep
LAB18: Manaage Software With GPSI
การติดตัง้ Softwware ด้วย Grroup Policy (GPSI) ( [เรือ่ งต้ ง องจด] Deploy Software ด้ดวย GPO ไม่ยาก ย
ข้อดีของการติ ข ดตัง้ Software ด้วย GPSI คือบังคับได้ทงั ้ Instaall และ Uninsttall สิง่ ทีต้ต่ องการ 1. Share Insstallation Foldder 2. Mode ในนการเลือกใช้งาน มี Publish, Assigned, Addvance 3. ไม่สามารรถใช้ Publish กักบ Computer Configurationn Publish to User Advertissed in Prograams and Featuures Install oon request .msi, .zaap Rebuildd by user chooose install
Assigned A to User U โปรแกรมเข้ โ าไปปอยูใ่ น Start MMenu ให้อตั โนนมัติ File F Associatioon Made Option O Install at Logon .msi . Support Avaialble A for insatallation aagain Assigned A to Computer C Install I at startup
4. s Group Poolicy Softwaree Installation (GPSI) ( การติดดตัง้ Software ด้วย Group Policy P Stepp:
\\
โปรดดตรวจสอบ Version ล่าสุดขอองเอกสารที่ http://www.mvpsskill.com ก่อนนํ น าไปใช้ งานจริ งิ
Page 156 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 157 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 158 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
ตัวอย่าง Code สําหรับ Deploy Office 2007 setlocal REM ********************************************************************* REM Environment customization begins here. Modify variables below. REM ********************************************************************* REM Get ProductName from the Office product's core Setup.xml file. set ProductName=Enterprise REM Set DeployServer to a network‐accessible location containing the Office source files. set DeployServer=\\server\share\Office12 REM Set ConfigFile to the configuration file to be used for deployment REM (required) set ConfigFile=\\server\share\Office12\Enterprise.WW\config.xml REM Set LogLocation to a central directory to collect log files. set LogLocation=\\server\share\Office12Logs REM ********************************************************************* REM Deployment code begins here. Do not modify anything below this line. REM ********************************************************************* IF NOT "%ProgramFiles(x86)%"=="" SET WOW6432NODE=WOW6432NODE\ reg query HKEY_LOCAL_MACHINE\SOFTWARE\%WOW6432NODE%Microsoft\Windows\CurrentVersion\Uninstall\% ProductName% if %errorlevel%==1 (goto DeployOffice) else (goto End) REM If 1 returned, the product was not found. Run setup here. :DeployOffice start /wait %DeployServer%\setup.exe /config %ConfigFile% echo %date% %time% Setup ended with error code %errorlevel%. >> %LogLocation%\%computername%.tx t REM If 0 or other was returned, the product was found or another error occurred. Do nothing. :End Endlocal
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 159 of 237
เอกสาารแจกฟรี ห้ามมคัดลอก หรือนํนาไปจําหน่ายเเพือ่ หวังผลทางงการค้า
Active Directory Winndows 2008RR2 Step by Steep
Lab: Managee Security Settings With Seecurity Templaate mmcc.exe Secuurity Templatee Secuurity Configuraation and Anaalysis Stepp:
โปรดดตรวจสอบ Version ล่าสุดขอองเอกสารที่ http://www.mvpsskill.com ก่อนนํ น าไปใช้ งานจริ งิ
Page 160 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Lab: Audit Active Directory Changes Remark Type 2 : Console logon - interactive from the computer console Type 3 : Network logon - network mapping (net use/net view) Type 4 : Batch logon - scheduler Type 5 : Service logon - service uses an account Type 7 : Unlock Workstation Monitor OU Step: 1. Enable Auditing Policy 2. Enable Auditing at OU Target
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 161 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 162 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
ทําการ Clear Security Log แล้ว ทดสอบการ Monitoring จาก Event Viewer ดูครับ -Create User -Deleted User Log ID 4726 or 4738 or 4720 Lab: Link VS Unlink Objective: เพือ่ เป็ นการลดภาระในการประมวลผลของ GPO Step: Disable / Remove / Unlink
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 163 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 164 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Module 8: Managing Enterprise Security and Configuration with Group Policy Settings Lab19: Use Group Policy to Manage Group Membership Objective: การใช้งาน Restricted Groups Policies ให้สร้าง Groups Help-Desk ขึน้ มาโดยใช้ ITSUPPORT02-04 เป็ นสมาชิก
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 165 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
จากนัน้ ทําการ Link GPO เข้าไปกับ OU ที่ Computer Object นัน้ ๆ อยู่ และทําการทดสอบโดย Logon ด้วย User ITsupport02 เพือ่ ทดสอบสิทธ์ Local Administrators
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 166 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
คําถาม ? Restricted Groups การทํางานเป็ นแบบ Merge or Replace ? ?
Lab20: Manage Security Settings Objective: เรียนรู้ Local Security ของ Domain Controller เช่นการ Remote เข้าสูร่ ะบบ Server
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 167 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
การใช้งาน Security Template เข้าใช้งานโดยใช้ mmc.exe เลือก Add – Remove Snap-in เลือก Security Template > Security Configuration and Analysis Step:
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 168 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
การใช้งาน Security configuration Wizard Objective
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 169 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 170 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
คําสังสํ ่ าหรับ Transform Security Policy ให้เป็ น GPO เข้าไป Run ที่ Path C:\Windows\security\msscw\Policies\ scwcmd transform /p:"DC01-Sec.xml" /g:"DC01-Sec"
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 171 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Lab21: Audit File System Access Objective เพือ่ การตรวจสอบการใช้งานของผูเ้ ข้าถึง Object นัน้ ๆ ใช้ Security Template เปิ ด Audit Share Folder ทีต่ อ้ งการ
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 172 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Lab: Audit Active Directory Changes Monitor OU Step: 1. Enable Auditing Policy 2. Enable Auditing at OU Target
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 173 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 174 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
ทําการ Clear Security Log แล้ว ทดสอบการ Monitoring จาก Event Viewer ดูครับ -Create User -Deleted User Log ID 4726 or 4738 or 4720
Lab: Audit Authentication อ้างอิงจาก http://www.vmaxx.net/techinfo/Windows/NTLoginInfo.htm Step: Type 2 : Console logon - interactive from the computer console Type 3 : Network logon - network mapping (net use/net view) Type 4 : Batch logon - scheduler Type 5 : Service logon - service uses an account Type 7 : Unlock Workstation การ ตรวจสอบ Log ทีต่ อ้ งใช้ประจําจากประสบการณ์ โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 175 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
::: Windows 2008 ::: 4624 - An account was successfully logged on. ::: 4625 - An account failed to log on. ::: 4649 - A replay attack was detected. ::: 4720 - A user account was created. ::: 4740 - A user account was locked out. ::: 4723 - An attempt was made to change an account's password. ::: 4724 - An attempt was made to reset an account's password. ::: 4698 - A scheduled task was created. ::: e1102 - The Specified user cleared the Security Log. Logparser.exe "SELECT TimeGenerated, SourceName, EventCategoryName, Message INTO c:\Logs\4624_SuccessToLogOn.csv FROM Security WHERE EventID = 4624 Logparser.exe "SELECT TimeGenerated, SourceName, EventCategoryName, Message INTO c:\Logs\4625_FailedToLogOn.csv FROM Security WHERE EventID = 4625 Logparser.exe "SELECT TimeGenerated, SourceName, EventCategoryName, Message INTO c:\Logs\4649_ReplayAttackDetected.csv FROM Security WHERE EventID = 4649 Logparser.exe "SELECT TimeGenerated, SourceName, EventCategoryName, Message INTO c:\Logs\4720_UserCreated.csv FROM Security WHERE EventID = 4720 Logparser.exe "SELECT TimeGenerated, SourceName, EventCategoryName, Message INTO c:\Logs\4740_AccountLocked.csv FROM Security WHERE EventID = 4740 Logparser.exe "SELECT TimeGenerated, SourceName, EventCategoryName, Message INTO c:\Logs\4723_ChangePassword.csv FROM Security WHERE EventID = 4723 Logparser.exe "SELECT TimeGenerated, SourceName, EventCategoryName, Message INTO c:\Logs\4724_ResetPassword.csv FROM Security WHERE EventID = 4724 Logparser.exe "SELECT TimeGenerated, SourceName, EventCategoryName, Message INTO c:\Logs\4698_TaskCreated.csv FROM Security WHERE EventID = 4698 Logparser.exe "SELECT TimeGenerated, SourceName, EventCategoryName, Message INTO c:\Logs\1102_ClearSecurityLog.csv FROM Security WHERE EventID = 1102
Lab22: Configure Application Control Policies Objective: เพือ่ ป้องกันการเข้าถึง Application อย่างมีประสิทธิภาพ มีสองวิธคี อื 1. Software Restriction Policy 2. AppsLocker
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 176 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 177 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 178 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 179 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Module 9: Securing Administration Lab23: Delegate Administration Objective:
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 180 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
การ Review ให้ใช้โดยการเปิด Advance Feature หรือใช้คาํ สังในการ ่ Generate Report ดังนี้ dsacls "dc=demo,dc=local" การ Remove และ Reset Permissions
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 181 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Lab24: Audit Active Directory Changes Objective: อันนี้ได้มกี ารทํา LAB ร่วมกันก่อนหน้านี้ไปแล้ว
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 182 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Module 10: Improving the Security of Authentication in an AD DS Domain Lab25: Configure Password and Account Lockout Policies Objective: เรียนรูก้ ารตัง้ ค่าความปลอดภัยพืน้ ฐานทีส่ าํ คัญ Hardening Template Best Practice
ใช้งาน Fine Grained Password Objects Fine Grained Password เป็ น Option ใหม่ทม่ี มี ากับ Windows Server 2008 เพือ่ เอาไว้ตงั ้ ค่า Password Policy ทีห่ ลากหลายในกรณีท่ี ต้องการบังคับใช้ Password Policy ทีร่ ะดับแตกต่างกันใน OU หมายเหตุ: การจะใช้ Fine Grained Password จะต้องตัง้ ค่า Domain Functional Level = Windows Server 2008
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 183 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 184 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
(ค่า 1 คือสูงสุด)
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 185 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 186 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
(Day:Hours:Minutes:Second)
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 187 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 188 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
ถ้าใส่คา่ =0 หมายถึงให้ผดู้ แู ลระบปลดล้อค
จํานวนเวลาที่ Lock อาจจะต้องเปลีย่ นให้มากกว่า 15 นาทีเพือ่ ความปลอดภัยทีเ่ พิม่ ขึน้ ครับ
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 189 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 190 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 191 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 192 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Lab26: Audit Authentication Objective:
Lab27: Configure Read-Only Domain Controller Objective:
การออกแบบและใช้งาน Read Only Domain Controller (RODC) สําหรับการออกแบบ Branch Office Read Only Domain Controller มีขอ้ ดีคอื 1. ช่วยให้การ Authentication เร็วขึน้ 2. RODC ไม่เก็บ Password ใน AD Database แต่ทาํ Caching 3. การ Replication เป็ นแบบ One Way 4. สามารถออกแบบได้วา่ ใครจะต้อง Login โดยผ่าน RODC โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 193 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
5. 6. 7. 8.
RODC ใช้ในสถานการณ์ท่ี มี User สาขาน้อย (15 – 30 User ในสาขานัน้ ) RODC ใช้ในสถานการณ์ท่ี พืน้ ทีว่ าง Server ในสาขาไม่คอ่ ยปลอดภัย มี Network ระหว่าง Main Link กับ Branch Offices ในระดับทีช่ า้ ใน Branch Office ถ้าจะใช้ RODC ต้องไม่ม ี Exchange Server อยูใ่ น Site นัน้ ด้วย (เพราะมันต้องการเขียนข้อมูลบน Writeable Domain Controller) 9. การใช้งาน หาก Upgrade จาก WS2003 เริม่ ต้นต้อง adprep / rodcprep ก่อนการติดตัง้ RODC 10. RODC ไม่สามารถเป็ น Operations Masters ได้
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 194 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 195 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Module 11: Configuring Domain Name System DNS = Domain Name Service เป็ นการบันทึก (จดทะเบียน) IP Address กับ Host Name แล้วคอยให้บริการ ถาม-ตอบ (Query) จะ ช่วย Resolve จาก IP เป็ น Host Name หรือจาก Host Name เป็ น IP จบ! New Feature ของ DNS สําหรับ Windows Server 2008 • รองรับ RODC Authoritative Pull จาก Writeable DNS Server from same site • Global Names Zone (GNZ) Provide single-label name resolution instead of using WINS • IPv6 Support (AAAA Records and Reverse look-ups) Solution ของการใช้ 3rd Party DNS (Unix/Linux Based DNS) ประเภทของ DNS • รูจ้ กั GNZ Create GlobalNames Zone GNZ ใช้ทดแทน WINS ได้ แต่มขี อ้ เสียคือไม่สามารถทํา Dynamic Update ได้เหมือน WINS สังให้ ่ DNS Update ทัง้ หมด repadmin /syncall DNS AD Integrated WINS IPv6 Basic configuration DNS Component - DNS Service (Server) - DNS Database - DNS Client DNS Query DNS Query เป็ นการรับคําร้องขอในการแปลงชื่อเป็ น IP หรือแปลง IP เป็ นชื่อ ซึง่ เป็ นการติดต่อจาก client มายัง DNS Server ชนิดของ DNS Query มี 2 Mode หรือสองประเภทการทํางานคือ Iterative (ถ้ารูจ้ ะตอบให้ ถ้าไม่รกู้ ไ็ ม่ตอบ ให้ไปถาม DNS Server อื่นแทน) Recursive (จะไปหาคําตอบมาให้ได้)
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 196 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Forwarder เป็ นการส่ง DNS Query ต่อไปยัง DNS Server เครือ่ งอื่น ๆ ชนิดของ Forwarders Standard: เป็ นการส่ง Query ออกไปยังเครือ่ ง Forward DNS Server อื่น ๆ ทัง้ หมด Conditional: เป็ นการส่ง Query ออกไปยังเครือ่ ง Forward DNS Server แต่อาจมีการตัง้ เงือ่ นไขไว้ (อาจไม่ตอ้ งผ่าน Root Hint)
การออกแบบ DNS Namespace Option ลักษณะการเลือกใช้ หรือการตัง้ ชื่อ DNS Namespace 1. Same Namespace 2. Sub Domain 3. Unique Namespace • ระวังเรือ่ งการตัง้ ชื่อ DNS ให้มาก ๆ ควรคิดแล้วคิดอีกให้รอบคอบ เพราะการแก้ไขทีหลังมีกระบวนการทีย่ งุ่ ยากมากมาย • วิธกี ารออกแบบ หรือตัง้ ชื่อ Namespace ทีง่ า่ ยทีส่ ดุ คือการใช้ Subdomain ของ Public Namespace • ถ้าใช้ Subdomain ไม่ได้กค็ วรตัง้ ชื่อให้แตกต่างจาก Public Domain ไปเลยจะดูแลจัดการง่ายทีส่ ดุ (หลีกเลีย่ งตัง้ ชื่อเดียวกัน ระหว่าง Public กับ Internal จะดีทส่ี ดุ )
ชนิดของ DNS Zone ลักษณะการเลือกใช้ DNS Zone มีดงั นี้
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 197 of 237
เอกสาารแจกฟรี ห้ามมคัดลอก หรือนํนาไปจําหน่ายเเพือ่ หวังผลทางงการค้า
Active Directory Winndows 2008RR2 Step by Steep
Activve Directory Inntegrated Zonnes ข้อดีคืคอ A Directory ทุกประการ • การ Replication เป็ นแบบบ Multi-Master เหมือน Fuunction ของ Active • Streamlinne Data Repliication • Secure DDynamic Updaate • Backwardds Compatible To Secondaary Zones อ่ ต่ อ้ งทําควาามเข้าใจพอคววร Stub Zone มีขอ้ ดีในกรณีทที่ Domain DNNS อยูภ่ ายใต้ การเเลือกใช้ Forwaarder กับ Stubb Zone เป็ นเรืองที Foreest เดียวกัน ส่วนกการใช้ Forwarrder มีขอ้ ดีกรณ ณีใช้ Forward การ Query ทังั้ หมดออกไปขข้างนอก
ความเข้าใจเรือ่ ง DNS Zone Transfer กับ Replicatioon ลักษณะกการเลือกใช้ DNNS Zone Trannsfer กับ Repliication มีดงั นี้
โปรดดตรวจสอบ Version ล่าสุดขอองเอกสารที่ http://www.mvpsskill.com ก่อนนํ น าไปใช้ งานจริ งิ
Page 198 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
ความเข้าใจเรือ่ ง DNS Caching DNS Caching ช่วยลดภาระในการ Query และทําให้การ Query เร็วขึน้ การ Caching Record มีทงั ้ ฝงั ่ Client และ Server ซึง่ สามารถ Clear ได้โดยใช้คาํ สัง่ Ipcofig /FulshDNS หรือ DNSCmd.exe /Clearcache การดู Cache ทีเ่ ก็บไว้ใน Server สามารถใช้คาํ สัง่ Ipconfig /DisplayDNS
รูปภาพแสดงการ Clear Cache ด้วย GUI
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 199 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
TIP: เนื้อหาทีต่ อ้ งทําความเข้าใจเกีย่ วกับ DNS / WINS • ถ้า DNS อยูบ่ น Domain Controller ควร Remove Root Hint ออกจาก DNS Console ให้หมดเพือ่ ป้องกันการ Iterative Query ออกไปข้างนอก • ปิ ดการ Allow Transfer DNS หรือเลือกปิด TCP Port 53 ที่ Firewall เพือ่ ป้องกันการถูก Zone Transfer • DHCP / DNS Cache Proxy = DNSUpdateProxy Groups
• TTL = Time to Live ระยะเวลาทีจ่ ะเก็บ Cache ของ Record ไว้ (Default = 1 Hr) • Aging and Scavenging? กระบวนการลบ Record ออกจาก DNS Database โดยที่ Aging จะนับอายุของ Record แล้ว Scavenging ทําการลบ ตัวอย่างเช่น 1. Client เริม่ Register Record เข้าไปที่ DNS Database 2. ถ้าครบ 7 วันแล้วไม่มกี าร Update หรือเปลีย่ นแปลง กระบวนการ Aging จะเพิม่ ระยะให้อกี 7 วัน 3. พอครบ 7+7+1 วัน กระบวนการทํางานจะทําการลบ Record นัน้ ทิง้ ไป
Lab28: Install DNS Service Objective: LAB นี้เป็ นการเริม่ ติดตัง้ และทําความเข้าใจการเลือกติดตัง้ DNS Server Role 1. ทีเ่ ครือ่ ง Domain Controller server dc01.demo.com ให้สร้าง User / Group เพือ่ ไว้ใช้ในการทดสอบการใช้งานร่วมกับ TS ตามรูป ด้านล่างเป็ นอย่างน้อย
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 200 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
ใน LAB นี้ คุณจะได้เรียนรูก้ ารเลือกติดตัง้ และรายละเอียดต่าง ๆ เพือ่ ใช้งาน IIS และ FTP
Lab29: Advance Configuration DNS LAB นี้เป็ นการเริม่ ติดตัง้ และทําความเข้าใจการเลือกติดตัง้ DNS Server Role 1. ทีเ่ ครือ่ ง server dc01 Create New Zone Primary Zone > AD Integrated > Zone Name "GlobalNames" command > dnscmd /? command > dnscmd dc01 /config /enableglobalnamessupport 1 ที่ DNS Console ของ GlobalNames ทําการ Create Host Record
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 201 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 202 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
ใน LAB นี้ คุณจะได้เรียนรูก้ ารใช้คาํ สัง่ DNScmd.exe ร่วมกับการปรับแต่ง DNS Global Name Zone ไปพร้อมกัน การใช้ DNS Stub Zone
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 203 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Module 12: Administering AD DS Domain Controllers Lab30: Install Domain Controller Objective: เรียนรูก้ าร Install Domain Tree, Additional Domain, Child Domain
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 204 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
การ Backup ด้วย IFM C:\Users\Administrator>ntdsutil ntdsutil: activate instance NTDS Active instance set to "NTDS". ntdsutil: ifm ifm: create sysvol full c:\ifm Creating snapshot...
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 205 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 206 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 207 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Lab31: Install Server Core Domain Controller Objective: LAB นี้งา่ ยเพราะมี Sconfig.cmd ตัง้ ค่า Domain / IP / ติดตัง้ DNS Role ด้วย ocsetup ocsetup DNS-Server-Core-Role oclist |more เพื่อตรวจสอบว่า DNS ติดตัง้ เรียบร้อยแล้ว dcpromo /unattend /ReplicaOrNewDomain:replica /ReplicaDomainDNSName:demo.local /ConfirmGC:Yes /UserName:demo\Administrator /Password:* /safeModeAdminPassword:Pa$$w0rd
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 208 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 209 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Lab32: Transfer Operation Master Roles Objective: รูจ้ กั กับ FSMO อ้างอิงจาก http://mvpskill.com/blogs/kb/archive/2011/11/18/fsmo-flexible-single-master-operation-fsmo-role-owner.aspx
ในระบบของ Active Directory Domain Service (AD DS) นัน้ ปกติแล้วจะมีลกั ษณะการทํางานในรูปแบบทีเ่ รียกว่า “multimaster” ซึง่ หมายความว่า Domain Controller ทุกๆ เครือ่ งสามารถทํางานได้เหมือนๆ กันทัง้ หมด ทุกๆ เครือ่ งสามารถเป็ นเครือ่ ง master ได้ เหมือนกันหมด เช่นกัน ดังนัน้ เพือ่ ให้มกี ารแบ่งภาระในการทํางานอย่างมีประสิทธิภาพ ทาง Microsoft จึงได้มกี ารแบ่งหน้าทีย่ อ่ ยๆ ในการ ทํางานของ AD DS ออกเป็ น 5 หน้าทีก่ ารทํางาน ทีเ่ รียกว่า FSMO (Flexible Single-Master Operation) ดังนี้ Forest wide FSMO หมายถึง FSMO Role ทีม่ เี พียง 1 Domain Controller เท่านัน้ ทีร่ บั หน้าทีน่ ้ีใน 1 Forest ได้แก่ Schema master (SM) เป็ นเครือ่ งทีร่ บั หน้าทีใ่ นการจัดการโครงสร้าง (Schema) ของระบบการจัดเก็บข้อมูลของ Active Diirectory โดยเครือ่ งทีถ่ อื FSMO นี้จะเป็ นเพียงเครือ่ งเดียวทีส่ ามารถดําเนินการใดๆ เกีย่ วกับการเปลีย่ นของโครงสร้างของระบบการจัดเก็บข้อมูลของ Active Directory ได้ โดย Schema Naming context คือ LDAP://cn=schema,cn=configuration,dc=
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 210 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Domain Naming Master (DNM) เป็ นเครือ่ งทีร่ บั หน้าทีใ่ นการเกีย่ วกับระบบชื่อต่าง (Name Space) ของ Domain ใน Forest ซึง่ ในการทีจ่ ะทําการสร้าง child domain, หรือ Domain Tree ต่างๆ จะมีการเก็บชื่อต่างๆ ไว้ใน Name Space โดย Domain Naming Master มี Naming context เป็ น LDAP://CN=Partitions, CN=Configuration, DC= Domain wide FSMO หมายถึง FSMO Role ทีม่ เี พียง 1 Domain Controller เท่านัน้ ทีร่ บั หน้าทีน่ ้ีใน 1 Domain (ถ้าใน Forest มีหลายๆ Domain ก็สามารถมี FSMO ในกลุม่ นี้ได้ Domain ละ 1 เครือ่ ง) ได้แก่ PDC Emulator เครือ่ งทีท่ าํ หน้าทีเ่ ป็ น PDC Emulator จะเป็ นเครือ่ งทีม่ หี น้าทีห่ ลักในการดําเนินการต่างๆ ของ domain ทัง้ หมด (Authority) ได้แก่ ทําหน้าทีจ่ ดั การเกีย่ วกับการตัง้ เวลาให้ตรงกัน ของ domain controller และเครือ่ ง member ต่างๆ ใน Active Directory Domain โดยใช้ Windows Times Service การเปลีย่ นรหัสผ่านของผุใ้ ช้ในระบบ Active Directory ในกรณีทผ่ี ใู้ ช้งานมีการป้อน password ผิด PDC จะต้องทําหน้าในการตัดสินใจว่าจะอนุ ญาติหรือไม่ (ในบางกรณีผใู้ ช้อาจเปลีย่ นรหัสผ่าน แล้วเข้าใช้งานทันที โดยรหัสผ่านใหม่ยงั ไม่ได้ replicate ไปยัง Domain Controller ทุกๆ เครือ่ งในระบบ ดังนัน้ เมือ่ เกิดการพิมพ์รหัสผ่าน ผิดขึน้ จะทําให้เครือ่ ง Domain Controller อื่นๆ ต้องทําการส่งต่อ (Forward) การ Authentication นัน้ มายัง PDC เพือ่ ตัดสินใจอีกครัง้ หนึ่ง เสมอ การทําการ Lock Account ทีม่ กี ารพิมพ์รหัสผ่านผิด เกินกว่าจํานวนครัง้ ทีก่ าํ หนด (Account Lockout) ทําการเปรียบเสมือนกับ PDC Server ของ Windows NT ทัง้ นี้เพือ่ ให้สามารถทํางานร่วมกับระบบปฏิบตั ริ นุ่ เก่า เช่น Windows NT ได้ RID Master เมือ่ มีการสร้างวัตถุ (Object) ใหม่ขน้ึ ในระบบของ Active Directory ทุกๆ วัตถุจะต้องมีการสร้างหมายเลข SID (Security ID) ของแต่ละวัตถุขน้ึ โดยมีสว่ นประกอบ 2 ส่วนคือ 1. SID ของ Domain ซึง่ ทุกๆ วัตถุใน Domain เดียวกันจะมี SID ของ Domain เหมือนกัน และ 2. RID จะเป็ นหมายเลขทีไ่ ม่ซ้าํ กันของแต่ละวัตถุ และ RID นี้จะต้องได้รบั การจัดสรรให้จาก RID Master (ดูรายละเอียด การทํางานของ RID Master) Infrastructure master ทําหน้าทีใ่ นการบริหารจัดการการอ้างอิงการใช้งาน Object ต่างๆ ใน Active Directory Domain ในกรณีทม่ี กี ารอ้างอิงจาก ภายนอก Domain ของตัวเอง โดยการอ้างอิงอาจจะมีรปู แบบ SID, GUID หรือ DN เราจะเรียก Domain Controller ทีท่ าํ หน้าทีห่ ลักในแต่ละบทบาทของ FSMO Role ว่า “FSMO Role Ower” ส่วน Domain Controller เครือ่ งอื่นในระบบจะมีขอ้ มูลเหมือนๆ กับ FSMO Role Owner ด้วย แต่จะไม่ทาํ งานเท่านัน้ ดังนัน้ หาก Domain Controller
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 211 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
เครือ่ งทีถ่ อื FSMO Roler Ower เกิดความเสียหาย เราก็สามารถเปลีย่ นแปลง FSMO Role Owner ไปยังเครือ่ งอื่นๆ ทีย่ งั ทํางานปกติได้ ด้วย • Transfer • Seize • Deleted (Metadata Cleanup) Refer Step http://support.microsoft.com/kb/255504 http://technet.microsoft.com/en-us/library/cc816907(WS.10).aspx#bkmk_graphical Script Remove Metadata http://gallery.technet.microsoft.com/scriptcenter/d31f091f-2642-4ede-9f97-0e1cc4d577f3 Step: ntdsutil Roles Connections Connect to server dc01.demo.com Q Seize XX Step: Ntdsutil Metadata cleanup Remove selected server
ทําความเข้าใจ Operation Master Roles ของ Active Directory Three operations master roles (also known as flexible single master operations or FSMO) exist in each domain:
The primary domain controller (PDC) emulator
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 212 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Operations master processes all password updates. Group Policy Update / Time Server Update The relative ID (RID) operations master Maintains the global RID pool for the domain and allocates local RIDs pools to all domain controllers to ensure that all security principals created in the domain have a unique identifier.
The infrastructure operations master for a given domain maintains a list of the security principals from other domains that are members of groups within its domain. Track update who’s in what group and should not in same GC (If Possible) In addition to the three domain-level operations master roles, two operations master roles exist in each forest: The schema operations master governs changes to the schema. regsvr32 schmmgmt.dll
The domain naming operations master adds and removes domains and other directory partitions (for example, Domain Name System (DNS) application partitions) to and from the forest.
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 213 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Netdom query fsmo
การ Seize Operations Master Ntdsutil Activate instance NTDS Roles Connections Connect to server dc02.demo.com quit Help Seize or Transfer Yeh !
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 214 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 215 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Lab33: Configure Global Catalog and Universal Group Membership Caching Objective: รูจ้ กั าร Enable GC, UGMC
Global Catalog, Universal Group Membership • GC Replicate ทัง้ Forest เป็ นการเก็บค่า Attribute แต่ไม่ทงั ้ หมด อาจจะ 200/1000 ถ้าใช้ ใน BW ทีต่ ่าํ กว่า 128k จะทําให้ ระบบมีปญั หาควรใช้ Universal Group Membership Caching • ถ้ามี Domain ที่ User น้อย ๆ และ BW ตํ่ากว่า 128 k ไม่ควร Enable GC ที่ Site นัน้ • แต่ถา้ มี Roaming user ควร Enable GC
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 216 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Lab34: Configure DFS-R Replication of SYSVOL Objective: รูปแบบคําสัง่ dfsrmig /getglobalstate
dfsrmig /setglobalstate 0 dfsrmig /getglobalstate dfsrmig /getmigrationstate dfsrmig /setglobalstate 1 โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 217 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
dfsrmig /getmigrationstate
ตรวจเช็ค Event ID 8014 ใน Application and Services Logs
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 218 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
จากนัน้ เริม่ Step ต่อไปครับ dfsrmig /setglobalstate 2 dfsrmig /getmigrationstate
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 219 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Module 13: Managing Sites and Active Directory Replication Lab35: Configure Site and Subnet Objective: เรียนรูก้ ารใช้งาน Site & Subnet เบือ้ งต้น
Lab36: Configure Replication Objective: การทําความเข้าใจสําหรับปรับแต่ง Replication
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 220 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 221 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Module 14: Directory Service Continuity Lab36: Monitor Active Directory Events and Performance Objective: เครือ่ งมือทีใ่ ช้ในการ Monitor ADDS - Task Manager - Event Viewer - Reliability Monitor - Performance Monitor (Perfmon) - Data Collector Set Step:
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 222 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 223 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Lab37: Manage Active Directory Database Objective: Defragment AD Database Step: ntdsutil activate instance ntds - Stop AD Services Files compact to c:\
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 224 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Exit To Command Line copy "c:\ntds.dit" c:\windows\NTDS\ntds.dit del c:\windows\NTDS\*.log
ntdsutil activate instance ntds files integrity
Lab38: Using Active Directory Recycle Bin Objective: เรียนรู้ Feature ใหม่ของการใช้งาน Active Directory Recycle Bin อ้างอิง โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 225 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
http://mvpskill.com/blogs/kb/archive/2011/11/24/windows-server-backup-folder.aspx http://mvpskill.com/blogs/kb/archive/2011/11/21/domain-controller-restoring-system-state-data-windows-server-backupfeature.aspx http://mvpskill.com/blogs/kb/archive/2011/11/11/domain-controller-backing-up-system-state-data-windows-server-backupfeature.aspx Step:
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 226 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 227 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 228 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 229 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
get-adobject -fliter {cn -like 'Userdeleted'} -Includedeletedobjects | Restore-ADObject or get-adobject -fliter {displayname –eq “Sale02”} -Includedeletedobjects | Restore-ADObject
Lab39: Backup and Restore Active Directory อ้างอิง การสํารองข้อมูลระบบของ Domain Controller (Backing Up System State Data) โดยใช้ “Windows Server Backup Feature” http://mvpskill.com/blogs/kb/archive/2011/11/11/domain-controller-backing-up-system-state-data-windows-server-backupfeature.aspx การกูค้ นื ข้อมูลระบบของ Domain Controller (Restoring System State Data) โดยใช้ “Windows Server Backup Feature” http://mvpskill.com/blogs/kb/archive/2011/11/21/domain-controller-restoring-system-state-data-windows-server-backupfeature.aspx วิธกี าร Reset DSRM Password http://technet.microsoft.com/en-us/library/cc754363(WS.10).aspx 1. เพิม่ Harddisk เข้าไปในเครือ่ ง dc01 ให้เรียบร้อยก่อนนะครับ โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 230 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า 2. 3. 4. 5.
Active Directory Windows 2008R2 Step by Step
ถ้าจํา Password ไม่ได้ให้ทาํ การ Reset ไว้ก่อน Install Windows Server Backup Feature Create a Scheduled Backup Interactive Backup
Step:
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 231 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
หลังจาก Backup เรียบร้อยแล้วให้ทาํ การ Deleted OU ทิง้ ไปเพือ่ ทดสอบการ Restore
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 232 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
ทําการ Boot เข้าสู่ DSRM Mode (กด F8) หรือ bcdedit /set safeboot dsrepair bcdedit /set safeboot dsrepair
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 233 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
ทําการตัง้ ค่า Authoritative Restore Ntdsutil Activate instance ntds Authoritative restore Restore subtree “”ou=05_HR,dc=demo,DC=local” เปลีย่ นค่าคืนด้วย Bcdedit /deletevalue safeboot ทดสอบได้ 2 ครัง้ ระหว่าง DC1 ตัว หรือ DC 2 ตัว
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 234 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
Module 15: Managing Multiple Domains and Forests Lab40: Configure Name Resolution Between Forest Objective:
Lab37: Configure a Forest Trust Objective:
การทํา Trust เป็ นการอนุ ญาตให้ม ี User จากโดเมนอื่น ๆ หรือ Forest อื่น ๆ เข้ามาใช้งานทรัพยากรภายใน Domain ของเรา ตัวอย่างของการทํา Trust คือ 1. มีการควบรวมกิจการของ 2 บริษทั โดยทีม่ ี Forest ทีแ่ ตกต่างกัน และต้องการให้พนักงานทัง้ สองบริษทั สามารถเรียกใช้หรือ ั ่ เช่น เข้าถึงแชร์ไฟล์ หรือเข้าถึง Printer หรือ Object อื่น ๆ เข้าถึงทรัพยากรของแต่ละฝงได้ 2. องค์กรมี Partner เพิม่ ขึน้ และต้องการให้ Partner นัน้ ๆ เข้าถึงทรัพยากรของเราได้หรือกลับกันคือเราสามารถใช้ User ของ โดเมนเราไปเข้าถึงทรัยากรของ Partner ได้
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 235 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
การสืบทอดของ Trust แบ่งเป็ น Nontransitive กับ Transitive
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 236 of 237
เอกสารแจกฟรี ห้ามคัดลอก หรือนําไปจําหน่ายเพือ่ หวังผลทางการค้า
Active Directory Windows 2008R2 Step by Step
ทิศทางของ Trust และการจัดการ Trust Two-Way Trusted (Outgoing) = ให้คนอื่นเข้ามา Trusting (Incoming) Manual Trust External Trust Realm Trust Forest Trust Shortcut Trust = เอาไว้ปรับปรุงประสิทธิภาพของการ Authentication หากมี Forest และ Child domain ทีซ่ บั ซ้อน
โปรดตรวจสอบ Version ล่าสุดของเอกสารที่ http://www.mvpskill.com ก่อนนําไปใช้ งานจริง
Page 237 of 237
