GROUP POLICY

 

 

Group Policy

ติดตั้งActive directory ติดตั้งระบบad รับติดตั้งad

Introduce Group Policy Management

บน windows server 2008 r2 จะมีเครื่องมือในการจัดการ group policy object ทั้งหลายที่เรียกว่า group policy management ซึ่งเป็นเครื่องมือ GUI ที่จะทำให้เราจัดการ policy ในการใช้งานเครื่องคอมพิวเตอร์ได้เป็นจำนวนมาก ดังนั้น system admin ทั้งหลายควรจะมาทำความรู้จักกับเจ้าสิ่งนี้ก่อนว่ามันใช้งานอย่างไร

group policy management console (GPMC) เป็นเครื่องมือสำหรับควบคุมนโยบายการใช้งานของเครื่องคอมพิวเตอร์ที่อยู่ภายใน Domain Tree หรืออาจจะต่าง Domain กันก็ได้ โดยรูปแบบการใช้งานนั้นเราจะต้องสร้างนโยบายหรือข้อกำหนดขึ้นมาเสียก่อนเช่น ต้องการอนุญาตหรือไม่อนุญาตให้ทำสิ่งใด เกี่ยวกับอะไร แล้วจึงค่อยไปตั้งค่าคอนฟิกเพื่อกำหนดนโยบายนั้นขึ้นมา จากนั้นจึงทำการแจกจ่ายนโยบายนั้นเพื่อไปควบคุมเป้าหมาย

นโยบายหรือข้อกำหนดที่ว่านี้ เรียกว่า group policy object (GPO) ซึ่งจะมีการแบ่งแยกออกเป็นหมวดหมู่ตามการใช้งานในสไตล์ windows ซึ่งจะค่อนข้างมีรายละเอียดเยอะมาก ถึงมาก ๆ โดยเริ่มต้นจะมี GPO มาให้เรา 2 object คือ default domain controller policy และ default domain policy

ติดตั้งActive directory ติดตั้งระบบad รับติดตั้งad

จะเห็นว่า GPO ที่ชื่อว่า default domain controller policy จะถูกนำไปใช้กับ OU ที่ชื่อว่า domain controllers ซึ่งถ้าหากเราลองไปเปิด active directory users and computers ดูจะพบว่า มี computer object ที่เป็นชื่อเครื่องของ dc อยู่ภายใน OU นี้ ซึ่งหมายความว่าจะมีผลเฉพาะเครื่องคอมพิวเตอร์ที่อยู่ใน OU นี้เท่านั้น และ default domain policy จะถูกนำไปใช้ที่ระดับ domain บนสุดเลย ซึ่งจะหมายถึงมีผลกับ user ทั้งหมด

Desktop Background Wallpaper Policy

ถ้าคุณเป็นผู้ดูแลระบบให้กับ client จำนวนมาก คุณจะพบว่าแต่ละคนนั้นได้เปลี่ยน wallpaper บน desktop ของตนเองกันอย่างหรรษาเลย แต่บางทีในระดับผู้บริหารถ้ามาเจอเข้า ท่านอาจจะมองว่ามันดูไม่เป็นทางการซักเท่าไหร่ ดังนั้นการตั้งค่า desktop background wallpaper บน windows server ให้มีรูปภาพเหมือนกันจะดีกว่า

การเปลี่ยน background หรือ wallpaper บน desktop ของเครื่อง client นั้นเราสามารถเลือกต้นฉบับของรูปภาพได้ 2 ทาง คือ กำหนดให้ใช้ background หรือ wallpaper บนเครื่อง client เอง และ กำหนดให้ใช้รูปภาพจาก file Share

Logon Message Policy

ติดตั้งActive directory ติดตั้งระบบad รับติดตั้งad

policy นี้มีไว้สำหรับแสดงข้อความต้อนรับก่อนที่จะทำการ logon เข้าสู่ระบบ ซึ่งอาจจะไม่ได้เป็น policy ที่ควบคุมการใช้งานของ user มากนัก แต่ก็ถือว่าเป็นข้อมูลที่ไว้แจ้งให้กับผู้ใช้งานทราบถึงประกาศต่าง ๆ ได้เป็นอย่างดี หรือจะเอาไว้เป็นคำเตือนสำหรับการใช้งานก็ยังได้ จะมี 2 policy ที่สอดคล้องกัน คือ
แสดงข้อความต้อนรับ หรือบอกกล่าวให้กับผู้ใช้งาน โดยเราสามารถพิมพ์เป็นคำเตือนก่อนใช้งานก็ได้ ซึ่งแนะนำว่าข้อความเหล่านี้ ไม่ควรจะเป็นประโยคแนวเชิญชวน หรือต้อนรับ ควรจะเป็นคำเตือนการใช้งาน และบอกกล่าวถึงนโยบายความปลอดภัยมากกว่า เพราะหากมีคนหัวหมอมาแอบ logon เข้าสู่ระบบโดยไม่ได้รับอนุญาต แล้วมาเจอข้อความต้อนรับเข้า เค้าก็คงอ้างได้ว่าไม่มีคำเตือนหรือข้อห้าม เพื่อปฏิเสธความผิดก็เป็นได้

ตรงนี้เป็น title ก่อนที่จะแสดงข้อความต้อนรับ ซึ่งควรที่จะเป็นประโยคที่สั้น กระชับ หรือหัวข้อที่อ่านแล้วเข้าใจได้ง่าย ซึ่งหากคุณต้องการใช้งานเฉพาะกับเครื่อง client นั้น คุณไม่สามารถที่จะวาง GPO นี้ไว้ระดับ domain ได้ เพราะนั่นหมายถึง ทุกเครื่องรวมถึงเครื่อง domain controller ก็จะโดน GPO นี้ไปด้วย ดังนั้นคุณอาจต้องสร้าง OU สำหรับ computer client มาต่างหาก แล้วนำ computer object นั้นมาไว้ใน OU นี้ ซึ่งสามารถจัดการได้ผ่านทางเครื่องมือ active directory users and computers

windows firewall settings with group policy

group policy object สามารถควบคุม windows firewall ของเครื่อง windows client ได้ ซึ่งโดยปกติแล้วหากเรามีการใช้งานโปรแกรมบางประเภท หรือ tool บางอย่างที่ต้องมีการ exception firewall ไว้ที่เครื่อง client ผู้ดูแลระบบก็มักจะหน่ายกันแล้วว่า ต้องเดินไปตั้งค่า windows firewall บนเครื่อง windows client กันทั้งหมดเลยหรือ<

ยกตัวอย่างการ exception firewall ผ่าน group policy กันง่าย ๆ เช่น rule ที่ชื่อว่า file and printer sharing เพื่อทำให้สามารถติดต่อด้วย NetBIOS session ไปยังเครื่อง client ได้ ซึ่ง rule ตัวนี้มักจะเป็นพื้นฐานของการใช้งานร่วมกันใน network เลย และ tool บางตัวก็ยังต้องการให้ exception rule นี้ด้วยเช่นกัน เช่น การส่ง message ภายในวงแลน เป็นต้น, ตัวอย่าง GPO นี้ทำบน windows server 2008 r2 และเครื่อง client เป็น windows 7

windows firewall ติดตั้งระบบad รับติดตั้งad

 

 

 

บริการต่างๆเกี่ยวกับคอมพิวเตอร์ บริการติดตั้งระบบคอมพิวตอร์ วางระบบคอมพิวเตอร์ วางระะบบ sever ติดตั้งระบบ network รับติดตั้งระบบ active directory, network, file server, dhcp และอัพวอร์ชั่น active directory สนใจติดตั้งระบบหรือติดต่อสอบถามได้ที่ เบอร์โทรศัพท์ : 02-381-9073