หลัูกส advanced admnistrative windows server 2003 ตร · หลัูกส advanced...

หลักสูตร Advanced Admnistrative Windows Server 2003

หนาที่ 1

บทที่ 1 แนะนํา Active Directory ในบทนี้จะกลาวถึงสิ่งตางๆดังนี้

- ภาพรวม Active Directory - เขาใจเกี่ยวกับแนวคิด Active Directory - การวางแผนการออกแบบ Active Directory

1.1 ภาพรวม Active Directory ผูเรียนจะเขาใจสิ่งตางๆดังนี้

- เขาใจเกี่ยวกับ Directory Services - ทําไมตองมี Directory Services - Windows Server 2003 Directory Service - ออปเจคของ Active Directory - สวนประกอบ Active Directory - Catalog Services

เขาใจเกี่ยวกับ Directory Services วิวัฒนาการของ Directory Services Main Frame ราคาหลายรอยลาน > Mini Computer (RISC6000, Alpha) ราคาหลายสิบลาน > PC base เชน Novell Netware ตนทุกลดลง > Windows/Unix แนวความคิดโดเมน > Hierarchy ในมาตรฐานคือ Kerberos (MIT), LDAP (มาตรฐาน Unix), NDS: Netware Directory Services สําหรับ Microsoft ก็รอจังหวะจนป 1999 ไดผลิตผลิตภัณฑ Windows 2000 รองรับ Active Directory เริ่มจาก Main Frame สมุดรายช่ืออยูที่เดียว มีเครื่องทํางานที่เดียว แตภายในประกอบดวยสวนประมวลผลตางๆมากมาย เครื่องลูกขาย Terminal Novell Netware ในเวอรช่ัน 2.x>3.x มีการบริหารงานเปนแบบ Binary เครื่อง Server แยกฐานขอมูลจากกัน UNIX เดิมยังมีการแยกฐานขอมูลรายช่ือจากกัน การนําเครื่อง Server จํานวนมากมาใชรายช่ือรวมกัน นี่คือโดเมน Centralize Dir. > Separate Dir. > Group Dir. > Group & Hierarchy dir. > Single Sign on (SSN) RADIUS, LDAP สามารถพัฒนาเปน Single sign on Directory เปนที่เก็บขอมูลของออปเจค ตัวอยางเชน e-mail address book ที่เก็บของ User หรือที่อยูกับผูติดตอทาง e-mail



ในระบบ Directory Services มีกลไกการกระจาย ในเครือขายสาธารณะ เชนอินเตอรเน็ต, ซึ่งมีหลายออปเจคที่เก็บใน Directory เชน File Servers, Printers, Fax Server, Application, Databases, และ Users ผูใชสามารถที่หาตําแหนง และเรียกใชออปเจคได สวน Administrators สามารถที่จะจัดการออปเจคตางๆที่เก็บไวที่สวนกลาง Directory service เหมือนสวิตชบอรดหลักของ Network Operating System ซึ่งเก็บการรับผิดชอบไวที่สวนกลาง และมีตัวแทน (Master Server) กระจายความสัมพันธระหวางทรัพยากรตางๆ ซึ่งอนุญาตใหทํางานรวมกัน ทําไมตองมี Directory Services

Directory service รองรับการจัดการที่งาย และมีโครงสรางของการเขาใชทรัพยากรในระบบเครือขายคอมพิวเตอร ผูใช และผูบริหารระบบที่ไมรูคุณลักษณะที่แทจริงของออปเจค แตสามารถที่คนหาไดโดยกําหนดคุณสมบัติบางอยางในการคนหา เชนหาออปเจคที่เปนเครื่องพิมพที่ต้ังอยูที่ช้ัน 3 LDAP ทําไมจึงไมคอยมีผูนําเขาไปใชกันมาก เนื่องจากตองอาศัยทักษะของทีมงานคอนขางจะสูง คือตองพัฒนา attributes เอง เชนตองเก็บรหัสเอง หรือขอมูลบางอยาง บางทีอาจจะมีผลิตภัณฑอื่นแตตองใชหลายตัว ทําใหผูใชไมสะดวก NDS (Novell Directory Service) สิ่งที่บกพรองในเวอรช่ันแรกคือ หนึ่งผูใชถามวาทําไมตองใส Context คําตอบ เพื่อระบุตําแหนงของออปเจคที่อยู Partition นั้นๆ ผูใชไมตองการรูวาออปเจคตัวเองอยูที่ไหนแคใสช่ือล็อกออนไดก็เพียงพอแลว



สอง Netware ไมมีแอพพลิเคชั่นรองรับความยากของ Hierarchy นําขอดีของ Hierarchy นอกเหนือจากการระบุตําแหนงควบคุมได Active Directory สามารถแกปญหาของทั้ง LDAP และ Netware ไดจึงไดรับความนิยมในทองตลาด

1. Microsoft ใชแนวคิดที่เรียกวา Global Catalog มาใช 2. Microsoft ใช Group Policy มาบอกวาทําไมตองเปน Hierachy

Windows Server 2003 Directory Service เปนระบบบัญชีรายช่ือที่เรียกวา Active Directory ซึ่งเก็บขอมูลตางๆของทรัพยากร ซึ่งสามารถเรียกใช และรองรับใน Windows 2000 ดวย

ภาพแสดงแนวคิดเกี่ยวกับ NT domain จะพบวาเครื่องหน่ึงโดเมนอาจจะมีหลาย Server ที่รองรับฐานขอมูล เครื่องที่ไดรับฐานขอมูลจากเครื่องหลัก (PDC) จะเรียกวา Backup Domain Controller ผูใชสามารถล็อกออนจากเครื่องไหนก็ได ปญหาอยูทีวาถาองคกรตองมีหลายโดเมนจะเปนอยางไร? ผูออกแบบตองระบุการ Trust กัน

Logon

ระบุช่ือ และรหัสผาน

Authentication

PDC BDCMember server

Local SAMทุกๆ 2 นาที หรือบังคับซิงค



ภาพของการ Trust ใน Windows NT domain ผูใชสามารถที่เลือกล็อกออนในโดเมน Domain1 หรือ Domain2 ได แตในชองล็อกออนถาเขาระบุโดเมนระบบจะตรวจสอบ PDC ใน Domain1 กอนเมื่อไมพบจึงไปตรวจสอบในโดเมนสอง จะเสียเวลา และ PDC Domain1 และ Domain2 หามเดี้ยง ถาเดี้ยงการทรัสตสองโดเมนตรวจสอบไมได ทําใหระบบงานใหญไปใชกับองคกรจริงๆได ปญหาของ Windows NT Domain

1. หนึ่งโดเมนรองรับไดเพียง 40,000 เรคคอรด ประกอบดวย Group กับ user 2. ถาเกิน 40,000 เรคคอรดตองแยกโดเมน 3. ล็อกออนชาเนื่องจากถา User อยูตางโดเมนจะตองตรวจสอบทีละโดเมน เชนมี 4 โดเมนล็อกออนผูใชใน

Domain4 แตระบุช่ือโดเมนวา Domain1 ระบบจะคอยตรวจสอบทีละโดเมน 4. ไมสามารถสราง Container ในการจัดเก็บรายชื่อผูใชได คือออปเจคทั้งหมดตองดูในระดับ Flat

ในระบบปฏิบัติการที่รองรับ Active Directory แกปญหาตางๆเหลานี้เรียบรอยแลว ฟเจอร Active Directory ของ Windows Server 2003 ที่มีความสามารถเพิ่มขึ้นจาก Windows NT Domain เดิม

• การจัดเก็บสวนกลาง

• รองรับองคกรขนาดเล็ก ถึงขนาดใหญ

PD PD

Member

domain1 domain2

Use

เห็นทั้งสองโดเมน แตผูใชจะเสียเวลาในการดําเนินการระหวางติดตอ



• มีโครงสรางที่เพิ่มเติมได

• จัดการไดเปนลําดับช้ัน

• รองรับการทํางานกับ Domain Name System (DNS)

• รองรับการจัดการจากเครื่องลูกขาย

• บริหารงานผาน Policy-based

• มีการเรพพลิเคตขอมูล

• ยืดหยุน, การรับรอง และการอนุญาตอยางปลอดภัย (ควบคุมไดทั้ง Users, Cotainers, Groups, Computers)

• การใชงานรวมกับความปลอดภัย เราสามารถควบคุม Permissions ตางๆในการเขาบริหารงานไดจากโครงสรางของ OU นั่นเอง

• รองรับแอพพลิเคชั่นกับ Directory และโครงสราง Directory

• ใชงานรวมกับ Directory Services ระบบอื่นๆไดอยางดี เชน LDAP, SMTP และอื่นๆ

• รองรับลายช่ืออิเล็กทรอนิกส และการเขารหัสของ LDAP ออปเจคของ Active Directory ขอมูลถูกเก็บใน Active Directory เชน Users, Printers, Servers, Databases, Groups, Computers, และ Security Policies ซึ่งมีการจัดการโครงสราง ที่ออปเจคแตละแบบมีคุณสมบัติที่แตกตางกัน (Active Directory Schema)

ภาพดานแสดงถึงออปเจคตางๆมีคุณสมบัติที่แตกตางกัน แตพบวา Jane doe อาจจะล็อกออนบนเครื่อง Comp3 หมายถึงเราถูกควบคุมทั้งคอมพิวเตอร และผูใช โดยดีฟอลทเครื่องคอมพิวเตอรตางๆจะอยูในโฟลเดอร Computers ถาไมมีการยายจะถูกควบคุมในระดับโดเมนเทานั้น แตถามีการยายเครื่องไปไวในที่ OU ที่ถูกควบคุมก็จะมีผลตามตําแหนงของ OU ที่ไปอยู ออปเจคที่เปนที่จัดเก็บเรียกวา Organizational Unit (OU) สวนออปเจคอื่นๆก็จะเก็บในที่จัดเก็บ หรือโฟลเดอร



Active Directory Schema ประกอบดวย Schema classes กับ Schema attribute Schema Class เปนกลุมของ Schema attribute ตางๆสรางเปนออปเจคขึ้น Schema attribute เปนคุณสมบัติของออปเจคในแตละอยาง ซึ่งในคุณสมบัตินี้อาจอยูในหลายออปเจคได ซึ่งทั้ง Schema classes และ Schema attributes นี้รวมเรียกวา Schema objects หรือ Metadata

ภาพนี้แสดงความเขาถึง Schema ทั้งสองแบบ ใน Active Directory อาจจะมี Attributes มากกวา 1000 รายการ แตผูใชอาจจะนํา Attributes สรางเปน User-class เพียงแค 128 รายการ และบาง Attributes ออปเจคอาจจะนําไปใชไดเชน Description, Common name, X.500 OID แตบาง Attributes ออปเจคอื่นอาจจะไมใชก็ได เชน First name เครื่องคอมพิวเตอรไมใช สวนประกอบ Active Directory เปนสวนประกอบใหเกิดโครงสรางรายชื่อ ซึ่งตรงกับความตองการองคกร โดยสวนประกอบ แบงโครงสรางการออกแบบเปนLogical Structure กับ Physical Structure Logical Structure



ภาพแสดงถึงการออกแบบ Logical มีอยูสองระดับคือระดับโดเมน ใชสัญญลักษณแทนดวยสามเหลี่ยม

- Single Domain คือมีเพียงหนึ่งโดเมน - Single Domain Tree มีโดเมนแม และโดเมนลูก - Multiple domain tree, Single Forest มีโดเมนแมมากกวาหนึ่งโดเมน - Multiple Forest คือหนึ่งโดเมน หลายๆโดเมนมาทําการ Trust กัน

รูปแสดงการออกแบบโดเมนทั้ง 4 แบบของ Active Directory พบวาแบงที่ 1-3 เปน Single Forest ทั้งหมด ยกเวนแบบที่ 4 เปน Multiple Forest รูปนี้เปน Multiple domaintree, Single Forest ระดับภายในโดเมน โครงสรางจัดโดย OU ดังรูปที่เห็น Logical Structure เปนการออกแบบตามหลักการณที่ตองการในการจัดใหสอดคลองกับโครงสรางองคกร ใหเขาใช หรือจัดกลุมการเขาใชไดงาย แบงการออกแบบเปน



- Domains เปนโครงสราง Logical ที่กําหนดกลุมขึ้นมาเพื่อใหสื่อสารในเครือขาย โดยภายในจะประกอบดวยเครื่องที่ดูแลโดเมนเรียกวา Domain Controller และเปนการเก็บขอมูล และควบคุมการเขาใชทรัพยากรในขอบเขตที่กําหนดเรียกวา Access Control List (ACLs) ซึ่งถูกออกแบบมาใน Windows NT Domain จน Windows 2000 และ Windows Server 2003 ซึ่งโหมดของโดเมนแบงเปน 4 โหมด คือ Windows 2000 (mixed), Windows 2000 native, Windows Server 2003 Interim, และ Windows 2003

Windows 2000 (Mixed) เปนคาดีฟอลทที่กําหนด ซึ่งสามารถทํางานรวมกับ Windows NT Domain, Windows 2000, หรือตระกูล Windows Server 2003 ไดในโดเมนเดียวกัน

Windows 2000 Native เปนการทํางานรวมกันระหวาง Windows 2000 กับ Windows Server 2003

Windows Server 2003 Interim เปนการทํางานรวมกับ Windows NT หรือ Windows Server 2003

Windows Server 2003 เปนบทบาทที่เครื่อง Domain controller ทํางานเฉพาะตระกูล Windows Server 2003

NT Server 2000 Server 2003 Server

2000 Server 2003 Server

NT Server 2003 Server

2000 Server 2003 Server



- OUs เปนหนวยเก็บยอยในโดเมนที่สามารถบรรจุออปเจค และใชในการจัดโครงสรางออปเจค หรือแบงแผนกได รวมถึงการมอบหมายงานในการบริหารในแตละที่บรรจุที่กําหนดไว ใหเปนลําดับช้ัน

- Trees เปนกลุม หรือลําดับช้ันของโดเมนใน Windows Server 2003 โดยทั้งหมดจะมีโครงสรางตอเนื่องใน

ช่ือที่กําหนดเดียวกัน - Forests เปนกลุมลําดับช้ันที่ใชจัดแบง ช่ือที่กําหนด หรือ Domain trees ออกจากัน โดยมีคุณลักษณะดังนี้

o ทุกโดเมนใน Forest แชร Schema รวมกัน (มี Attributes เหมือนกัน และเทากัน) o ทุกโดเมนใน Forest แชร Global Catalog กัน o ทุกโดเมนใน Forest มีการทรัสตแบบ Implicit two-way transitive o ทรีในฟอเรสตจะมีโครงสรางชื่อที่แตกตางกัน เชน Nectec.com, Nectec.or.th อยูในฟอเรสต

เดียวกันได o โดเมนในฟอเรสตจะทํางานอิสระจากกัน แตจะมีการสื่อสารขามกันไดในองคกรโดยอัตโนมัติ

ภาพแสดงถึงรูปแบบ Single Forest ในการแยก Domain Tree จากกัน คําอธิบาย เครื่องที่อยูในโดเมนใดๆสามารถล็อกออนดวยผูใชในโดเมนใดๆนี้ได อาศัย Global Catalog เดียวกัน Physical Structure



เปนการออกแบบ Active Directory โดยพิจารณาดานกายภาพ การเชื่อมตอจริง ซึ่งจะแบงการออกแบบตาม Site และ Domain Controller

- Sites เปนสวนประกอบของเครือขายที่แบงตาม IP Subnet ซึ่งการติดตอระหวางไซตจะตองมีความนาเชื่อถือ และการทํางานที่มีความเร็วที่สูง และดี ซึ่งความเร็วสูงที่กลาวคือ 512 Kbps (Intrasite) ซึ่งถาความเร็ว 128 Kbps ก็เพียงพอในการติดตอไซตเชนกัน โดยไซตนี้จะไมพิจารณาตามชื่อโดเมน จะพิจารณาตามภูมิประเทศ และเครือขาย

ภาพนี้แสดงไซตกับโดเมน คําอธิบาย รูปแรกคือ Single Site (Physical Structure กับ Single Domain (logical Structure)



รูปที่สองคือ Single Domain แต Multiple Site ใชในกรณีที่หนึ่งโดเมน แตความเร็วติดตอระหวางเครื่องDomain controller ตํ่ากวา 128 kbps รูปที่สามคือ Singel Site แต Multiple Domain ในโดเมนทั้งสองจะตองมีความเร็วสูงกวา 512 Kbps

- Domain Controllers เปนเครื่องคอมพิวเตอรที่ทํางานบน Windows Server 2003 มีการจัดเก็บฐานขอมูลของโดเมน ซึ่งในแตละเครื่องมีกลไกในการเรพพลิเคต และมีความสามารถในการรองรับการทํางานในโดเมนได ซึ่งทุกโดเมนจะตองมีเครื่อง Domain Controller อยางนอยหน่ึงเครื่อง สิ่งตางๆของ Domain Controller มีดังนี้

o ทุก Domain Controller จะเก็บขอมูลอยางสมบูรณในโดเมนหนึ่งๆของ Active Directory Information

o Domain controller จะมีการเรพพลิเคตขอมูลถึงกันและกันโดยอัตโนมัติ (ทั้งหมดจะเหมือนกันถาเปน Domain Controller ในโดเมนเดียวกัน)

o Domain Controller จะมีการเรพพลิเคตขอมูลทันทีถาเปนขอมูลสําคัญ เชนการ Disable ผูใช o Active Directory ใชการเรพพลิเคตเปนแบบ Multimaster คือไมมีเครื่อง Domain controllers ใด

เปน Master เราสามารถที่สรางผูใช หรือออปเจคใหมไดในเครื่อง Domain controller ใดๆ o แมวา Active Directory จะรองรับ Multimaster แตจะมีการกําหนดบทบาทของเครื่อง Domain

controller ที่เปน Operation master roles ที่ทําหนาที่เฉพาะในบทบาทบางอยาง o Domain controllers มีการตรวจสอบการชนกันขอมูล ซึ่งถาพบวาขอมูลที่อัพเดตมีการสงจากแหลง

ที่แกไขสองแหงจะมีการปรับเปลี่ยนเพิ่มหมายเลขเวอรชัน o ถามี Domain controller มากกวาสองเครื่องจะรองรับ Fault tolerant o Domain controllers จัดการขอมูลของผูใชไดทันที เชน การหาตําแหนงที่เก็บออปเจค และการ

ตรวจสอบผูใชที่ล็อกออน

Catalog Services มีความเกี่ยวของทั้งใน Logical Structure กับ Physical Structure การที่ไมโครซอฟตออกแบบ Global Catalog เพื่อทําใหผูใชล็อกออนไดงาย ไมตองระบุตําแหนงของ Partition ที่อยู แต Global Catalog จะทําการคนหา และสรางรายชื่อที่ไมแม็บกับออปเจคตามที่ตางๆ

• หนาที่ของ Global Catalog

– รองรับผูใชที่ล็อกออนเขาเครือขายในสมาชิกของ Universal

– รองรับการคนหาขอมูลโดยไมคํานึงถึงโดเมน

• กระบวนการคนหา ตัวอยางเปรียบเทียบเชน



พนักงานตองการเขาไปใช Server ที่ตนเองอยูไมตองระบุโดเมน\OUs\ช่ือที่ใช บอกเพียงแคช่ือล็อกออนใหกับผูตรวจสอบเทานั้น ผูตรวจสอบจะมีสมุดรายช่ือของบุคคลๆตางๆเรียงตามช่ือที่ล็อกออน แลวไปแม็บกับตําแหนงออปเจคที่อยู และเครื่อง Server ที่บุคคลนั้นเปนสมาชิกอยู ทําใหผูใชใชงานไดงาย

ภาพแสดงถึงการทํางานของ Global Catalog

คําอธิบาย

– ตรวจสอบจาก DNS เพื่อหา Global Catalog

– DNS สงกลับเปน IP Address และระบุเครื่อง Domain Controller ที่ผูใชตองการล็อกออน

– ลูกขายคนหาโดยใชหมายเลข IP Address ที่ไดรับที่ Port 3269 บน Domain Controller และ Active Directory จะสงคําคนที่พอรต 389 (LDAP Port)

– Global catalog server จะทําการคนหา และสงขอมูลที่เก็บใหกับผูใช ถาองคกรมีการตั้ง Global Catalog มากกวาหนึ่งเครื่อง ระบบจะทําการแลกเปลี่ยนรายชื่อใหเอง แตทั้งหมดตองอยูใน Forest เดียวกัน ดังนั้นองคกรมีรายช่ือทั้งหมด 500 ในโดเมนที่ 1 และ 500 ในโดเมนที่ 2 เครื่องที่เปน Global Catalog ในองคกรก็จะมีออปเจคตางๆทั้งหมด 1000 ออปเจค เครื่องที่เปน Global Catalog ตองเปนเครื่อง Domain Controller เทานั้น



1.2 เขาใจเกี่ยวกับแนวคิด Active Directory ผูเรียนจะเขาใจสิ่งตางๆดังนี้

- Replication - Trust Relationships - การบริหารงาน และการจัดการ - Group Policies - DNS - งานบริหาร Active Directory

Replication เปนสิ่งที่สําคัญเนื่องจากระบบการสรางออปเจคตางๆของเรากระจายไปที่ใดก็ได การที่ระบบจะอัพเดตไดตองอาศัยการ Replicate Replicate คือการกอปปขอมูลระหวางเครื่องสองเครื่อง ไมเหมือนการซิงโครไนสเนื่องจากมันอาจจะกอปปจากซายไปทับขวาอยางเดียวก็ได ถาซิงโครไนสคือการทําใหออปเจคเทากันทั้งสองฝาย

• ขอมูลอะไรที่เรพพลิเคชั่น

– Schema Partition เปนสวนที่เก็บคุณสมบัติออปเจค และขอมูลจะเหมือนกันทั้งโดเมน (หน่ึงฟอเรสต Schema จะเหมือนกันหมด)

– Configuration Partition เปนที่เก็บโครงสราง logical ของโดเมนหรือ Replication topology ซึ่งทุกโดเมนในฟอเรสตเหมือนกัน และถูกสงไปยังทุก Domain controller ใน Forest

– Domain Partition เปนการระบุการแบงขอมูลออปเจค ที่ไมมีการ replicated ไปยังโดเมนเอนๆ จะมีขอมูลเรพพลิเคตเฉพาะในโดเมน ทุก Domain controllers

– Application Directory Partition เปนสวนที่แอพพลิเคชั่นที่มีระบุขอมูลใน Active Directory ซึ่งจะไมกวนประสิทธิภาพระบบ โดยมีการจัดเก็บชนิดออปเจค ยกเวน Security principals (Users, Groups, และ Computer)

• ขอมูลถูกเรพพลิเคตอยางไร

– Intrasite Replication

– Intersite Replication Intrasite Replication ใน Windows Server 2003 มีบริการที่เรียกวา Knowledge consistency Checker (KCC) ที่สรางโทโปโลยี่ในการเรพพลิเคต ซึ่งเปนการสรางระหวางที่มีการเรพพลิเคตในกลุมเครื่อง Domain Controller ซึ่งจะมีการรับขอมูลในการอัพเดต มีการแตงต้ัง และเก็บประวัติที่มีการสง ซึ่ง Domain controllers หนึ่งสามารถมีคูที่เรพพลิเคตไดมากกวาหนึ่ง การจัดโครงสรางเปนรูปแบบวงดังรูป



ในการสรางกลไกการเรพพลิเคตของเครื่อง Domain controllers จะกําหนดไมเกิน 3 การกระโดด ระหวางที่มีการเช่ือมตอออปเจคใน KCC ระบบจะเปนผูกําหนดใหโดยสรางตารางการติดตอทั้งหมด และถาเสนทางไหนเกิน 3 ฮอบก็ต้ังทิ้ง



InterSite Replication เปนการเรพพลิเคตขอมูลระหวางไซต ซึ่งมีการเชื่อมตอ โดยจะมีหนึ่ง KCC ตอหนึ่งไซต รองรับการกําหนด Transport, Cost of a site link, times และดูลิงคที่ใชวางหรือไม KCC เราเปนผูกําหนดเองจะกี่ฮอบก็ได แตจํานวนฮอบยิ่งเยอะยิ่งเรพพลิเคตชา

Trust Relationships เปนการเช่ือมตอโดเมนระหวางสองโดเมน ซึ่งในตระกูล Windows Server 2003 รองรับโปรโตคอลในการทรัสตสองแบบคือ Kerberos version 5.0 หรือ NT LAN Manager (NTLM)

ภาพนี้แสดงการทรัสตแบบ One-way trust คําอธิบาย การทรัสตจะทําไดก็ตอเมื่องมีโดเมนที่ทําทรัสต (Trusting) กับโดเมนที่ถูกทรัสต (Trusted) Trusting คือโดเมนที่มีทรัพยากร และยินดีที่ใหโดเมนเปาหมายเขามาใชงาน



Trusted คือโดเมนที่มีผูใชตองการใชงานในทรัพยากรของโดเมนที่ทําทรัสต การทรัสตมีคุณลักษณะดังนี้

- วิธีการสราง ดวยมือ หรืออัตโนมัติ (ที่เกิดจากผลการทรัสตระหวางโดเมน) - การสงผาน (Transitivity) ซึ่งจะเปนการสรางความสัมพันธระหวางโดเมนหนึ่ง กับอีกโดเมนหนึ่ง แตโดเมน

ที่ถูกสัมพันธจะไดรับการทรัสตดวย - ทิศทาง เปนการกําหนดวาเปนทิศทางเดียว หรือสองทิศทาง

การทําทรัสตทิศทางเดียวคือโดเมนที่ทําทรัสตสามารถใหโดเมนอื่นเขามาใชงานทรัพยากรได แตเราไปใชของโดเมนอื่นๆไมได

• รูปแบบของ Windows Server 2003 – การเชื่อมตอใน Tree เปนการทรัสตระหวางรูทของโดเมนในฟอเรสตเดียวกัน – การทรัสตใน Parent-Child เปนการทรัสตที่มี Parent และ Child โดยโดเมนลูกจะมีช่ือตอจากโดเมนแม เชน

Microsoft.com เปน UK.microsoft.com

ภาพแสงดถึงการทรัสตกันระหวาง Domain Tree กับ Parent-Child เราสามารถที่ประกาศโครงสรางเปนโดเมนใหมในฟอเรสตเดิม ซึ่งโดยดีฟอลทจะเปน Two-way Transitive Trust เราสามารถที่ใหโดเมนลูกของเราไปใชงานในตาง Domain tree รวมถึงลูกของโดเมนทรีดังกลาวดวย ในโดเมนลูกเราก็จะเปน Two-way Transitive Trust เหมือนกัน เทคนิคตางๆเหลานี้ใชคําสั่ง dcpromo และกําหนดตามขั้นตอนของวิซารด

– Shortcut trust เปนการทรัสตที่กําหนดเองโดยผูบริหารระบบ เพื่อเพิ่มประสิทธิภาพระหวางโดเมนในฟอเรสต เพื่อลดทิศทางระหวางโครงสรางทรี หรือฟอเรสต สามารถกําหนดไดหนึ่ง หรือสองทิศทาง

– External trust เปนการกําหนดทรัสตโดยผูบริหารระบบ ใน Windows Server 2003 Domain ที่ตางฟอเรสตกัน หรือกับ Domain ใน Windows NT Server 4.0 หรือสูงกวา โดยทั้งหมดจะแยกจากฟอเรสตกัน ไมสามารถที่



เช่ือมตอฟอเรสตกันได ไมเปน Transitive และสามารถกําหนดหนึ่ง หรือสองทิศทางได – Forest trust เปนการกําหนดดวยผูบริหารระบบที่ทําระหวางสองฟอเรสตของรูท ซึ่งทุกโดเมนในหนึ่งฟอเรสต

สามารถที่ทรัสตกับอีกฟอเรสตได เปนสิ่งที่ทําไดในเฉพาะ Windows Server 2003 ที่กําหนดโหมดโดเมนเปน Windows Server 2003 functional level

– Realm trust เปนการทรัสตกับ non-Windows Kerberos realm กับ Windows Server 2003 domain ซึ่งทําใหสามารถใชงานรวมกันไดใน Kerberos version 5 ไมเปน Transitive และทําไดในหนึ่ง หรือสองทิศทาง

การบริหารงาน และการจัดการ

- การบริหารงานขอมูลผูใช - การติดต้ังซอฟตแวร และการบํารุงรักษา - การจัดการคาติดตั้งผูใช - การจัดการคาติดตั้งเครื่องคอมพิวเตอร - บริการ Remote Installation

Group Policies เปนการเก็บคาติดต้ังของ User และ Computer ที่สามารถลิงคกับ Computers, Sites, Domains, และ OUs การสรางกําหนดคาติดต้ังจะสรางเปน Group Policy Objects (GPOs) ซึ่งในทุกๆ Windows Server 2003 จะมีหนึ่ง Local GPO (ตรวจสอบโดยพิมพ gpedit.msc ใน Run) และมีการกําหนดใน Active Directory-based หรือที่เรียกวา Non-local GPO

• GPOs กําหนดอยางไร

– Local GPO เปนคาที่มีอยูในเครื่อง Windows 2000/XP/2003

– GPOs linked to sites เปนการกําหนดใหสงผลในเฉพาะไซตนั้นๆ

– GPOs linked to domains

– GPOs linked to OUs



ภาพนี้แสดงถึงโครงสราง GPO ใน Site/Domain/OU ไมไดแสดงใน Local GPO คําอธิบาย GPO มีการถายทอดมรดก (Inheritant) โดยพิจารณาที่ Site > Domain > OU > Local GPO (ถามี Site, Domain, OU กําหนดอยูจะถูกสั่งใหดําเนินตาม GPO ของ Site/Domain/OU) ทุกเครื่องที่อยูในโดเมน Microsoft.com จะได GPO ที่ไซตคือ A3, ที่โดเมนคือ A1 กับ A2 เครื่อง หรือผูใชที่อยู ServerOU จะได A3, A1, A2, A4 (จาก Resources OU), A6 ไดจาก OU ของ Server เครื่อง หรือผูใชที่อยูใน Marketing จะได A3, A1, A2, A5 (จาก Marketing OU GPO)

• การใช Resultant set of Policy (RSoP) Wizard เปนเครื่องมือที่ทําการวางระบบ และแกปญหา ซึ่งการกําหนดมีสองโหมดคือ Logging กับ Planning ซึ่งคานี้จะดึง Policies ที่มีมาตรวจสอบ และรายงานผลที่ได DNS เปนระบบการแกปญหาชื่อจากหมายเลข IP Address ซึ่งทําใหงายตอการเรียกใช และสามารถปรับเปลี่ยนหมายเลขไดโดยผูใชงานไมไดรับผลกระทบ ซึ่งเปนมาตรฐานที่นิยมใชในเครือขายอินเตอรเน็ต คุณลักษณะของ DNS มีดังนี้

- เปนบริการหนึ่งในมาตรฐาน TCP/IP - Active Directory ใชเปนระบบการหาชื่อใน Domain



- ช่ือ DNS งายตอการจํามากกวา IP Address - ช่ือ DNS คงที่กวาหมายเลข IP Address - DNS อนุญาตใหตอเช่ือมที่ Local servers เหมือนกับระบบ Internet

ชื่อของออปเจค Active Directory รองรับในบริการรายชื่อกับมาตรฐาน LDAP ซึ่งสามารถที่คนหา LDAP จาก Active Directory Database ไดซึ่งการกําหนดชื่อมีสิ่งที่ควรทราบดังนี้

– Distinguished Name (DN) เปนช่ือที่กําหนดไมซ้ํากันในออปเจค เชน Scott Cooper ทํางานที่โดเมน Microsoft.com จะมี DN เปน CN=Scott Cooper, OU=Promotions, OU=Marketing, DC=Microsoft, DC=Com

– Relative Distinguished Name (RDN) เปนการคนหาคุณสมบัติที่กําหนดซึ่งผูใชไมแนใจใน DN ที่คนหา เรียกวา RDN เชนเราคนหา Scott จาก OU=Promotions เปนตน

– Globally Unique Identifier (GUID) เปนเลขฐาน 16 ทั้งหมด 128 บิต ซึ่งรับประกันการไมซ้ํากันของชื่อโดย GUID จะไมเปลี่ยน ใน Windows NT มีระบบการใชเชน Security Identifier (SID) ซึ่งเปนการรับประกันในโดเมน แต GUID รับประกันในทุกโดเมน เมื่อมีการยายขามโดเมนหนึ่งไปยังอีกโดเมนหนึ่ง

– User Principle Name (UPN) เปนการตั้งช่ือใหงายตอการใชงาน เชน [email protected] งานบริหารงาน Active Directory หัวขอการบริหารงาน งานที่ทํา

• การวางแผนออกแบบโครงสราง Active directory

วางแผนใน Logical กับ Physical Logical รูเรื่อง 4 รูปแบบของโดเมน และ OU Physical การออกแบบ Replication

• การติดต้ัง Active directory

การใชคําสั่งติดตั้ง หรือประกาศเครื่องเปน Domain Controller

• การบริหารงาน Active Directory

รูจักเครื่องมือในการบริหารงานActive Directory ประกอบดวย Active Directory Users and Computers, Active Directory Domains and Trusts, Active Directory Sites and Services เปนตน

• การติดต้ัง และการจัดการ Domains, Trees, Forests

การออกแบบโครงสราง Domain และการวางระบบ Domain controller

• การกําหนดคาไซต และการจัดการเรพพลิเคต

การวางตําแหนงเครื่องที่เปนผูเรพพลิเคต (Master) และมีการทํา Trust Relationship รวมถึง Global Catalog

• การวางระบบโครงสราง OU การสราง OU และการกําหนด โครงสราง OU

• การบริหารงาน User และ Group คือการสราง และจัดการ User Profiles, Home directory และบริหารรายละเอียดใน User



ในกรณีของ Group ตองเขาใจ Global, Domain Local, Local, Universal

• การบริหารงาน Active Directory object ออปเจคตางๆที่ Active Directory รองรับนอกเหนือจาก Users, Groups, OU เชน Contacts, Computers, Shared folders, Printers เปนตน

• การวางระบบ Group Policy มีความเขาใจใน GPO ตําแหนง Local, Site, Domain, OU

• การบริหารงาน Group Policy การวางแผน และการกําหนดสั่งงานใหกับเครื่อง หรือผูใชใน Active Directory

• การกระจายซอฟตแวรดวย Group Policy ติดต้ังซอฟตแวรไดอยางที่ตองการในเครื่องที่เปนสมาชิกของ Active Directory

• การบริหารงาน Active Directory ใหมีความปลอดภัย

คือการควบคุม Permissions ของบุคคลที่กําหนดคาออปเจคในระดับตางๆ รวมถึงการตรวจสอบล็อกไฟลที่บันทึกในกิจกรรมตางๆ

• การจัดการประสิทธิภาพของ Active Directory

การใชเครื่องมือ Active Directory Performance เพื่อตรวจสอบ และแกปญหาของการใชงานใน AD



1.3 การวางแผนการออกแบบ Active Directory ผูเรียนจะเขาใจสิ่งตางๆดังนี้

• อะไรคือการออกแบบโครงสราง Active Directory

• เครื่องมือในการออกแบบ

• กระบวนการออกแบบ อะไรคือการออกแบบโครงสราง Active Directory

- การวางแผนสรางโครงสรางใหตรงกับความตองการองคกร - ขอมูลตองสามารถใชไดทั้ง Administrators และ Users - มีการทดสอบกอนที่จะใชงานจริง - ออกแบบโดยพิจารณาคาใชจาย และลดเวลาในการทํางาน

เคร่ืองมือในการออกแบบ ตองกําหนดใหสอดคลองกับ

- ทีมที่ออกแบบ - วิเคราะหดานธุรกิจ และดานเทคนิค - ทดสอบสภาวะแวดลอม

การจัดต้ังทีมงานในการออกแบบ ทีมงานตองมีความเขาใจเกี่ยวกับ Active Directory และมั่นใจวาผูออกแบบสามารถดําเนินงานใหสอดคลองกับความตองการขององคกร โดยผูออกแบบ และดําเนินการอาจจะมีหลายคน หรือหลายระดับดังนี้

- ผูออกแบบ Infrastructure เปนบุคคลสําคัญมีผลตอการทํางาน - ทีมนําเสนอผลงาน นําโครงสรางจากการออกแบบมาถายทอดใหกับผูทํางานไดทราบ - ตัวแทนที่แจงใหกับระดับบริหาร เปนบุคคลที่รับผิดชอบตอการตัดสินใจในโครงสรงองคกร

เริ่มออกแบบตอง วิเคราะหความตองการพื้นฐานของธุรกิจ กับความตองการดานเทคนิค ตัวอยางเชน

- ดูจํานวนของ IT - ตรวจสอบโครงสรางเครือขาย - พิจารณาผลิตภัณฑที่จะใช - มีการวางโครง DNS วาจะใชของ NT/2000/2003 หรือ UNIX - จัดเตรียมเอกสารสําหรับการดําเนินงาน

วางระบบ



ตรงนี้ตองมีการจําลองระบบทดสอบกอนที่จะมีการใชงานจริง เพราะบางครั้งเมื่อดําเนินการไปแลว ปรับเปลี่ยนไดยาก หรือถาทําในระบบใชงานจริงอาจจะกอปญหาได กระบวนการออกแบบ

- วางแผนสราง Forest - วางแผนสราง Domain - วางแผนสราง OU - วางแผนสราง Site topology

ขั้นที่ 1 วางแผนสราง Forest - Network Administration ตองแบงกลุมกัน - หนวยธุรกิจจะตองแยกกันอยางอิสระ - หนวยธุรกิจตองการที่บาํรุงรักษากันเอง - มีการแยก Schema, ที่เก็บคา Configuration, และ Global Catalog - ตองการจํากัดคา Trust relationship ระหวางโดเมน และโดเมนทรี

ที่กลาวมาทั้งหมดเปนปจจัยในการแยกฟอเรสต ถาไมมีเงื่อนไขที่ตรงกับดานบน แนะนําใหทํา Single Forest (บริหารงานงาย)

ขั้นที่ 2 วางแผนสราง Domain วิเคราหความตองการขององคกรวามีความจําเปนใน Forest หรือไม และภายใน Forest ตองการแบงโดเมนยอยหรือไม โดยพิจารณาวาโดเมนที่ยอยๆลงไปมากจะมีปญหาตอการปรับเปล่ียนในภายหลัง

- ตรวจสอบคาติดตั้งนโยบายความปลอดภัย, และโดเมนที่ลิงค (Parent/child, Domain tree link, Shortcut, External)

- ดูความตองการในการบริหาร, เชนความเปนสวนตัว และแยกดานกฎ - ลดการเรพพลิเคต - ยังคงโดเมนใน Windows NT - สรางชื่อที่มีช่ือชัดเจน

สิ่งที่ตองคํานึง โครงสรางของโดเมนที่ประกอบกันในการใชงาน โดยเฉพาะโดเมนรูท เนื่องจากชื่อของ Domain root ปรับเปลี่ยนไมไดถามีโดเมนลูกอยู

- จํานวนของ Domain Trees - การกําหนด Root domains ในแตละ Trees - การจัดการกําหนดโครงสรางลําดับช้ันโดเมน - พิจารณา DNS และเครื่องที่ดูแล DNS



การต้ัง DNS ในโดเมน - กําหนด DNS Name ในระดับ Forest root domain ซึ่งจะมี DNS หลักที่เรพพลิเคตตอหนึ่งฟอเรสตคือหนึ่ง

ระบบ - DNS name ในแตละ Root domain - DNS name ในแตละ Subdomain

วางแผนสราง OU - แยกการบริหารงาน เราสามารถแยกผูใชออกเปนสวนๆได - ซอนออปเจค ไมตองการใหผูใชกลุมหนึ่งเห็นอีกกลุมหนึ่ง - กําหนดบริหารงาน Group Policy เพื่อบังคับเฉพาะเครื่อง หรือผูใชที่ตองการ

วางแผนสราง Site topology - แยกเซกเมนตของ LAN โดยพิจารณาความเร็ว - ในแตละที่ไมมีการตอเช่ือมโดยตรง โดยมีเครือขายที่ติดตอผานไดเฉพาะ SMTP หรือไม - สิ่งที่พิจารณามีสองเงื่อนไขคือ

o หนึ่ง Domain Controller ในแตละไซต o สอง Domain Controllers ในแตละโดเมน

การเพิ่ม Domain controllers ในไซต พิจารณาเรื่องตางๆดังนี้

- จํานวนผูใชมากๆจะตองมี Domain Controller เขาชวย - ไซตลิงคไมเสถียรจึงตองตั้ง Domain Controller ในไซตนั้น เพื่อใหลูกขายล็อกออนที่ทองถิ่นนั้นได

การออกแบบ Site Topology เราตองพิจารณา Network Diagram และ IP Subnet เปนหลัง รวมถึงการออกแบบไมใหมีความซ้ําซอน และเวลาที่สงขอมูลเหมาะสมกับความตองการทางธุรกิจ



บทที่ 2 การติดตั้ง และการกําหนดคาติดต้ัง Active Directory ในบทนี้จะกลาวถึงสิ่งตางๆดังนี้

- การเตรียมตัวติดตั้ง Active Directory - การติดต้ัง และการนํา Active Directory ออก - การตรวจสอบหลังติดต้ัง Active Directory - การแกปญหา Active Directory ที่ติดต้ัง และนําออก

2.1 การเตรียมตัวติดต้ัง Active Directory ผูเรียนจะเขาใจสิ่งตางๆดังนี้ - สิ่งที่จําเปนกอนการติดตั้ง Active Directory - การพิจารณาโครงสราง Domain - ตัวอยางการออกแบบ - การพิจารณาชื่อ Domain - การพิจารณาตําแหนงที่เก็บไฟลฐานขอมูล - การพิจารณาตําแหนงที่เก็บโฟลเดอร Shared System Volume - การพิจารณาวิธีกําหนดคา DNS - การพิจารณาการกําหนดคา DNS สิ่งที่จําเปนกอนการติดต้ัง Active Directory เคร่ือง Windows 2000 Server/Windows Server 2003 โดยดีฟอลทจะเปน Standalone Server ถาตองการที่จะประกาศเปน Domain Controller ตองใชคําสั่ง dcpromo หรือใช Manage your server ในการตั้งเปน Domain Controllers รายละเอียดที่จําเปนมีดังนี้

- ช่ือโครงสรางโดเมน ตองการสอดคลองกับอินเตอรเนต หรือต้ังเอง - ช่ือโดเมน ช่ือที่ตองการ - ที่เก็บของไฟลฐานขอมูล - ตําแหนงของโฟลเดอร Shared system volume - วิธีการกําหนดคาติดตั้ง DNS - การกําหนดคาติดต้ัง DNS

การพิจารณาโครงสราง Domain - ตําแหนงปจจุบันของเครือขาย - จํานวนผูใชตอทองถิ่น - ชนิดของเครือขายที่ใชปจจุบันในแตละทองถิ่น



- ตําแหนงปจจุบัน, ความเร็วลิงค, เปอรเซนตของแบนดวิดชจากลิงคทางไกล - TCP/IP Subnet ในแตละที่ - ความเร็วของลิงคทองถิ่น - ตําแหนงของ Domain Controllers - รายการของเครื่อง Server ในแตละทองถิ่น และบริการที่ทํางาน - ตําแหนงของ Firewall ในเครือขาย

รายละเอียดตางๆเหลานี้ใชในการพิจารณาเพื่อต้ังเครื่องทั้งสิ้น ตัวอยางการออกแบบ สิ่งที่ตองพิจารณา

ภาพแสดงถึงตัวอยางการออกแบบ Active Directory คําอธิบาย เราตองสํารวจเครือขายตางๆ และโครงสราง DNS ที่ใช โดยเลือกรูปแบบการออกแบบที่เหมาะสมพิจารณาที่คาใชจายที่ใช และประโยชนที่ไดรับ จุดสังเกตจากรูปนี้อยูที่ Utilizationของ WAN link เราพบวาในไซต Kansas City มีปญหา เนื่องจากใชงานใกลเต็ม เมื่อเราทราบวา Active Directory ตองใช DNS จึงมีคนถามวา DNS ที่ติดตั้งตองเปน Windows DNS เทานั้นใชหรือไม คําตอบคือไมจําเปน

- แตต้ังรองรับมาตรฐาน BIND ในระบบ Windows 2000 รองรับ BIND เวอรช่ัน 8.2.2 จะดีที่สุด ถารองรับ BIND 4.9.7 จะรองรับเฉพาะบริการ SRV ที่สามารถล็อกออนได แตไมสามารถอัพเดตช่ือโฮสตไดโดยอัตโนมัติ

- เราสามารถตั้ง DNS Server ของ Microsoft เปนซับโดเมนใน DNS ของ BIND ได เชน contoso.com เปนของ UNIX แต Microsoft เปน AD.contoso.com ได

- สิ่งที่จําเปนในการกําหนดคาเพื่อล็อกออนคือ SRV ซึ่งจะตองมีการสรางโครงสรางโฟลเดอรตางๆในการรองรับ SRV ดวยเชน _msdcs, _sites, tcp, และ _udp



รายละเอียดของ BIND ดูไดจากเว็บ http://www.isc.org - พิจารณา Forest Root Domain มีการควบคุมจํานวนผูบริหารในโดเมน และการจํากัด การเรพพลิเคตขอมูล

ขามฟอเรสต และรูทของฟอเรสต รวมถึงการโอนถายสิทธิของรูท - พิจารณาจํานวน Domains มีการพิจารณาขนาดของ Security Accounts Manager (SAM) รองรับได 40,000

เรคคอรด, การกําหนด PDC Emulator ที่รองรับ (จะมีเครื่อง Domain controller เครื่องเดียวเทานั้นที่ทําไดใน DC ทั้งหมด ถาเครื่องนี้เสียจะไมสามารถสงขอมูลที่สรางใน Domain ไปที่ NT BDC ได), การกําหนดทีมบริหาร การกําหนดตางๆนี้ตองคํานึงถึง

o ความตองการ Security Policy Settings o การบริหารงานที่ตรงกับความตองการ o การเรพพลิเคต o การยังคงโดเมนใน Windows NT o การแยงช่ือที่กําหนด

- กําหนดโครงสรางโดเมนเปนลําดับช้ัน การพิจารณาชื่อ Domain

- กําหนดชื่อที่ใชอักขระมาตรฐาน เชน A-Z, a-z, 0-9 และ - - กําหนดชื่อที่ใชภายใน และภายนอกที่แตกตางกัน (Intranet/Internet) - การวางชื่อ DNS ภายในบน DNS อินเตอรเน็ต (การใชช่ือตอเนื่องจากชื่อที่จดทะเบียนในอินเตอรเน็ต) - ไมใชช่ือโดเมนซ้ํากันสองครั้ง - ใชช่ือที่ถูกลงทะเบียน โดยกําหนดลงทะเบียนในลําดับที่สอง (มีการจดทะเบียนช่ือแลว ทําโดเมนยอยใน

ระดับช้ันถัดไป เชน .com ก็เปน Microsoft.com) - ใชช่ือที่สั้น, ชัดเจน, และมีความหมาย (ในชื่อโฮสตมาตรฐานรองรับได 64 อักขระ) - ใชช่ือที่รองรับอินเตอรเนชั่นแนล (ช่ือที่กําหนดเปน .com, .net ไมใช .jaab, .gig ไมเปนมาตรฐาน) - ใชมาตรฐาน ISO ในการกําหนดชื่อ (อักขระ Unicode แนะนําใหใชภาษาอังกฤษ)

การพิจารณาตําแหนงที่เก็บไฟลฐานขอมูล - ดีฟอลทกําหนดที่ %Systemroot%\Ntds - ซึ่งกําหนดไวในไดรฟ NTFS แนะนําใหมีขนาดมากกวา 1 Gbytes จํานวนที่นอยที่สุด 200 Mbytes สําหรับ

ฐานขอมูล และ 50 Mbyte สําหรับล็อก - ไฟลที่เก็บคือ ntds.dit อยูใน %systemroot%\System32 - ขอมูลที่เก็บ

o Schema o Global catalog o Objects ใน domain controller



เครื่องที่เปน Domain controller กับ Domain Controller + Global Catalog จะมีขนาดไมเทากัน ซึ่งระบบจะมีการเรพพลิเคตตามกลไกในการออกแบบ การพิจารณาตําแหนงที่เก็บโฟลเดอร Shared System Volume

- ตําแหนงที่เก็บ %Systemroot%\Sysvol โดยระบบถาอยูในโดเมนเดียวกัน เครื่อง DC จะเรพพลิเคตทั้งหมดถึงกันและกัน ตําแหนงที่เก็บตองเปน NTFS เทานั้น

- ขอมูลที่เก็บ o Logon Scripts o Group Policy Objects (GPOs)

- รอบการเรพพลิเคตในไซต (ภายใน 10 นาที) เมื่อมีไฟลเกิดขึ้นครั้งแรกจะสงไปยังเครื่องตางๆภายใน 10 นาที ถาเผอิญตรงกับรอบการเรพพลิเคตก็จะสงผลไดทันที

การพิจารณาวิธีกําหนดคา DNS การทํางานของ Active Directory ใช DNS เปนหลัก ถา DNS เสีย Active Directory ก็ทํางานไมได หรือถากําหนดผิดก็จะมีปญหาเหมือนกัน Microsoft รองรับ DNS ท่ีเปนของคายอื่นดวยคือ DNS Server ใชของ UNIX ได

- กําหนดดวยมือ o DNS เปนระบบปฏิบัติการอื่นๆ

- กําหนดโดยอัตโนมัติ ใช DHCP เขาชวยแจกหมายเลข IP address หมายเลข IP Address ของ DNS ตองตายตัวหามใช Dynamic DNS การกําหนดหมายเลข IP Address ดวยมือ



ไปกําหนดในคุณสมบัติของ Network Connection > Local Area Connection > Properties > Internet Protocol (TCP/IP) > Properties > กําหนดหมายเลขที่ตองการ และ DNS การพิจารณาการกําหนดคา DNS

- กําหนดคาเปน IP Address ที่ถาวร - ตรวจสอบเรคคอรด _ldap._tcp.dc._msdcs.DNSDomainName service (SRV) - ตรวจสอบเรคคอรด A ที่มีการระบุที่ _ldap._tcp.dc._msdcs.DNSDomainName service (SRV)



ปฏิบัติการที่ 1 การติดตั้ง DNS และการตรวจสอบเรคคอรด



2.2 การติดต้ัง และการนํา Active Directory ออก สิ่งที่ตองการใหผูเรียนทราบมี

- การติดต้ัง Active Directory - การนํา Active Directory ออกจากเครื่อง Domain Controller

การติดต้ัง Active Directory

- การติดต้ังโดยใช Active Directory Installation Wizard - การใชไฟล Answer เพื่อติดต้ังแบบไมตอบคําถาม - การใชมีเดียที่มีการสํารองไว - การใช Configure Your Server Wizard

การติดต้ังโดยใช Active Directory Installation Wizard

- ชนิดของ Domain Controller - ชนิด Domain - ช่ือ Domain - ช่ือ NetBIOS สําหรับโดเมน - ตําแหนงฐานขอมูล และล็อกของ Active Directory - ตําแหนงของ Shared system volume - Permissions ดีฟอลทสําหรับออปเจคจ User และ Group - Directory services restore mode administrator password

ชนิดของ Domain Controller



- การสรางเครื่อง Domain Controller แรกสําหรับโดเมนใหม - การเพิ่ม New Domain Controller สําหรับโดเมนที่มีอยู

การใชไฟล Answer เพื่อติดตั้งแบบไมตอบคําถาม เปนการสรางไฟลที่ใชในการติดตั้ง โดยทั่วไปจะเรียกคําสั่ง Winnt/Winnt32.exe ในการติดต้ัง ซึ่งถาเราใสพารามิเตอรในการติดตั้งไฟล Answer จะทําใหการติดต้ังดึงคาขอมูลในการติดต้ังจากไฟลนี้

- ในไฟล Deploy.cab ของซีดีรอม Windows Server 2003 ที่ \Support\Tools จะมีพารามิเตอรเกี่ยวกับการใชงาน

วิธีการสราง - คลิก Start -> Run -> พิมพ dcpromo /answer:ไฟลตอบคําถาม



การต้ังเครื่อง Domain Controller ท่ีเปน Fault Tolerance

1. ใหไปที่เครื่อง Additional Domain Controller ระบุไปที่ DNS Server หลัก 2. ใชคําสั่ง dcpromo เลือกเปน Additional Domain Controller ขั้นตอนเปน Wizard 3. ไปที่ DNS และทําการกําหนด Zone Transfer เพื่อใหต้ัง DNS บน Additional Domain Controller ได ระบุ

แท็บ NS ใสช่ือเครื่องของ Additional Domain Controller 4. ที่เครื่อง Additional Doman Controller ติดต้ัง DNS และระบุ New Zone เพื่อเปน Primary และเช็คบ็อกซที่

Store the zone in Active Directory และคลิกที่ Next



5. ระบุเลือกเปน To all DNS servers in the Active Directory domain ช่ือโดเมน คลิกที่ Next

6. ระบุช่ือโดเมนที่ตองการ และทําตาม Wizard จนเสร็จ 7. เมื่อได DNS ใหไปที่ Start > Programs > Administrative Tools > Active Directory Sites and Services



8. คลิกเขาไปที่ Default-First-Site-Name > Servers > ช่ือเครื่อง > NTDS Settings คลิกขวาเพื่อเช็กบ็อกซ Global Catalog

9. รอเวลาจน DNS ทําการเพิ่ม _dc ลงไปในเรคคอรด เพื่อยืนยันวาขอมูลไดอัพเดตไปที่ Ntds.dit (ฐานขอมูลของ Active Directory)

การติดต้ังโดยใชมีเดียที่มีการสํารองไว เพื่อลดการจราจรในการเรพพลิเคต ในบางครั้ง Active Directory ของเรามีขอมูลมาก

- การสํารองของ Windows Server 2003 สามารถทําไดในดิสก และเทป - อายุของการเรพพลิเคตในการสํารองไมควรเกิน (Tombstone) ดีฟอลทคือ 60 วัน - การสํารองขามเครือขายตองพิจารณาความสามารถของเครือขายดวย - ขั้นตอนการติดต้ัง Active Directory ผานเครือขาย

ใหเราทําการสํารอง System State Data ในเครื่อง DC แรกไวกอน (ตองไมเกิน 60 วัน) แลวใชคําสั่ง dcpromo /adv ตรงนี้ระบบจะทําการเรียกดึงฐานขอมูลจากมีเดียที่สํารอง (ระบุตามขั้นตอนของวิซารด) การติดต้ังโดยใช Configure Your Server Wizard เปนเครื่องมือที่อยูใน Manage Your Server สามารถทําสิ่งตางๆไดดังนี้

– Promoteเครื่องเปน Domain Controller – การกําหนดชื่อโดเมนเต็ม – การกําหนดหมายเลข Static IP address – การติดต้ัง DNS Server, DHCP Server, Routing and Remote Access – กําหนด Subnet Mask – กําหนด DNS Server ที่ตองการ – กําหนด DNS ที่สงตอ – กําหนดคา DHCP scope – กําหนดการแตงตั้ง DHCP บน Active Directory – รองรับการใช TAPI Clients

การนํา Active Directory ออกจากเครื่อง Domain Controller

- เรียกคําสั่ง Dcpromo เครื่องจะเปน Standalone Server - กําหนดขั้นตอนถาเปนเครื่อง Domain Controller สุดทายใหเช็กบ็อกซเพื่อนําฐานขอมูลออก

ปฏิบัติการที่ 2 การประกาศเครื่องเปน Domain Controller



2.3 การตรวจสอบหลังติดตั้ง Active Directory สิ่งที่ตองการใหผูเรียนเขาใจมีดังนี้

- Domain Configuration - DNS Configuration - การใชงาน DNS กับ Active Directory - การติดต้ังของ Shared system volume - การทํางานของ Directory Services Restore Mode

Domain Configuration

- ตรวจสอบใน Active Directory Users and Computers เปนเครื่องมือบริหารออปเจคในโดเมน - ตรวจสอบออปเจคตางๆ เชน Domain Controllers เพื่อดูเครื่อง DC Server

DNS Configuration

- ในกลุม Administrative Tools จะมี DNS - ตรวจสอบเรคคอรดตางๆที่มีอยูใน DNS



ไฟลที่เก็บอยูที่ %Systemroot%\System32\Config\Netlogon.dns

การใชงาน DNS กับ Active Directory

- ใชเครื่องมือ DNS ตรวจสอบที่คุณสมบัติของ Server node o คลิกขวาที่ช่ือเครื่อง และเลือกคําสั่ง Properties o ตรวจสอบวาเปน Active directory-Integrated หรือไม



การติดต้ังของ Shared system volume

- ตรวจสอบใน Shared Folder - ตรวจสอบ Netlogon - ตรวจสอบคา Policies ที่กําหนดใน Windows 9x, NT - ตรวจสอบคาติดตั้ง Group Policy - ตรวจสอบสคริปต Logon/Logoff



การทํางานของ Directory Services Restore Mode รีสตารทเครื่องตอนเปดเครื่องกดคีย F8 เลือกเมนู Directory Services Restore Mode ใชซอม และกูคืนระบบ Active Directory ในองคกรจะกลาวถัดไปในบทหลังๆ



2.4 การแกปญหา Active Directory ท่ีติดต้ัง และนําออก สิ่งที่ตองการใหผูเรียนเขาใจมีดังนี้

- ปญหาตางๆที่เกิดขึ้น และการแกปญหา - เครื่องมือที่ใชในการแกปญหา

ปญหาตางๆที่เกิดขึ้น และการแกปญหา

- ไมสามารถเขาถึง Server ได เมื่อติดต้ังเพราะวา DNS name ยังไมลงทะเบียน - ช่ือของโดเมนไมสามารถรับรอง หรือถูกตอง หรือยังใชไมได - ช่ือที่ใช User name และ Password ผิด - ไมสามารถที่นําขอมูลออกจาก Active Directory เมื่อมีการนําออกแลวได เชนช่ือเครื่องตางๆ

เคร่ืองมือท่ีใชในการแกปญหา - Directory Service log - Netdiag.exe - Dcdiag.exe - ไฟล Dcpromoui.log, Dcpromos.log, และ Dcpromo.log - Ntdsutil.exe

Directory Service log



- เรียกดูจาก Event Viewer - ดับเบิ้ลคลิกเพื่อดูเหตุการณ

Netdiag.exe

- เปนเครื่องมือ Network Connectivity Tester - เปนคําสั่งที่ตรวจสอบอยูใน Support Tools ของ Windows Server 2003



- ใชตรวจสอบคากําหนดเครือขายที่ตอเช่ือม พารามิเตอรตางๆ

– Netdiag [/q] [/v] [/l] [/debug] [/d:DomainName] [/fix] [/DcaccountEnum] [/test:testname] [/skip:testname] [/?]

Dcdiag.exe

เปนเครื่องมือ Domain Controller Diagnostic tool เก็บอยูใน Support Tools ของ Windows Server ใชตรวจสอบ

– DNS Name ที่ลงทะเบียน

– เครื่องที่ติดตอ IP, LDAP, และ RPC พารามิเตอรมีดังนี้

– Dcdiag /s:DomainController [/n:NamingContext] [/u:Domain\Username /p:{* | Password|””}] [}/a | /e}] [{/q | /v}] [/i] [/f:Logfile] [/ferr:ErrLog] [/c [/skip:Test]] [/test:Test] [/fix] [{/h | /?}]

ไฟล Dcpromoui.log, Dcpromos.log, และ Dcpromo.log

- ตรวจสอบใน %Systemroot%\Debug



- Dcpromoui.log เปนไฟลที่เก็บรายการการติดตั้ง และนําออกของ Active Directory ใน Graphic User

Interface - Dcpromos.log เปนไฟลที่เก็บในการโปรโมทจากเครื่อง Windows NT ไปเปน Windows 2000 Domain

Controller

- Dcpromo.log เปนเรคคอรดที่เก็บคาติดตั้งการโปรโมท และดีโมท ซึ่งจะเก็บในการสรางฐานขอมูล Active

Directory Ntdsutil.exe เปนเครื่องมือที่มีมาใหใน Windows Server 2003 เก็บไวที่ %systemroot%\System32 เปนคําสั่งที่ใชในการซอมฐานขอมูลเมื่อบูตเปน Directory Service Restore Mode แกปญหาฐานขอมูลที่ไมมี Parents ได การนํา Domain Controller ออก

- ไปที่ Active Directory Sites and Services - ดับเบิ้ลคลิกไซตที่เหมาะสม - ดับเบิ้ลคลิกที่ Server Object - คลิกที่ Server Object -> เลือกคําสั่ง Delete -> ยืนยัน Yes



สถานการณการแกปญหา

เหตุการณ การแกปญหา เครื่องไมสามารถแกปญหา DNS

Service (SRV) ได DNS ตองรองรับ BIND สูงกวา 4.9.7 และใหทําการใสเรคคอรด A ลงไป แลวจึงสรางเรคคอรด SRV เพื่อระบุการทํางานตามหนาที่ _gc, _kerberos, _kpassword, _Ldap, และอื่นๆ ทดสอบโดยใชคําสั่ง Ping ดูวาสามารถแกปญหาช่ือไดหรือไมบนเครื่อง Domain Controller

เครื่องไมสามารถลงทะเบียน Domain Controller ไดเพราะ DNS Server มีที่ใชสําหรับ Name resolution ไมสามารถหา Primary authoritative zone ได

DNS ใช Root hints ในการคนหาโดเมนนอกเหนือจากที่รูจัก ดังนั้นถามีการบล็อกเครื่องที่ไปถามถึง Root hints (ติดไฟรวอลล หรือพร็อซซี่) ก็จะติดตอไปที่เครื่งอที่มอบหมายโดเมนไมได ใหเพิ่ม Root hints ในเครื่องภายในที่อยูดานบน (สวนใหญมีปญหากับการสราง Zone Delegations)

ขึ้นขอความวา Domain not found หรือ Server note found, หรือ RPC Server is unavailable

แสดงวาช่ือไมสามารถแกปญหาได เรารูวาระบบแกปญหาไดทั้ง Netbios และ DNS ใหตรวจสอบการติดตอเครือขาย เครื่องมือที่ใชคือ netdiag /debug เพื่อไลดูปญหาที่เกิดขึ้นวาสามารถใช NetBIOS หรือ DNS registaion และ services ไดหรือไม และใช dcdiag ในการคนหาการดูช่ือ Domain controllers

เครื่อง Domain controller นี้ไมสามารถหาตําแหนงไดม ีขอความแจงถึง SRV เรคคอรด

แสดงวา DNS SRV record ไมไดมีการลงทะเบียน ใหทําการตรวจสอบ SRV ใน DNS โดยใช nslookup เพื่อดูคาตางๆใน Active Directory Domain คาที่ตรวจสอบดูที่ DNS Zone delegations โดยใช nslookup

ปฏิบัติการที่ 3 การใชเครื่องมือวิเคราะหปญหาของ Active Directory



ตัวอยางการออกแบบโครงสรางเครือขาย

มีเครื่องตางดังนี้ ฝาย จํานวนผูใช จํานวนเครื่อง ระบบปฏิบัติการ ITS 10 25 UNIX Administration 5,000 5,030 Windows 2000 Advanced

server, Windows 2000 Professional, และ Windows XP

Marketing 15 20 Windows NT Workstation และ Windows NT 4 Server



บทที่ 3 การบริหารงาน Active Directory ในบทนี้จะกลาวถึงสิ่งตางๆดังนี้

- การใชเครื่องมือบริหารงาน Active Directory - การกําหนดสราง Microsoft Management Console (MMC) - การสํารอง Active Directory - การซอม Active Directory

3.1 การใชเคร่ืองมือบริหารงาน Active Directory สิ่งที่ตองการใหผูเรียนเขาใจมีดังนี้

- เครื่องมือในการบริหาร Active Directory - Active Directory-specific tools ใน Support Tools

เคร่ืองมือในการบริหาร Active Directory มีสองชุดหลักๆคือ

– Active Directory administrative consoles

– Active Directory-specific tools ใน Support Tools Active Directory administrative consoles เปนเครื่องมือที่ติดต้ังอัตโนมัติเมื่อมีการประกาศเครื่องเปน Domain Controllers โดยในชุดเครื่องมือมีดังนี้

- Active Directory Domains and Trusts - Active Directory Sites and Services - Active Directory Users and Computers - Active Directory Schema Snap-in ตองรัน Adminpak.msi ซ้ําอีกครั้งเพื่อติดตั้งเพิ่ม

ฟเจอรของ Domain Functional Level

ฟเจอรของโดเมน Windows 2000 Mixed Windows 200 Native Windows Server 2003 Domain controller rename tools

Disable Disable Enabled

Update logon timestamp Disable Disabled Enabled User password on InetOrgPerson object

Disable Disabled Enabled

Universal Groups Disabled บน Security แตทําไดบน Distribution

Enabled Enabled

Group Nesting Enabled Enabled Enabled Converting Group Disable Enabled Enabled



SID History Disable Enabled Enabled

เราสามารถกําหนดเปลี่ยนบทบาทใน Active Directory Domains and Trusts คลิกขวาที่โดเมนเลือกคําสั่ง Raise Domain Functional Level ฟงกชั่นที่ทํางานไดบน Forest Functional Levels

ฟเจอรบน Forest Windows 2000 Windows Server 2003 Global Catalog replication improvements

Enabled Enabled

Defunct schema objects Disable Enabled Forest trusts Disable Enabled Linked value replication Disable Enabled Improved Active Directory replication algorithms

Disable Enabled

Dynamic auxiliary classes Disable Enabled InetOrgPerson objectClass change Disable Enabled



ไปทําไดโดยคลิกขวาที่ Domains and Trusts เลือกที่ Raise Forest Functional Level Active Directory Domains and Trusts

เปนเครื่องมือที่ใชในการบริหาร และตรวจสอบการทรัสตกันระหวางโดเมน ซึ่งรองรับการจัดการใน Windows Server 2003 Domain, Windows 2000 Domain, Windows NT, รวมถึง Kerberos version 5 เราสามารถที่ปรับเปลี่ยนลําดับโดเมนไดจากที่นี่



เปลี่ยนช่ือ UPN suffix เพื่อสรางผูใช

UPN ยอจาก User Principal Name ใชตอนสรางผูใชใหเลือกวาจะล็อกออนชื่อแบบใด ในลําดับ Domain Functional Levels กําหนดสิ่งตางๆไดดังนี้

- Windows 2000 mixed - Windows 2000 Native



- Windows Server 2003 interim - Windows Server 2003

กรณีที่ใชรวมกับ Windows 2000 Server ตองการที่จะทํางานกับ Windows Server 2003 ใหใชคําสั่ง adprep /forestprep (หาไดจากแผนซีดีรอมของ Windows Server 2003 ที่ I386 คําสั่งนี้ทําบน Server 2000) เพื่อทําให Windows 2000 Serverยึดหนาที่เปน Schema Operations master ถาใช adprep /domainprep บน Windows 2000 Server domain controller จะยึด Infrastructure Operations Master ใหเปนของ Windows 2000 Server ในลําดับฟอเรสต กําหนดสิ่งตางๆไดดังนี้

- Windows 2000 Native - Windows Server 2003 interim (NT+Win2003) - Windows Server 2003

Active Directory Sites and Services



เปนเครื่องมือที่ใหขอมูลเกี่ยวกับโครงสราง Physical ซึ่งกําหนดในการบริการ Sites และกําหนดการเรพพลิเคต Active Directory Users and Computers

เปนเครื่องมือที่ใชในการเพิ่ม แกไข และลบออปเจค เพื่อจัดโครงสรางใน Windows Server 2003 ในหนึ่งโดเมน ซึ่งการบริหารงานโครงสรางจะใชออปเจคที่เปน Organizational Units (OUs) Active Directory Schema Snap-in



เปนเครื่องมือที่ใชดู และแกไข Active Directory Schema โดยดีฟอลทจะไมสรางเปนเครื่องมือ หรือติดต้ังใน Snap-in ผูบริหารตองเลือกติดตั้งเพิ่มเองโดยใชคําสั่ง adminpak.msi สาธิตการใชเคร่ืองมือ Active Directory Active Directory-specific tools ใน Support Tools เปนชุดเครื่องมือที่เพิ่มความสามารถในการแกปญหาในระบบ Active Directory Service ผูใชสามารถที่กําหนดคา จัดการ และตรวจสอบ Active Directory ได คําสั่งตางๆใน Support Tools

คําสั่ง ไฟล รูปแบบ คําอธิบาย ACL Diagnostics Acldiag.exe Cmd คําสั่งตรวจสอบ และแกปญหา Permissions Active Directory Administration Tool

Ldp.exe GUI การแสดงการทํางาน Lightweight Directory Access Protocol (LDAP)

Active Directory Diagnostic Tool

Dsastat.exe Cmd เปรียบเทียบทรีรายช่ือของโดเมนเดียวกัน หรือตางโดเมนกัน

Active Directory Object Manager

Movetree.exe Cmd คําสั่งในการยายออปเจค (เชน Users) ระหวางโดเมนตางๆ, โดยยังคงเก็บ Group



คําสั่ง ไฟล รูปแบบ คําอธิบาย Policies ไวให

Active Directory Search Tool

Search.vbs Cmd คําสั่งที่ใชในการคนหารายชื่อ LDAP

ADSI Edit Adsiedit.msc GUI โปรแกรมเขียนขอมูลในระดับตํ่าสําหรับ Active directory สามารถ เพิ่มเติม, เคลื่อนยาย และลบ ออปเจค ภายใน Active directory ได

Advanced Power Management Status

Apmstat.exe Cmd ใหขอมูลเกี่ยวกับ ความสามารถของ Advanced Power management ในเครื่อง laptop รุนเกา ๆ

Application Compatibility Program

Apcompat.exe Cmd, GUI สําหรับทดสอบกับ Windows 2000 วาสามารถใชรวมกันไดหรือไม (และกับ รุนอื่น ๆ ของ Windows)

Browser Status Browstat.exe Cmd ทดสอบวา browser กําลังทํางานอยูใน domain หรือไม

Clone Principal Clonepr.dll Cmd สรางโคลนของ Windows NT 4 users และ Groups เพื่อยายมาที่ Windows 2000

DeAcls Dsacls.exe Cmd จัดการเกี่ยวกับ Access Control List (ACL) Dependency Walker Depends.exe GUI ตรวจสอบโมดูลของ Win32 และพอรตในทุก

โมดูลที่เกี่ยวของกัน; ใชหาเซตของไฟลที่โหลดในแอพลิเคชัน และหาหนาที่ของโมดูลที่ใช หรือนํารายละเอียดออกมา

Distributed file system Utility

Dfsutil.exe Cmd คนหา และแกปญหา Dfs

DNS Troubleshooting Tool

Dnscmd.exe Cmd ใหผูบริหารระบบดู และแกไข DNS servers, โซน, และรีสอรค

Domain Controller Diagnostic Tool

Dcdiag.exe Cmd วิเคราะห และรายงานสถานะของโดเมนในระบบ

Dump Check Dumpchk.exe Cmd รายงาน และวิเคราะหไฟลดัมพ File and Directory Comparison

Windiff.exe Cmd, GUI เปรียบเทียบไฟล และโฟลเดอร ASCII

FileVer Filever.exe Cmd รายงานเวอรชันของไฟล หรือโฟลเดอร



คําสั่ง ไฟล รูปแบบ คําอธิบาย Global Flags Editor Gflags.exe GUI แกไขคา Registry ทั้งหมด หรือแฟลกที่ใช

โดยเคอรเนล Kerberos Keytab Setup Ktpass.exe Cmd คอนฟเกอร non-Windows 2000 Kerberos

service ใหอยูในกฎเกณฑของ Windows 2000

Kerberos Setup Ksetup.exe Cmd คอนฟเกอร Windows 2000 Clients ใหใช MIT Kerberos Server

Memory Profiling Tool Memsnap.exe Cmd นํา Snapshot ของหนวยความจําที่ถูกใชมาแสดงเปนรายงาน และขอมูลในล็อกไฟล

Migration Planning Document

Dommig.doc GUI เปนเอกสารในการวางแผนสําหรับยาย Windows NT มาเปน Windows 2000

Nltest Nltest.exe Cmd ใชคนหาสถานะของการทรัสตซึ่งแสดงเปน Primary domain controllers; การบังคับชัตดาวน; การบังคับในการซิงคฐานขอมูลบน Windows NT domain, สามารถใชไดทั้ง Windows NT และ Windows 2000

Point-to-Point Tunneling Protocol Ping (PPTP Ping)

Pptpclnt.exe, Pptpsrv.exe

Cmd ทดสอบหนาที่ของ PPTP Clients และ Server

Poolmon Poolmon.exe Cmd ใชตรวจสอบเมมโมรี่ Process Resource Monitor

Pmon.exe Cmd ตรวจสอบ CPU และการใชเมมโมรี่ ซึ่งใชเปนเครื่องมือวัดการใช Process resource

Process Viewer Pviewer.exe GUI ใชเปลี่ยนคาลําดับความสําคัญ, และอนุญาตใหลบโปรเซสที่ไมตองการได

Registry Console Tool Reg.exe Cmd ใชแกไขฐานขอมูล Registry จาก Command line; ใชคนหา, เพิ่ม, ลบ, กอปป, จัดเก็บ, และกูคืนคาขอมูลในแตละรายการ

Remote Command Line Remote.exe Cmd รันคําสั่งโปรแกรมจากเครื่องอื่นใชไดเฉพาะ Name pipes เทานั้น

Remote Storage Diagnostic Utility

Rsdiag.exe Cmd คนหา และรายงานฐานขอมูล Remote storage

Replication Diagnostics Repadmin.exe Cmd ใชตรวจสอบปญหาในการ Replicate ระหวาง



คําสั่ง ไฟล รูปแบบ คําอธิบาย Tool เครื่องที่เปน Windows 2000 Domain

controllers Security Administration Tools

Sidwalk.exe, Showaccs.exe, Sidwalk.msc

Cmd Cmd GUI

ในจัดการ Access Control List (ACL)

Security Descriptor Check Utility

Sdcheck.exe Cmd แสดงผลการควบคุบการเขาใชออปเจค

SNMP Query Tool Snmputilg.exe GUI เปนการใชคําสั่ง Snmputil.exe ในรูปแบบกราฟฟคเพื่อใชแกปญหา Simple Network Management Protocol

System Information Msinfo32.exe Cmd รายงานขอมูลคาคอนฟเกอรของระบบ Task Killing Utility Kill.exe Cmd ใชฆาโปรเซสหนึ่งหรือมากกวา Task List Viewer Tlist.exe Cmd แสดงรายการของโปรเซสที่ทํางานอยู Window 2000 Error and Event Messages Help

W2000msgs.chm GUI แสดงรายการ error และขาวสารของระบบในเอกสาร HTML

Windows Installer Cleanup Utility

Msicuu.exe, Msizap.exe

GUI, Cmd ใชลบคาใน Registry จากการติดตั้งที่ผิดพลาด

Windows Report Tool Winrep.exe GUI รวบรวมขอมูลเกี่ยวกับปญหาระบบสําหรับการโหลดขึ้นไปที่ศูนยซับพอรต หรือ Helpdesk

Winsock Remote Console

Wsremote.exe Cmd อนุญาตใหตอเช่ือมกับเครื่องที่กําลังรันหนาจอทํางานของ Sockets หรือ Name pipes

ปฏิบัติการที่ 4 การเรียกใชงาน Administrative Tools และ การติดตั้ง Support Tools



3.2 การกําหนดสราง Microsoft Management Console (MMC) สิ่งที่ตองการใหผูเรียนเขาใจมีดังนี้

- Microsoft Management Console (MMC) - แนะนําหนาจอ MMC - Snap-ins - Console Options - การใช MMC สําหรับการบริหารจากทางไกล

Microsoft Management Console (MMC) เปนเครื่องมือที่ผูใชสามารถสรางขึ้น และเปดใชงานในกลุม Snap-in ที่กําหนดได หนาจอที่บริหารงานเรียกวา Consoles ซึ่งในเครื่องมือบางอยางสามารถที่กําหนดบริหารงานขามเครื่องได โดย MMC แบงเปน

- MMC ที่กําหนดไวใหแลว - MMC ที่สรางขึ้นมาเอง

MMC ท่ีกําหนดไวใหแลว เปนเครื่องมือที่เก็บ Snap-in ใน Standalone เพื่อรองรับงานในการบริหาร ซึ่งหนาที่กําหนดเปนโหมด User ผูใชไมสามารถที่กําหนดแกไขเพิ่มเติมเองได MMC ท่ีสรางขึ้นมาเอง



เปนชุดเครื่องมือที่ผูใชสรางขึ้นมาเองเพื่องายบริหาร โดยเพิ่ม Snap-in หรือกําหนด Snap-in ในการบริหารเครื่อง หรือตางเครื่อง (แลวแตเครื่องมือที่กําหนด) ผูใชสามารถกําหนดโหมดเพื่อแกไข หรือจัดเก็บใหมได เรียกวา Authors Mode และสราง MMCs กระจายใหกับทีมงานที่ใชงานได แนะนําหนาจอ MMC

Snap-ins เปนแอพพลิเคชั่นที่ออกแบบมาทํางานกับ MMC ซึ่งแสดงงานสําหรับบริหาร โดยชนิดของ Snap-in มี Stand-alone snap-ins และ Extension snap-ins ซึ่งใน Extension snap-ins จะมีหลาย Stand-alone snap-ins ตัวอยางเชน Computer Management จะมี Disk Defragmenter snap-in และอื่นๆ

Console Options ผูใชสามารถปรับเปลี่ยนคาใน Console ไดหรือไมขึ้นอยูกับการกําหนดออปชั่นใน Console ซึ่งถากําหนดเปน Author Mode จะใชสิ่งตางๆดังนี้

- เพิ่ม หรือยาย Snap-ins



- สรางหนาตางใหม - ดูสวนประกอบตางๆของ Console Tree - จัดเก็บคาใน MMCs

สําหรับ User Mode จะมีสามชนิดคือ

User Mode ใชเม่ือ

Full access อนุญาตใหมีการเปดหนาตางใหม และรับการเขาใชทุกสวนประกอบของ Console tree

Limited access, Multiple windows ไมตองการใหเปดหนาตางใหม หรือไดรับการเขาใชบางอยางใน Console tree อนุญาตใหเปดไดหลายหนาตาง

Limited access, Single window ไมตองการใหเปดหนาตางใหม หรือไดรับการเขาใชบางอยางใน Console tree อนุญาตใหเปดไดหนาตางเดียว

การใช MMC สําหรับการบริหารจากทางไกล ผูเรียนสามารถที่สราง MMC และกําหนด Snap-in เพื่อบริหารงานจากทางไกลทั้งเครื่องตระกูล Windows Server 2003

และ Windows XP โดยสามารถออกแบบเครื่องมือในการบริหารได ในเครื่องที่ไมมี Snap-in สามารถติดต้ังไดโดยใชไฟล Adminpak.msi ซึ่งอยูที่ %Systemroot%\System32



ปฏิบัติการที่ 5 การสราง MMC ขึ้นมาเอง



3.3 การสํารอง Active Directory สิ่งที่ตองการใหผูเรียนเขาใจมีดังนี้

- กอนการสํารอง - การสรางชุดสํารอง Active Directory - การกําหนดตารางการสํารอง Active Directory - การลบงานออกจาก Active Directory

กอนการสํารอง สิ่งที่สําคัญกอนที่มีการสํารอง ผูบริหารระบบตองมีการเตรียมการดังนี้

- ตออุปกรณที่สํารองเขากับเครื่อง และเปดใชงาน - ตรวจสอบอุปกรณวาอยูใน HCL หรือไม - ตรวจสอบวานํามีเดียบรรจุพรอมใชงานหรือยัง

การสรางชุดสํารอง Active Directory หลังจากเตรียมการกอนสํารอง ก็เขาสูการใชเครื่องมือในการสํารอง เชน Backup Or Restore Wizard เราสามารถเลือกสวนประกอบ และบริการที่สํารองไดโดยไปเลือกที่ System State Data ขั้นตอนการสํารองจะเปน Wizard

- เรียกคําสั่ง Ntbackup กําหนดสํารองไดทั้งแบบ Wizard หรือ Advanced

- เลือกการสํารอง System State Data



- ขั้นตอนการสํารอง



System State Data เปนการสํารองขอมูลของระบบประกอบดวย

- Active Directory หรือ SAM (สําหรับเครื่องที่ไมใช Domain Controller) - ไฟลที่ใชในการบูตประกอบดวย Boot.ini, ntldr, ntdetect.com, bootsec.dos, ntbootdd.sys เปนตน - COM+ Class Registration คือสวนประกอบของชุดโปรแกรมใน .Net framework - Registry - SYSVOL ประกอบดวย Logon script + Group Policy

การกําหนดตารางการสํารอง Active Directory หลังจากที่กําหนดขั้นตอนตาม Wizard ในการสํารองแลว ผูสํารองสามารถเลือก Advanced เพื่อทําการสํารองในออปช่ันที่มากขึ้น และกําหนดตารางในการสํารองใหเปนไปตามวันเวลา ที่กําหนด เชน Daily, Weekly, Monthly, Yearly เปนตน



การลบงานออกจาก Active Directory งานที่สรางในการสํารองตางๆจะปรากฏใน Task scheduler ซึ่งผูสํารองสามารถไปตรวจสอบ และทําการลบงานได หรือเขาไปลบจาก Active Directory backup operation และคลิกที่ลิงคที่ Advanced 1ซึ่งจะมีแท็บ Schedule Job ไปทําการเลือกรายการ และลบงานที่ตองการได ปฏิบัติการที่ 6 การสํารองขอมูล Active Directory



3.4 การซอม Active Directory สิ่งที่ตองการใหผูเรียนเขาใจมีดังนี้

- การซอม Active Directory - สิ่งที่ตองทํากอนการซอม

การซอม Active Directory หลังจากที่มีการสํารองขอมูล เมื่อขอมูลมีปญหาเราสามารถที่ซอมไดโดยการเลือก Restore ถาตองการซอมทั้งหมดใหเลือก Restore all of the system state data ที่ไดสํารองไว จะเปนการกูคืน Registry, COM+ Class Registration database, System boot files, ไฟลที่ Windows ปองกันไว, Sysvol และ Certificate Services database ในกรณีที่เปนเครื่อง Domain Controller ตองเลือก

- Nonauthoritative Restore - Authoritative Restore

Nonauthoritative Restore เปนบริการที่กระจายบน Domain Controller จะถูกซอมจากชุดการสํารอง และคืนขอมูลในการเรพพลิเคตปกติ ทุก Restore directory partition จะถูกอัพเดตจากเครื่องคู Server โดยสงขอมูลไปที่เครื่องหลังการสํารอง และ System State จะถูกคืน nonauthoritative การเปลี่ยนขอมูลเกิดจากเครื่องอื่นๆ การซอมแบบนี้เหมาะกับ Domain controller ที่มีปญหากับฮารดแวร และซอฟตแวร



Authoritative Restore เปนการนําโดเมน หรือคาตางๆคืนมาเมื่อมีการสํารอง และมีการทับคาที่เปลี่ยน เมื่อมีการสํารอง ถาไมตองการเรพพลิเคตคาที่เปลี่ยน เมือมีการสํารองครั้งสุดทาย ผูเรียนตองแสดงการซอมแบบ Authoritative ใชกรณีที่มีการลบผูใช และตองการที่นํากลับคืนมา

การใช Authoritatively Restore ขอมูล Active Directory ตองใชเครื่องมือ Ntdsutil หลังจากที่ทําการคืนเปน Nonauthoritative restore กอนที่มีการรีสตารทเครื่อง โดยเครื่องมือ ntdsutil เก็บไวอยูที่ %systemroot%\System32 สิ่งที่ตองทํากอนการซอม จะมีการตรวจสอบคลายกับการสํารอง ซึ่งมีขั้นตอนดังนี้

- ตรวจสอบตําแหนงตางๆที่ตองการกูคืนไฟล - มั่นใจวาอุปกรณที่ซอมบรรจุอยู หรือมีการตอกับเครือขายที่มีอุปกรณกูคืนตออยู - มั่นใจวามีเดียไดถูกโหลดไว

ปฏิบัติการที่ 7 การซอมระบบปฏิบัติการ

- การซอมแบบ Nonautoritative - การซอมแบบ Authoritative



บทที่ 4 การติดตั้ง และการจัดการโดเมน, โดเมนทรี, และฟอเรสต ในบทนี้จะกลาวถึงสิ่งตางๆดังนี้

- การสรางหลายโดเมน, โดเมนทรี, และฟอเรสต - การเปลี่ยนช่ือ และกําหนดโครงสรางโดเมนใหม และเปลี่ยนช่ือ Domain Controllers - การจัดการบทบาท Operation Master - การจัดการความสัมพันธระหวางโดเมน (Trust Relationship)

4.1 การสรางหลายโดเมน, โดเมนทรี, และฟอเรสต สิ่งที่ตองการใหผูเรียนเขาใจมีดังนี้

- การสรางหลายโดเมน - การสรางหลายทรี - การสรางหลายฟอเรสต

การสรางหลายโดเมน ผูเรียนตองพิจารณาจํานวนโดเมนที่ตองการในแตละฟอเรสตขององคกร ซึ่งตองดูความสลับซับซอน และดูวาหนึ่งโดเมนเพียงพอตอการทํางานหรือไม การกําหนดโดเมนเพิ่มจะมีคาใชจาย และงานบริหารเพิ่ม เหตุผลในการสรางหลายโดเมน

– การสรางโดเมนใหตรงกับความตองการดานความปลอดภัย มีการพิจารณาในเรื่องการกําหนด Security Policy ดังนี้

o Password Policy o Account Lockout policy o Kerberos policy

– การสรางโดเมนเพื่อใหตรงกับงานบริหาร อาจจะดูความสามารถของ OUs กอนวาสามารถทําใหโครงสราง

องคกรทํางานไดหรือไม หรือถาไมไดในหนึ่งโดเมนตองมี Domain Admins ซึ่งเปนผูดูแลแตละโดเมน และดูการควบคุมไฟลตางๆในโดเมน



มี 3 Domain Admins เปน Global Group

– การสรางโดเมนเพื่อลดการจราจร เราสามารถบริหารการจราจรระหวางไซตไดโดยพิจารณา o ความสามารถของลิงค o การควบคุมเวลาในการจราจร o การดูลิงค กับคาใชจาย o การดูความจํากัดในลิงควาใชเปน Simple Mail Transport Protocol ไดหรือไม

– การสรางโดเมนเพื่อใหคงอยูใน Windows NT Domain เปนการพิจารณาผูบริหาร Windows NT Domain และเรื่องของความปลอดภัยในโดเมนที่ทําการทรัสตกัน

ความหมายของการสรางหลายโดเมน สิ่งที่เกิดขึ้นตามมาในการสรางหลายโดเมนคืองานที่ดําเนินเพิ่ม และคาใชจาย ซึ่งสิ่งที่พิจารณามีดังนี้

– Domain Administrators กลุมการบริหารเพิ่มในแตละโดเมน – Security principals การกําหนดนโยบายของความปลอดภัยระหวางโดเมน – Group policy and access control การควบคุมโดยกําหนดในระดับโดเมน ไมใช OUs – Domain Controller hardware and security facilities เครื่อง Domain Controller ที่ดูแลแตละโดเมน ถาตองการ

รองรับ Fault-tolerance ตองมีอีกหนึ่งเครื่องเปนอยางนอย – Trust links ตองพิจารณาผูใชที่ล็อกออนเขาใชระบบ และถาลิงคมีปญหาจะตองดูแล หรือบํารุงรักษาอยางไร

การสรางหลายทรี

• หนึ่งฟอเรสตมีไดหลายทรี

• องคกรหนึ่งๆมีไดหลาย DNS Server

• โดเมนแรกจะเปน Forest root domain ถาเปนอีกทรีเรียกวา Tree root domain ความหมายของการสรางหลายทรี

– DNS names ในหนึ่งทรีจะรับผิดชอบในโครงสราง DNS เดียวกันได (มี DNS ตัวเดียวรองรับไดทั้งหมด)

– Proxy client exclusion list หรือ Proxy autoconfiguration (PAC file) ระบบที่มีการแยก DNS Server ในแตละโดเมนจะมีการเพิ่มรายการได (มี DNS หลัก และ DNS ยอย ทําการกําหนดรายการรวม

– Non-Microsoft LDAP clients ไมตองใช LDAP ภายนอกเราสามารถใช Global Catalog มาทําการล็อกออนผูใชทั้งหมดในมาตรฐาน LDAP (Microsoft)ได



ตัวอยางแสดงการสรางหลายทรี

การสรางหลายฟอเรสต

• เหตุผลการสรางหลายฟอเรสต

• ความหมายของการสรางหลายฟอเรสต

• สิ่งที่ตองพิจารณาในการสรางหลายฟอเรสต เหตุผลการสรางหลายฟอเรสต

- ความปลอดภัยขอมูล ไมตองการให Administrator ในโดเมนหนึ่งในฟอเรสตสามารถบริหาร หรือเขามายุงเกี่ยวกับอีกฟอเรสตหนึ่งได (แยกคนละบริษัท)

- การแยกระบบการเรพพลิเคตรายชื่อ แบงจํานวนรายชื่อออกจากกัน - เพื่อสะดวกในการพัฒนา และการทดสอบแล็บ มีระบบโดเมน และฟอเรสตทดลองแยกตางหาก

ความหมายของการสรางหลายฟอเรสต - Schema หนึ่ง Forest จะมีหนึ่ง Schema คือในแตละ Forest มี Schema ของตนเอง - Configuration Container การกําหนดคาติดต้ังโครงสรางตางๆเชนโดเมนจะแยกจากกัน - Trusts ตองระบุทําทรัสตดวยมือเอง - Replication กลไกการเรพพลิเคตจะแยกจากกัน - การรวมฟอเรสต หรือการยายโดเมน จะมองเปนคนละระบบรายชื่อกัน - การยายออปเจค ระหวาง Forest ไมสามารถทําไดโดยอัตโนมัติตองทําการเชื่อมตอกันกอนดวยวิธี Trust - การล็อกออนดวย Smart Card จะตองมีการกําหนด UPN ที่ใชกับ Smart cards ที่รองรับระบบขาม Forest - การเพิ่มโดเมน แตละ Forest จะตองมีหนึ่งโดเมน และเมื่อมีการเพิ่มโดเมนขึ้นจะมีการเพิ่มคาใชจาย และการ

บริหารงานสูงขึ้น



สิ่งที่ตองพิจารณาในการสรางหลายฟอเรสต - การล็อกออนของผูใช แตละ Forest จะสามารถล็อกออนไดโดยตรวจสอบรายชื่อใน Forest เดียวกัน และใช

UPN รวมกันในการพิมพล็อกออนได แตถาตาง Forest จะไมสามารถที่ล็อกออนได

- การคนหาผูใช เนื่องจาก Global Catalog แยกจากกันทําใหการคนหาแยก Forest กัน

ปฏิบัติการที่ 8 การสรางโครงสรางโดเมน



4.2 การเปล่ียนชื่อ และกําหนดโครงสรางโดเมนใหม และเปลี่ยนชื่อ Domain Controllers ผูเรียนจะเขาใจสิ่งตางๆดังนี้

- การเปลี่ยนช่ือ และการเปลี่ยนโครงสรางโดเมน - การเปลี่ยนช่ือ Domain Controllers

การเปล่ียนชื่อ และการเปลี่ยนโครงสรางโดเมน

• Windows server 2003 ยินยอมใหเปลี่ยนช่ือโดเมน

• กําหนดใหเปลี่ยนโครงสรางลําดับช้ัน

• คําสั่งที่ใชคือ Rendom.exe หาไดจากแผนของ Windows Server 2003 อยูที่ Valueadd\msft\mgmt\domren

– เปลี่ยน DNS และ NetBIOS names สําหรับ Forest-root domain

– เปลี่ยน DNS และ NetBIOS names สําหรับ Tree-root domain

– เปลี่ยน DNS และ NetBIOS names ของโดเมนแม และลูก การเปล่ียนชื่อ Domain Controllers

• เหตุผลของการเปลี่ยนช่ือ

– ใช Domain Controller ที่ปรากฏบริการในกลุมลูกขายจํานวนมาก

– ปรับโครงสรางของเครือขายสําหรับองคกร และธุรกิจ

– ทําการจัดการ และควบคุมการบริหารงานไดงาย

• คําสั่งที่ใชคือ netdom ตัวอยางการใชงานเชน Netdom computername 2107_00 /add:S2107-00 Netdom computername 2107_00 /makeprimary: S2107-00 รีสตารทเครื่อง Netdom computername S2107-00 /enumerate Netdom computername S2107-00 /remove:2107_00 ปฏิบัติการที่ 9 การเปลี่ยนชื่อ Domain และ Domain Controller



4.3 การจัดการบทบาท Operations Master ผูเรียนจะเขาใจสิ่งตางๆดังนี้

- บทบาทของ Operations Master - บทบาทของ Forest-Wide Operations Master - บทบาทของ Domain-Wide Operations Master - การจัดการบทบาท Operations Master - การวางแผนตําแหนงของ Operations master

บทบาทของ Operations Master

- บทบาทของ Operations Master มีหลายบทบาท - บางบทบาทมีไดเพียงหนึ่งเดียวเทานั้นในฟอเรสต บางบทบาทมีไดหนึ่งเดียวในโดเมน

บทบาทของ Forest-Wide Operations Master

- Schema master หนาที่คือทําการอัพเดต Schema ซึ่งจะมีเพียงหน่ึงเครื่องเทานั้นในหนึ่งฟอเรสต ประกอบดวย Classes กับ Attributes ดังนั้นฟอเรสตหนึ่งๆจะมี Attributes หรือ Classes เหมือนกันหมดทุกโดเมน

- Domain Naming master หนาที่คือจัดการเกี่ยวกับการเพิ่ม และนําโดเมนออก จะมีหนึ่งเครื่องเปน Masterในฟอเรสต

บทบาทของ Domain-Wide Operations Master

- Relative identifier (RID), หรือ Relative ID ทําหนาที่ในการจัดลําดับ IDs ที่สัมพันธกันระหวาง Domain controllers ตางๆในโดเมน ซึ่งจะมีเครื่องเดียวที่เปน Master คือเมื่อมีการสราง User, Group, Computer จะมีการใสคา SID และคานี้เองจะไมซ้ํากันในออปเจค แตจะมี SID ในโดเมนเหมือนกัน ทั้งหมดรวมเรียกวา relative ID (SID โดเมน+SID Object) ที่จะไมซ้ํากันในแตละ SID ในโดเมน

- Primary Domain Controller (PDC) emulator ถาในโดเมนเครื่องลูกขายที่ติดตอกับ Windows NT Domain ไมไดลงซอฟตแวร DSclient จะตองมี PDC emulator เพื่อทําหนาที่เปน Windows NT PDC ที่สงขอมูลในการเรพพลิเคตกับ BDCs บน Windows NT BDCs ซึ่งจะมีหนึ่งเครื่องที่เปน Master ใน Domain ถาเปน Windows Server 2003 อยางเดียวหนาที่ PDC emulator จะรับเรพพลิเคตรหัสผานไปยัง Domain controller อื่นๆในโดเมนเทานั้น

- Infrastructure master รับผิดชอบในการอัพเดตความสัมพันธของกลุม และสมาชิกในกลุม เมื่อมีการเปลี่ยนช่ือกลุมจะตองมาจัดการสมาชิกที่นี่ที่เดียว (เปนความสัมพันธระหวาง User กับ Group) ในหนึ่งโดเมนจะมีหนึ่งเครื่องเทานั้นที่เปน Master



เมื่อมีการเปลี่ยนช่ือ หรือยายสมาชิก Infrastructure master จะรับผิดชอบในกาอัพเดตคาขอมูลให หมายเหตุ ถามีหลาย Domain Controller ในโดเมน Infrastructure master role ไมควรกําหนดกําหนดใน Domain Controller ใดที่เปน Global Catalog เพราะเนื่องจาก Global Catalog สามารถทําหนาที่คลายกับ Infrastructure

ตัวอยางบทบาท Operations Master

การจัดการบทบาท Operations Master

- การโอนถายบทบาท o สามารถเรียกคําสั่ง Transfer ในชุดเครื่องมือ Active Directory

- การยึดบทบาท Operations Master o ในกรณีที่เครื่อง Operations Master ไมทํางาน และตองการใหเครื่องหนึ่งเปน Operation Master ใช

คําสั่ง NTDSutil การยึดบทบาทจะขึ้นอยูกับปญหาตางๆเหลานี้

- Schema Master มีปญหา



- Domain Naming Master มีปญหา

- RID Master มีปญหา - PDC Emulator มีปญหา - Infrastructure มีปญหา



คําสั่งที่ใชในการตรวจสอบสถานการณในการยึดคือ Repadmin ตัวอยางรูปแบบมีดังนี้ Repadmin /showutdvec server2.microsoft.com dc-microsoft,dc=com และ Repadmin /showutdvec server2.microsoft.com dc-microsoft,dc=com รูปแบบคําสั่ง sage: repadmin <cmd> <args> [/u:{domain\\user}] [/pw:{password|*}] [/rpc] [/ldap] [/csv] - see /csvhelp Supported <cmd>s & args: /bind [DC_LIST] /bridgeheads [DC_LIST] [/verbose] /checkprop [DC_LIST from which to enumerate host DCs] <Naming Context> <Originating DC Invocation ID> <Originating USN> /dsaguid [DC_LIST] [GUID] /failcache [DC_LIST] /istg [DC_LIST] [/verbose] /kcc [DC_LIST] [/async] /latency [DC_LIST] [/verbose] /notifyopt [DC_LIST] <Naming Context> [/first:<value>] [/subs:<value>] /queue [DC_LIST] /querysites <From-Site-RDN> <To-Site-RDN-1> [<To-Site-RDN-2> ...]



(may not be called with alternate credentials) /replicate <Dest_DC_LIST> <Naming Context> /allsources [/force] [/async] [/full] [/addref] [/readonly] /replicate <Dest_DC_LIST> <Source DC_NAME> <Naming Context> [/force] [/async] [/full] [/addref] [/readonly] /replsingleobj <DC_LIST> <dsa-source-guid> <obj dn> /replsummary [DC_LIST] /bysrc /bydest /errorsonly [/sort:{ delta | partners | failures | error | percent | unresponsive }] /showattr <DC_LIST> <OBJ_LIST> [OBJ_LIST OPTIONS] [/atts:<att1>,<att2>...] [/allvalues] [/long] [/dumpallblob] /showcert [DC_LIST] /showchanges . <SourceDC> <NamingContext> [/cookie:<file>] [/atts:<att1>,<att2>,...] [/long] [ /showchanges <Dest_DC_LIST> <SourceDCObjectGUID> <NamingContext> [/verbose] [/statistics] [/noincremental] [/objectsecurity] [/ancestors] [/atts:<att1>,<att2>,...] [/filter:<ldap filter>] /showconn [DC_LIST] {serverRDN | Container DN | <DC GUID>} (default is local site) [/from:serverRDN] [/intersite] /showctx [DC_LIST] [/nocache] /showism [<Transport DN>] [/verbose] (must be executed locally) /showmsg {<Win32 error> | <DS event ID> /NTDSMSG} /showncsig [DC_LIST] /showobjmeta [DC_LIST] <Object DN> [/nocache] [/linked] /showoutcalls [DC_LIST] /showproxy [DC_LIST] [Naming Context] [matchstring] (search xdommove proxies) /showproxy [DC_LIST] [Object DN] [matchstring] /movedobject (dump xdommoved object) /showrepl [DC_LIST [Source DC object GUID]] [Naming Context] [/verbose] [/nocache] [/repsto] [/conn] [/all] [/errorsonly] [/intersite] /showsig [DC_LIST] /showtime <DS time value> /showtrust [DC_LIST] /showutdvec <DC_LIST> <Naming Context> [/nocache] [/latency] /showvalue [DC_LIST] <Object DN> [Attribute Name] [Value DN] [/nocache]



/syncall <DC> [<Naming Context>] [<flags>] /viewlist <DC_LIST> [OBJ_LIST] Note: Most commands take their parameters in the order of "Destination or Target DC_LIST", then a "Soure DC_NAME" if required, and finally the NC or Object DN if required. DC_LIST or DC_NAME is the proper DNS or NetBios name of a DC, for more options see repadmin /listhelp. <Dest DC>, <Source DC>, <DC> : Names of the appropriate servers <Naming Context> is the Distinguished Name of the root of the NC Example: DC=My-Domain,DC=Microsoft,DC=Com Note: Text (Naming Context names, server names, etc) with International or Unicode characters will only display correctly if appropriate fonts and language support are loaded Deprecated Commands: use repadmin /oldhelp to see these deprecated commands' syntaxes. /sync /propcheck /getchanges /getchanges /showreps /showvector /showmeta การยึด หรือโอนถายบทบาทไดดวยคําสั่งใน Ntdsutil รันบน Dos Prompt การวางแผนตําแหนงของ Operations master

- ออกแบบใหมีการแบงโหลดการทํางาน - คอยอัพเกรด และบํารุงรักษาฮารดแวรอยูเสมอ - ในกรณีที่มีโดเมนเดียว และมี Domain Controller เพียงหนึ่งเครื่องนั้นจะเปนทุกบทบาท - ถามีมากกวาหนึ่งโดเมน และมีหลาย Domain Controller สามารถเลือกที่กําหนดบทบาทใน Domain กระจาย

ใน Domain Controller ได - ในกรณีที่เปน Forest ตองตรวจสอบเรื่องของ Schema และการอัพเดพ Schema - ตรวจสอบการเติบโตของเครือขาย ใหพิจารณา Operations Master อยูเสมอ

ปฏิบัติการที่ 10 การตรวจสอบ และการโอนถาย Operations Master - การโอนถายบทบาท Operations Master - การยึดบทบาท Operation Master



4.4 การจัดการความสัมพันธระหวางโดเมน (Trust Relationship) ผูเรียนจะเขาใจสิ่งตางๆดังนี้

- Trust Relationships - ชนิดของ Trust - เขาใจเกี่ยวกับ Forest Trusts - การวางแผน Trust Relationship - การสราง Trust Relationship

Trust Relationships

- เปนการสรางความสัมพันธระหวางโดเมน โดยมีการรับรองจากเครื่อง Domain Controller ตางๆ - คุณลักษณะมีสามแบบคือ

o การสรางดวยมือ (กําหนดใน AD Domains and Trusts) หรืออัตโนมัติ (คําสั่ง dcpromo) o การเปน Transitive Trusts หรอื Non-Transitive Trusts o การกําหนดทิศทางเดียว หรือสองทิศทาง

- Trust Protocols จะรองรับ Kerberos หรือ NTLM ไมโครซอฟตรับมาตรฐาน Kerberos เวอรช่ัน 5 (MIT) แตยังตองรองรับ NTLM เพื่อติดตอกับระบบปฏิบัติการเกาๆของ Microsoft เราสามารถทํา Trust กับ UNIX หรือระบบปฏิบัติการตางๆที่รองรับ Kerberos เวอรช่ันที่สูงกวา 5 ขึ้นไป

ชนิดของ Trust

ชนิด คําอธิบาย Tree-root trust เปนการทรัสตแบบที่ Domain tree สองที่สงขอมูลถึงกันและกันในระดับ Root

สงผลไปยังระดับโดเมนลูกดวย Transitive และ Two-way Trust Parent-child trust เปนการ Trust ที่สงผลไปยังโดเมนลูกมีลักษณะเปน Transitive และ Two-way Trust Shortcut trust เปนการกําหนด Trust เองดวยมือที่ระบุระหวาง Domain ลูกของแตละ Tree ดวยกัน

เพื่อชวยในการล็อกออนไดเร็วขึ้น สามารถกําหนดเปนแบบ One-way, Two-way และเปน Transitive ซึ่งบางทีเรียกวา Cross-link trust

Realm trust เปนการกําหนด Trust เองที่ไมใช Microsoft Windows Kerberos realm เปนไดทั้ง Transitive หรือ Non-transitive และ One-way หรือ Two-way

External Trust เปนการกําหนด Trust เองที่ระบุขาม Forest หรือ NT domain (NT4) เปน Non-transitive trust สามารถกําหนดไดเปน One-way หรือ Two-way

Forest trust เปนการกําหนด Trust ดวยมือระหวางสอง Forest root domains มผีลตอโดเมนลูกของแตละฝาย เราทําไดได Transitive, One-way หรือ Two-way



เขาใจเกี่ยวกับ Forest Trusts

- ทําใหการจัดการงาย - เปนการทํา Trust แบบสองทิศทางในทุกโดเมนในสอง Forests - UPN authentications สามารถขามระหวางสองฟอเรสต - ทั้ง Kerberos และ NTLM authentication protocols สามารถที่ใชได - ทําใหการบริหารงานนั้นยืดหยุน

การวางแผน Trust Relationship มี Trust อยู 4 ประเภทที่ตองการจัดการ

– Shortcut trusts

– Realm trusts

– External trusts

– Forest trust อีกสอง Trust Relationship คือ Tree-root trust กับ Parent-child trust เกิดขึ้นในการสรางโดเมนตั้งแตตน ตัวอยาง Shortcut Trust

ผูบริหารระบบสามารถกําหนด One-way Shortcut Trusts หรือ Two-way Shortcut Trusts การกําหนด Shortcut จะทําใหการวิ่งระหวาง Domain M กับ Domain P สั้นลง และลดเวลาในการรองขอลงระหวางโดเมน



การเขาใชทรัพยากรขามโดเมนของ Shortcut Trust จะใช Active Directory Domains and Trusts ซึง่จะมีการพิจารณาระหวางสองโดเมน โดยดูที่ Selective Authentication วาเปน Outgoing และ Incoming shortcut trusts ซึ่งตองพิจารณาทั้งสองโดเมน เครื่องมือที่ใชในการสรางคือ New Trust Wizard กลุมท่ีควรรูจัก Enterprise Admins คือกลุม Universal Group ที่สรางขึ้นเพียงกลุมเดียวใน Forest คืออยูใน Forest root domain และ Enterprise Admins นี้โดยดีฟอลทจะอยูในกลุม Administrators ทุกโดเมน Schema Admins คือกลุม Universal Group ที่สรางขึ้นเพียงกลุมเดียวใน Forest อยูใน Forest root domain จะมีสิทธิในการอัพเดต Schema บน Schema Operation Master ดังนั้นถาบุคคลใดที่ตองการติดต้ังซอฟตแวรที่มีการอัพเดต Attributes หรือ Classes ตองเปนสมาชิกในกลุม Schema Admins ดวย การทํา Realm Trust

- เปนการเช่ือมตอระหวางโดเมนที่ไมรองรับ Windows Kerberos version 5 realm และ Windows Server 2003 domain ตัวอยางเชน UNIX หรือ MIT Realm

สิ่งที่จําเปน ตองเปน Enterprise Admins หรือ Domain Admins การสราง External Trust

- เปนการกําหนด One-way หรือ Two-way - อยูนอกขอบเขต Forest - ใชการดึงทรัพยากร Windows NT 4.0 หรือโดเมนของฟอเรสตอื่นๆ

สิ่งที่จําเปน

– ตองเปน Enterprise Admins หรือ Domain Admins

– กําหนดรหัสผานที่รูกันทั้งสองฝง การสราง Forest Trust สิ่งที่ตองพิจารณามี

- One-way Forest Trusts - Two-Way Forest Trusts - การเขาใชทรัพยากรขามโดเมนโดย External Trust

สิ่งที่ตองการ

– เปนสมาชิกกลุม Enterprise Admins ในทั้งสองโดเมน

– กําหนดรหัสผานที่รูกันทั้งสองฟอเรสต



การสราง Trust Relationship

- ใชคําสั่ง Active Directory Domains and Trusts - ใชคําสั่ง New Trust Wizard กําหนดตามขั้นตอน

- การใชคําสั่ง Netdom เพื่อทําการ Trust โดยใชคําสั่งในดอส

รูปแบบคําสั่ง Netdom The syntax of this command is: NETDOM TRUST trusting_domain_name /Domain:trusted_domain_name [/UserD:user] [/PasswordD:[password | *]] [UserO:user] [/PasswordO:[password | *]] [/Verify] [/RESEt] [/PasswordT:new_realm_trust_password] [/Add] [/REMove] [/Twoway] [/REAlm] [/Kerberos] [/Transitive[:{yes | no}]] [/OneSide:{trusted | trusting}] [/Force] [/Quarantine[:{yes | no}]] [/NameSuffixes:trust_name [/ToggleSuffix:#]] [/EnableSIDHistory[:{yes | no}]]



[/ForestTRANsitive[:{yes | no}]] [/CrossORGanization[:{yes | no}]] [/AddTLN:TopLevelName] [/AddTLNEX:TopLevelNameExclusion] [/RemoveTLN:TopLevelName] [/RemoveTLNEX:TopLevelNameExclusion] NETDOM TRUST Manages or verifies the trust relationship between domains trusting_domain_name is the name of the trusting domain /Domain Specifies the name of the trusted domain or Non-Windows Realm. /UserD User account used to make the connection with the domain specified by the /Domain argument /PasswordD Password of the user account specified by /UserD. A * means to prompt for the password /UserO User account for making the connection with the trusting domain /PasswordO Password of the user account specified By /UserO. A * means to prompt for the password /Verify Verifies that the trust is operating properly /RESEt Resets the trust passwords between two domains. The domains can be named in any order. Reset is not valid on a trust to a Kerberos realm unless the /PasswordT parameter is included.



/PasswordT New trust password, valid only with the /Add or /RESEt options and only if one of the domains specified is a non-Windows Kerberos realm. The trust password is set on the Windows domain only and thus credentials are not needed for the non-Windows domain. /Add Specifies that a trust be created. /REMove Specifies that a trust be removed. /Twoway Specifies that a trust relationship should be bidirectional /OneSide Indicates that the trust be created for or removed from only one of the domains in the trust. Use the keyword "trusted" to create or remove the trust from the trusted domain (the domain named with the /D parameter). Use the keyword "trusting" to create or remove the trust from the trusting domain. This command is valid only with the /Add and /REMove options and requires the /PasswordT command when used with the /Add option. /REAlm Indicates that the trust is to be created to a non-Windows Kerberos realm. Valid only with the /Add option. The /PasswordT option is required. /TRANSitive Valid only for a non-Windows Kerberos realm. Specifying "yes" sets it to a transitive trust. Specifying "no" sets it to a non-transitive trust. If neither is specified, then the current transitivity state will be displayed. /Kerberos Specifies that the Kerberos authentication protocol should be verified between a domain or workstation and a target



domain; You must supply user accounts and passwords for both the object and target domain. /Force Valid with the /REMove option. Forces the removal of the trust (and cross-ref) objects on one domain even if the other domain is not found or does not contain matching trust objects. You must use the full DNS name to specify the domain. CAUTION: this option will completely remove a child domain. /Quarantine Valid only on an existing direct, outbound trust. Set or clear the domain quarantine attribute. Default is "no". When "yes" is specified, then only SIDs from the directly trusted domain will be accepted for authorization data returned during authentication. SIDS from any other domains will be removed. Specifying /Quarantine without yes or no will display the current state. /NameSuffixes Valid only for a forest trust or a Forest Transitive Non-Windows Realm Trust . Lists the routed name suffixes for trust_name on the domain named by trusting_domain_name. The /UserO and /PasswordO values can be used for authentication. The /Domain parameter is not needed. /ToggleSuffix Use with /NameSuffixes to change the status of a name suffix. The number of the name entry, as listed by a preceding call to /NameSuffixes, must be provided to indicate which name will have its status changed. Names that are in conflict cannot have their status changed until the name in the conflicting trust is disabled. Always precede this command with a /NameSuffixes command because LSA will not always return the names in the same order.



/EnableSIDHistory Valid only for an outbound, forest trust. Specifying "yes" allows users migrated to the trusted forest from any other forest, to use SID history to access resources in this forest. This should be done only if the trusted forest administrators can be trusted enough to specify SIDs of this forest in the SID history attribute of their users appropriately. Specifying "no" would disable the ability of the migrated users in the trusted forest to use SID history to access resources in this forest. Specifying /EnableSIDHistory without yes or no will display the current state. /ForestTRANsitive Valid only for Non-Windows Realm Trusts and can only be performed on the root domain for a forest. Specifying "yes" marks this trust as Forest Transitive. Specifying "no" marks this trust as Not Forest Transitive. Specifying /ForestTRANsitive without yes or no will display the current state of this trust attribute. /SelectiveAUTH Valid only on outbound Forest and External trusts. Specifying "yes" enables selective authentication across this trust. Specifying "no" disables selective authentication across this trust. Specifying /SelectiveAUTH without yes or no will display the current state of this trust attribute. /AddTLN Valid only for a Forest Transitive Non-Windows Realm Trust and can only be performed on the root domain for a forest. Adds the specified Top Level Name (DNS Name Suffix) to the Forest Trust Info for the specified trust. Also see the /NameSuffixes operation to list name suffixes.



/AddTLNEX Valid only for a Forest Transitive Non-Windows Realm Trust and can only be performed on the root domain for a forest. Adds the specified Top Level Name Exclusion (DNS Name Suffix)to the Forest Trust Info for the specified trust. Also see the /NameSuffixes operation to list name suffixes. /RemoveTLN Valid only for a Forest Transitive Non-Windows Realm Trust and can only be performed on the root domain for a forest. Removes the specified Top Level Name (DNS Name Suffix) from the Forest Trust Info from the specified trust. Also see the /NameSuffixes operation to list name suffixes. /RemoveTLNEX Valid only for a Forest Transitive Non-Windows Realm Trust and can only be performed on the root domain for a forest. Removes the specified Top Level Name Exclusion (DNS Name Suffix)from the Forest Trust Info from the specified trust. Also see the /NameSuffixes operation to list name suffixes. NETDOM HELP command | MORE displays Help one screen at a time. The command completed successfully. สาธิตการสราง Trust แบบตางๆ



บทที่ 5 การกําหนดคาไซต และการจัดการเรพพลิเคต ในบทนี้จะกลาวถึงสิ่งตางๆดังนี้

- เขาใจเกี่ยวกับไซต และเรพพลิเคต - การกําหนดคาในไซต - การกําหนดคาเรพพลิเคตระหวางไซต - การกําหนด Global Catalog Servers - การกําหนดแบง Application Directory - การตรวจสอบ และการแกปญหาเรพพลิเคต

5.1 เขาใจเกี่ยวกับไซต และเรพพลิเคต ผูเรียนจะเขาใจสิ่งตางๆดังนี้

- เขาใจเกี่ยวกับไซต - เขาใจเกี่ยวกับการเรพพลิเคต

เขาใจเกี่ยวกับไซต ไซตที่กําหนดจะพิจารณาบน Internet Protocol (IP) Subnets ซึ่งตองพิจารณาลิงค วามีความนาเชื่อถือ และความเร็ว ซึ่งโดยสวนใหญจะเปน Local Area Network (LAN) และใช IP Subnet ในการพิจารณา โดยความเร็วตองสูงกวา 128 Kbps และถาสูงกวา 512 Kbps ถือวามีลิงคความเร็วสูง ขอพิจารณาในการดูขอมูลที่แยกระหวางไซตมีดังนี้

– การตรวจสอบผูใช (Authentication) เครื่องลูกขายตองอยูใกล Domain Controllers ที่สุด

– พิจารณาขอมูลที่มีการสงระหวางไซต (Replicate) เขาใจเกี่ยวกับการเรพพลิเคต ใน Active Directory ทุกออปเจคในฟอเรสตจะถูกนําเสนอใน Directory tree ซึ่งมีโครงสรางเปนลําดับช้ัน โดยมีการแบงสวนกันเรียกวา Directory partition ซึ่งขอมูลที่มีการเรพพลิเคตคือ ขอมูลที่มีการเรพพลิเคต

- Schema Partition คือออปเจคตางของ Attributes และ Classes ซึ่งจะสงไปยังทุก Domain Controller ในฟอเรสต

- Configuration Partition คือโครงสราง Logical ของโดเมนที่จัดการติดตอกัน จะสงผลไปทุก Domain controllers และทุก Domains ในฟอเรสต

- Domain partition ออปเจคที่จะสงในทุก Domain Controllers ในโดเมนนั้น (Users, Global Group, Domain Local Group) แตรายละเอียดผูใชบางสวนเชน Logon Name, DN จะถูกสงไปที่ Global Catalog



ในกรณีที่มีชนิดของ Directory partition ใหม Application directory partition ที่ใชไดใน Domain controllers ใน Windows Server 2003 operating system พารติช่ันที่ถูกใชโดยแอพพลิเคชั่น และบริการที่เก็บขอมูลที่ระบุ รวมถึงชนิดของออปเจคยกเวน security principals (Users, groups, และ Computers) Application partition สามารถที่ถูกเรพพลิเคตไดในกลุมของ Domain Controllers บนฟอเรสต ไมจําเปนตองอยูในโดเมนเดียวกัน เชน RAS, RADIUS, DHCP, Common Open Policy Service (COPS) เปนตน บาง Domain controllers ที่เปน Global Catalog servers จะมีการจัดเก็บบางสวนของ Directory partition objects จากโดเมนอื่น เพื่อใชในการคนหา ซึ่งบางสวนนี้จะกําหนดเปน Read-only ที่เก็บในเครื่องที่รับการเรพพลิเคตโดยแอตทริบิ่วคือ isMemberOfPartialAttributeSet คาของ AttributeSchema objects กําหนดเปน True ทริกเกอรการเรพพลิเคต

- การสรางออปเจคใหม - การแกไขออปเจค - การยายออปเจค - การลบออปเจค

ขอมูลถูกเรพพลิเคตอยางไร

- การลดขนาด ในระหวางไซตจะประหยัดแบดวิดชลง ในไซตเดียวกันไมลดขนาด - รูปแบบการเรพพลิเคต ลดเวลาในการเรพพลิเคตโดยใชการ Pull ถาเปนตางไซตจะใชตามเวลาที่กําหนด - ความถี่ในการเรพพลิเคต เปนรอบที่กําหนดภายในไซต เปนรอบตามเวลาในตารางถาเปนระหวางไซต - โปรโตคอลที่ขนสง ในไซตเดียวกันใช RPC ในตางไซตใช IP หรือ SMTP

ภายในไซตจะมี KCC ซึ่ง Domain Controller จะชวยในการสราง Replication topology ระหวางกันในโดเมน การบังคับใหมีการเรพพลิเคต เราสามารถที่กําหนดใหมีการเรพพลิเคตไดโดยใชเครื่องมือ 4 ตัวดังนี้

1. Active Directory Sites and Services



2. Repadmin

3. Replmon



4. สคริปต

Site Link

ในการติดตอขามโดเมนจะมีการกําหนดคา Site links โดยกําหนดเปน Logical ซี่งกําหนดระหวางสองไซต หรือมากกวา โดยการสรางจะทําใหมีการสราง Replication Topology ซึ่งการกําหนดนี้ตองเปนแบบดวยมือ สรุปการกําหนด Site Link ดังนี้



- เปนลิงคขามไซต - เปนการกําหนดทาง Logical ซึ่งกําหนดการเชื่อมตอ Transitive ระหวางไซต - กําหนดคาลิงคไดเปน IP หรือ SMTP

Site Link Transitivity โดยดีฟอลทจะเปน Transitive คือเมื่อ Site A-> Site B, Site B-> Site C แลว Site A-> Site C สาเหตุที่ยกเลิก Transitive

– ตองการควบคุมการจราจร

– หลีกเลี่ยง Path ที่กําหนดในการเรพพลิเคตเปนสวนๆ

– IP network มีเสนทางติดตอไมสมบูรณ Site Link Bridges เปนการลิงคบน Transport ที่มีการกําหนด Transitive ซึ่งจะสามารถที่ไมอนุญาต โดยสรางการกําหนดใน Site link ที่ตองการ

ภาพแสดงการสราง Site Link Bridge คําอธิบาย BERN ติดตอกับ Zurich ผาน LUCERNE ซึ่งถาเราตองการกําหนดใหเปนเชนนี้เสมอเราจะสราง Site Link Bridge ช่ือ Ber-Lu-Zur ซึ่งเมื่อมีลิงคมากกวานี้ก็จะกําหนดติดตอผาน Lucerne เทานั้น

- เปนการเช่ือมตอสองไซต หรือมากกวา - กําหนดเพื่อสราง Transitive และ Logical link ระหวางไซต



Bridgehead servers

ภาพแสดง Bridgehead server เครื่องตางๆที่เปน DC เรากําหนดตัวแทนในการลิงคขามไซตได เครื่องที่เปนตัวแทนเรียกวา Bridgehead server เปนเครื่องที่อยูในโดเมนกําหนดใหเรพพลิเคต หรืออัพเดตจากไซตอื่นๆ กําหนดโดยอัตโนมัติดวย KCC (Knowledge Consistency Checker) การทํางานของ Intersite Replication 1. รอบเวลาที่กําหนด Bridgehead server ใน Zurich จะดึงขอมูล Bridgehead server ใน Lucerne site เพื่ออัพเดตขอมูล 2. ถา Bridgehead server ใน Lucerne site มีการอัพเดตขอมูล Active Directory ที่มีการลดขนาดที่สงจาก Zurich Site 3. เมื่อ Bridgehead server ใน Zurich site ไดรับขอมูล ก็จะเรพพลิเคตตอไปที่ Domain Controllers ตางๆในไซต



5.2 การกําหนดคาในไซต ผูเรียนจะเขาใจสิ่งตางๆดังนี้

- คากําหนดในไซต - การสรางไซต - การสราง Subnet - การสราง, การยาย, การนําออก ของออปเจค Domain Controller ในไซต - การตั้ง Site License Server

คากําหนดในไซต สิ่งที่ตองกําหนด

– สรางไซต – สราง Subnet และกําหนดคาในไซต

– สราง และยายออปเจค Domain Controller

– แตงตั้ง Site license server สําหรบัไซต โปรแกรมที่ใช Active Directory Sites and Services

บุคคลที่ทําการสรางไซตไดตองอยูในกลุม Enterprise Admins เพราะฉะนั้นถาใครเปน Administrator ในโดเมน Child หรือ Domain tree ไมสามารถที่สราง Site ใหมขึ้นมาได



ท่ีเก็บไซตแตละท่ีในฟอเรสต Site Container จะเก็บออปเจคเปนลําดับชั้นดังนี้ - ดูจํานวนของออปเจคในไซต ซึ่งจะมีอยูสามประเภท

o Licensing Site object o NTDS Site Settings object o Server Container

- การจัดเกบ Inter-Site Transports ที่เก็บคาออปเจค Sitelink - เก็บคา Subnets ซึ่งจะเก็บในออปเจจคของ Subnet

การสรางไซต เมื่อมีการติดต้ัง Active Directory บน Domain Controller แรกจะมีช่ือ Default-First-Site-Name ซึ่งจะเก็บคาทั้งหมดของ Domain controller ตางๆไวที่นี้ ซึ่งเราตองมีการกําหนดตําแหนง และไซต เพื่อวางแผนในการจัดการไซต สรุปสิ่งที่ตองทราบในไซต

- ตองมีเครื่อง Domain Controller - คาดีฟอลทจะอยูที่ Default-First-Site-Name - กําหนดคาไซตที่ตองการพิจารณาดังนี้

o ทุก LAN จะตองมีความเร็วสูง o ที่อยูที่ไมตอโดยตรงจะใช SMTP mail

o เครือขายที่แยกลิงคจะมีการจราจรสูงในบางชวง ตองกําหนดใหเหมาะสม



การสราง Subnet

เครื่องคอมพิวเตอรตองทํางานบนเครือขาย TCP/IP และเก็บแบงเปนชุดของ Subnet ซึ่งเมื่อคอมพิวเตอรตรวจสอบในขณะที่ล็อกออนจะพิจารณาสอดคลองกับ Active directory replication ซึ่งจะหาเครื่อง Domain Controllers ที่ดีที่สุด เพื่อใหมีประสิทธิภาพในการล็อกออน การกําหนดคา Subnet ตองระบุ Network ID และ Subnet Mask สาธิตการสรางไซต และ Subnet



การสราง, การยาย, การนําออก ของออปเจค Domain Controller ในไซต เมื่อการติดต้ัง Active Directory บนเครื่อง Domain Controller แรกในโดเมน จะอยูใน Site objects ที่ช่ือ Default-First-Site-Name ซึ่งเมื่อกําหนดคาในไซตที่มีอยูก็จะตองมีการดีโมท หรือทําการยาย Domain Controller ขามไซต

- สิ่งที่พิจารณาตําแหนง Domain Controllers มีดังนี้

o หนึ่ง Domain Controller ในแตละไซต เพื่อกําหนดการรองขอของเครื่องลูก

ขายใน LAN o สอง Domain Controllers ในแตละโดเมน เปนการกําหนดเพื่อลดโหลดของเครื่องใน Domain

Controller - เหตุผลท่ีเพิ่ม Domain controllers

o ขนาดผูใชจํานวนมากในไซต และลิงคมีความเร็วตํ่า o ลิงคในไซตที่ไมนาเชื่อถือ หรือการเชื่อมตอที่ใชไมไดในบางขณะ

- ประสิทธิภาพที่ไมเหมาะกับการมี Domain Controller ในไซต o ไซตมีผูใชจํานวนนอย o ไซตมีเครื่องลูกขายขนาดเล็ก และไมมี Serverใช แนะนําใหใช Workgroup

การต้ัง Site License Server เปนบทบาทเครื่องที่ตรวจสอบการใชซอฟตแวรวาใชถูกตองหรือไม โดยมีการตรวจสอบการจัดซื้อ การลบ และการใชงาน โดยจะมีการสงขอมูลระหวางไซตเพื่อใหเก็บไวที่สวนกลาง เครื่องมือที่ใชคือ Licensing โดยเครื่องที่เก็บเรียกวา Site license server



สรุปสิ่งที่ควรรูเกี่ยวกับ Site License Server

- เปนการตรวจสอบ Software License agreement - เครื่อง Domain Controller เครื่องแรกจะเปน Site license server - องคกรใหญสามารถที่เก็บ Site license Server ได - เครื่องมือที่ใช Active Directory Sites and Services

ขั้นตอน

1. ไปเปด Services ที่ Start > Programs > Administrative Tools > Services โดยดีฟอลทถูก Disable อยูใหเลือกเปน Automatic

2. ทําการ Start บริการ 3. ไปที่ Administrative Tools > Licensing เราสามารถตรวจสอบไลเซนตที่ใชงานได



ถาตองการกําหนดคา Replicate ไปทําที่ Licensing ใน Control panel (เครื่องตองเปดบริการ Licensing กอน) ปฏิบัติการที่ 11 การกําหนดคาในไซต



5.3 การกําหนดคาเรพพลิเคตระหวางไซต ผูเรียนจะเขาใจสิ่งตางๆดังนี้

- การกําหนดคา Intersite Replication - การสราง Site links - การกําหนดคาคุณสมบัติ Site link - การแตงต้ัง Preferred Bridgehead Server - การสราง Site link bridge - การสราง และการกําหนดคาออปเจคการเชื่อมตอ

การกําหนดคา Intersite Replication สิ่งที่ตองปฏิบัติมีดังนี้

– การสราง Site links

– การกําหนดคุณสมบัติ Site link

– การแตงต้ัง Preferred bridgehead server

– สราง Site link bridge

– สราง และกําหนดคาออปเจคการเชื่อมตอ การสราง Site links ตองมีเครื่อง Domain Controller เครื่องแรกกอน ซึ่งใช Active Directory Installation Wizard และจะมีการสรางลิงคดีฟอลทที่ช่ือ DEFAULTIPSITELINK ที่เก็บคาไวในไซตแรกที่เปนดีฟอลท สรุปสิ่งที่ควรรูเกี่ยวกับ Site links

- ดีฟอลทจะมี DEFAULTIP-SITELINK - สามารถกําหนดใหมไดโดยใช Active Directory Sites and Services - Replication Transport Protocols

o Directory Service Remote Procedure Call (DS-RPC) o Inter-Site Messaging- Simple Mail Transport Protocol (ISM-SMTP)



สาธิตการใช Site Link การกําหนดคาคุณสมบัติ Site link ตองมีความมั่นใจในประสิทธิภาพของการเรพพลิเคต และ Fault tolerance ซึ่งสิ่งที่กําหนดมีดังนี้



- กําหนดคา Site Link Cost เปนการกําหนดเลือกเสนทางยิ่ง Cost สูงยิ่งไมใช - กําหนดความถี่ Site Link Replication สามารถกําหนดไดตํ่าสุด 15 นาที - กําหนดตารางเวลา Site Link Replication ที่ใชงานได กําหนดเปนตารางเวลาที่ตองการ

การแตงต้ัง Preferred Bridgehead Server Bridgehead Server เปนเครื่องที่ใชติดตอแลกเปลี่ยนขอมูลระหวางไซต ซึ่งในสองไซตจะมี Site link หนึ่งโดย KCC จะเลือกเครื่องที่ติดตอที่เปน Bridgehead server ซึ่งจะมีหนึ่งในทุกไซตสําหรับทุกๆโดเมนที่ Domain Controllers อยูในไซต เราสามารถกําหนด Preferred Bridgehead server เพื่อใหเครื่องคอมพิวเตอรที่เหมาะสมทั้งแบนดวิดช ในการขนสงขอมูล และการแลกเปลี่ยนขอมูล ก็จะดูความสามารถ และทําการอัพเดตขอมูล ซึ่งเราสามารถเลือก Preferred Bridgehead server ไดหลายเครื่อง ถามีการกําหนดคา Firewall จะตองมีการสรางจุดแลกเปลี่ยนขอมูลดวย ความหมายของการใช Preferred Bridgehead Server ถา Preferred bridgehead server ลม Active directory จะเลือกเครื่อง Preferred bridgehead server ที่เหมาะสมจากการที่กําหนด



การแทนที่ Preferred Bridgehead server ที่มีปญหา

– เพิ่ม Domain Controllers และแตงต้ังเปน Preferred Bridgehead server

– นํา Preferred bridgehead ที่แตงต้ังออก และใหเลือก Bridgehead servers โดยอัตโนมัติ ขั้นตอนการเรียกใช

1. ล็อกออนดวย Administrator ใน Forest Root domain 2. เรียก Active Directory Sites and Services 3. ไปที่ Sites > Servers > เลือกเครื่องที่ตองการ > คลิกขวาเลือกคําสั่ง properties 4. เลือกลิงค และคลิก Add มีสองแบบ IP, SMTP เสร็จแลวคลิก OK

เราสามารถกําหนด Bridge head server ไดมากกวาหนึ่งเครื่อง



การสราง Site link bridge

กําหนดโดยใช Active Directory Sites and Servicesไปกําหนดที่ Inter-Site Transports -> โฟลเดอร IP or SMTP -> เลือก New Site Link Bridge การสราง และการกําหนดคาออปเจคการเชื่อมตอ (Connection Object) เปนการกําหนดการนําเขาการเชื่อมตอในเครื่อง Domain controller ซึ่งเมื่อไซตหน่ึงมี KCC สรางการเชื่อมตอภายในไซต เมื่อมีมากกวาหนึ่งไซต KCC จะมีทุกไซตในทุกออปเจคการเชื่อมตอสําหรับการเรพพลิเคตระหวางไซต การสราง Connection objects สามารถทําไดโดย Administrator ซึ่งสรางเปน “owned” โดย KCC การเพิ่ม Connection objects ดวยมือจะเปนการลด Connection objected ที่สรางโดย KCC เพื่อเพิ่มประสิทธิภาพในการเรพพลิเคต Connection Transport ในทุกๆ Connection object จะมีการเลือก Replication transport ที่กําหนดโดยดีฟอลทคือ RPC ซึ่งใชกับความเร็วสูง ซึ่ง RPC ทํางานบน IP ในไซตอีกที แตถา IP และ SMTP ใชการติดตอระหวางไซต ซึ่งเลือกไดตามตองการ



ขั้นตอนคือ

1. ล็อกออนดวย Administrator ใน Forest Root domain 2. ใช Active Directory Sites and Services 3. ไปที่ Sites > Default-First-Site-Name > Servers > เคร่ือง Server > NTDS Settings >

Connection Connection Schedule ในแตละ Connection object จะมีการกําหนดตารางเวลาโดยอัตโนมัติโดย KCC ซึ่งเราสามารถกําหนดเองไดโดยเพิ่มตํ่าสุด 15 นาที ซึ่งดีฟอลทจะสรางหนึ่งตอช่ัวโมง เปนคาใน NTDS Site Settings object ซึ่งกําหนดเปน No replication, Once Per Hour (Default), Twice Per Hour, หรือ Four Times Per Hour



ปฏิบัติการที่ 12 การกําหนดคา InterSite Replication



5.4 การกําหนด Global Catalog Servers ผูเรียนจะเขาใจสิ่งตางๆดังนี้

- เขาใจเกี่ยวกับ Global Catalog Servers - การสราง และการนํา Global Catalog ออก - การอนุญาตใชฟเจอร Universal Group Membership Caching

เขาใจเกี่ยวกับ Global Catalog Servers Global Catalog เปนที่เก็บที่เก็บขอมูลตางๆของออปเจคในทรี หรือฟอเรสต ซึ่งโดยดีฟอลท Global Catalog จะสรางขึ้นมาบนเครื่องแรกที่เปน Domain Controller ซึ่งจะมีการเก็บออปเจคทั้งหมดในโดเมนที่อยู และขอมูลบางสวนของตามโดเมน มีคียหลักสามขอคือ

– อนุญาตใหผูใชล็อกออนเครือขายรองรับสมาชิกใน Universal Group

– อนุญาตใหคนหาขอมูลรายช่ือ โดยเขาไปโดเมนในฟอเรสต

– แกปญหา User principal names (UPNs) เมื่อมีการตรวจสอบผูใช ฟเจอร Universal Group membership Caching ระหวางเครือขายแบนวิดช และ Server ที่มีขอจํากัดฮารดแวร อาจจะไมมี Global Catalog ในออฟฟศที่อยูทางไกล สามารถใชฟเจอรของ Universal Group membership caching ความสามารถนี้เปนความสามารถใหมใน Windows Server 2003 คือไมตองเปน Global Catalog server แตเปน Universal Group membership caching ที่สามารถที่ใชล็อกออนโดยไมมี Global Catalog โดยทั่วไป Universal Group membership จะมีการเก็บแคชแตละ Domain Controller ทุก 8 ช่ัวโมง ซึ่งทําไดเฉพาะเครื่องที่เปน Windows Server 2003 โดยจะสง Universal group membership ที่ยืนยันไปที่เครื่อง Global Catalog ซึ่งมีไดถึง 500 Universal group memberships ในการอัพเดตตอครั้ง ขอดีของการใช Universal group membership ในออฟฟศที่อยูไกล

- ล็อกออนไดเร็ว เพราะวาเครื่อง Domain Controllers จะไมตองไปหา Global Catalog - ไมจําเปนตองอัพเกรดฮารดแวร ใช Domain Controllers ที่มีอยูเดิมในการรับความตองการระบบเพิ่มสําหรับ

Hosting a global catalog - ลดการใชแบนวิดชของเครือขายลง

พิจารณาตําแหนง Global Catalog Servers เพื่อใหการตอบสนองเหมาะสม ตองมีการวาง Global Catalog ในแตละไซตที่มี Domain Controller ซึ่งจะรองรับการรองขอในการติดตอ ซึ่งเหตุผลในการเพิ่ม Global Catalog มีดังนี้

– ดูเรื่องประสิทธิภาพ

– Fault tolerance



– การล็อกออนเขาใชอยางรวดเร็ว Global Catalog จะใชพอรต 3268 ซึ่งใชในการแกปญหาใน Global catalog queries การสราง และการนํา Global Catalog ออก ใช Active Directory Sites and Services แลวไปที่ Domain Controller และกําหนด NTDS Settings จะมีคุณสมบัติใหกําหนด

การอนุญาตใชฟเจอร Universal Group Membership Caching ใช Active Directory Sites and Services แลวไปกําหนดใน NTDS Site Settings, และกําหนด Properties ในเช็กบ็อกซจะมี Enable Universal Group Membership Caching



5.5 การกําหนดแบง Application Directory ผูเรียนจะเขาใจสิ่งตางๆดังนี้

- Application Directory Partitions - Application Directory Partition Replication - Application Directory Partitions และ Domain Controller Demotion - Security Descriptor Reference Domain - การจัดการ Application Directory Partitions

Application Directory Partitions เปนการกําหนดการเรพพลิเคตบน Domain Controller ที่ระบุ ซึ่งจะมีเพียง Domain Controllers ที่รันเฉพาะ Windows Server 2003 เทานั้น จะมีการสงขอมูล Application และ Services ที่สามารถสงผาน Application Directory partitions โดยออปเจคตางๆที่เก็บขอมูลของแอพพลิเคชั่นยกเวน Security principals (Users, Groups, and Computers) ขอดี

– รองรับ Redundancy, Availability, หรือ Fault tolerance ซึ่งสงยังทุก Domain controllers ในฟอเรสต

– ลดการจราจรในการเรพพลิเคต เพราะจะสงไปยังเฉพาะเครื่อง Domain controllers

– Applications หรอื Services ใช LDAP ซึ่งเก็บใน Active Directory ช่ือของ Application Directory เปนสวนหน่ึงของชื่อในฟอเรสต Application Directory Partition Replication

- KCC จะสราง และกําหนดโทโปโลยี่ในการดูแลรักษาทั้งหมด - การเรพพลิเคตระหวางไซตจะพิจารณาตามตารางเวลาที่กําหนด - พอรตที่ใชใน Global Catalog คือ LDAP, port 3268, หรือ LDAP/SSL port 3269

Application Directory Partitions และ Domain Controller Demotion

- Domain controller ที่เก็บขอมูลที่เรพพลิเคตถูกนําออกก็จะลบ Application directory partition กอนที่ดีโมท - ถา Domain controller เก็บขอมูลเปนเครื่องสุดทายผูนําออกตองกําหนดดวยมือ



- กอนลบ Application Directory partition จะตอง

o ระบุ Applications ที่ใช o พิจารณาวาถาลดเครื่อง Replica สุดทายแลวมั่นใจหรือไม o ระบุเครื่องมือที่ใชลบรองรับโดย Application

Security Descriptor Reference Domain เปนการอธิบายถึงวามีใครสามารถทําอะไรบนขอมูลที่ได หลายคนรูจักวาเปน Access Control List

- ทุกที่เก็บออปเจคจะมีขอมูล Access control ซึ่งเรียกวา security descriptor - ควบคุมโดยใช Users, groups, และ Computers - Domain Admins ถูกกําหนด Permissions เปน Read only - ถาโดเมนที่กําหนดเปน Child ของ Domain ที่อยู Parent domain directory partition จะเปน Security

descriptor reference domain - กําหนดคาตางๆดวยมือได

การจัดการ Application Directory Partitions เครื่องมือที่ใช สราง ลบ หรือจัดการมีดังนี้

– Application-specific tools จากผูขายแอพพลิเคชั่น – Ntdsutil command-line



– LDAP – Active Directory Service Interfaces (ADSI)

สิ่งที่ทําไดมีดังนี้ – สรางหรือลบ Application directory partition – เพิ่ม หรือนํา Application directory partition replica ออก – แสดงขอมูล Application directory partition – กําหนดเวลาแจงเตือน – เตรียมออปเจค Cross-reference – กําหนด Application directory partition reference domain

การสราง หรือการลบ Application Directory Partition ไปที่ Dos Prompt > ใชคําสั่ง ntdsutil > พิมพวา Domain management เคาะ Enter ระบุเขาไปยัง Domain Controller ทําโดย Connection > Connect to server ช่ือเครื่อง > พิมพ Quit การสราง Create nc ApplicationDirectoryPartition DomainController การลบ Delete nc ApplicationDirectoryPartition การเพิ่ม และการรนํา Application Directory Partition Replica ออก เขาใน ntdsutil และไปที่ Domain management การเพิ่ม add nc ApplicationDirectoryPartiton DomainController การนําออก Remove nc ApplicationDirectoryPartition การแสดงขอมูล Application Directory Partition ไปที่ Dos แลวเขาใน ntdsutil และพิมพวา Domain management การแสดง list nc information DistinguishedName และ list nc replicas DistinguishedName การกําหนดคาดีเลยในการเรพพลิเคต ไปที่ Dos เขาใน ntdsutil และไปที่ Domain management พิมพวา set nc replicate notification delay ApplicationDirectoryPartition Delayinseconds AdditionalDelayInSeconds การแตงต้ังการสราง Application Directory Partitions

- การสรางออปเจค Cross-referrence - การสรางโหนดรูทของ Application directory partition

วิธีการคือ ไปที่ Dos prompt > เขาใน ntdsutil และไปที่ Domain management พิมพวา Precreate ObjectName DomainController การกําหนด Application Directory Partition Reference Domain



เปนการกําหนดดีฟอลทของ Security Descriptor สําหรับออปเจค โดยดีฟอลทจะเปน Parent domain ของ Application directory partition การกําหนดมีดังนี้ ไปที่ Dos Prompt, เขาใน ntdsutil และไปที่ Domain management พิมพวา Set nc reference domain ApplicationDirectoryPartition ReferenceDomain สาธิตการสราง และการลบ Application Directory partition



5.6 การตรวจสอบ และการแกปญหาเรพพลิเคต ผูเรียนจะเขาใจสิ่งตางๆดังนี้

- เครื่องมือที่ใชในการตรวจสอบ - การแกปญหา Active Directory Replication

เคร่ืองมือท่ีใชในการตรวจสอบ

- Replmon.exe: Active Directory Replication Monitor - Repadmin.exe: Replication Diagnostics Tool - Dsastat.exe

Replmon ไปที่ Command Prompt และพิมพวา Replmon คลิกขวาที่ Monitored servers เลือกที่เลือกที่ Add Monitored servers > เลือกที่ Add the server explicitly by name และคลิก Next

ระบุช่ือเครื่องที่ตองการในชอง Enter the name of the server to monitor explicitly, คลิกที่ Finish



เขาไปดูในรายละเอียดขอมูลที่ตองการ



เขาไปดูรายละเอียดใน Server ที่กําหนดได

วิธีการกําหนดมีดังนี้

1. คลิกขวาที่ DN ของ Domain เลือกคําสั่ง ฟเจอรที่กําหนดในออปชั่นมีดังนี้



คือเราเลือกที่จะ

- รองรับ Transitive เมื่อเครื่องไดรับมาแลวจะสงตอไปยังเครื่องอื่นๆ หรือโดเมนยอยลงไปอีก - เลือกแบบ Push เปนการกําหนดวาเราผูสงจะสงขอมูลไปถึงผูรับ ไมตองรอใหผูรับมาทําการดึง (Pull) ขอมูล

กลับ - เลือกแบบ Cross ตางติดตอถึงกันและกันภายใน Server ทั้งหมด

คําสั่ง Repadmin.exe เปนเครื่องมือในการตรวจสอบการเรพพลิเคตอยูใน DOS Command รูปแบบคําสั่ง Repadmin command argument [/rpc] [/ldap][/u:domain\user |pw:{password|*}] การใช Repadmin เพื่อ

- แสดงคูเรพพลิเคตสําหรับ Server - แสดงคาสูงสุดของ Update sequence number (USN) บนเครื่อง Server - แสดง Connection objects สําหรับ Server - บังคับ Replication ระหวางคูเรพพลิเคต

เครื่องมือนี้อยูใน Support Tools ของ Windows Server 2003 คําสั่ง DSastat.exe เปนเครื่องมือที่ใชเปรียบเทียบ และตรวจสอบความแตกตางระหวาง Directory partitions บน Domain Controllers สามารถที่มั่นใจวามีการอัพเดตขอมูล แลวหรือไม รูปแบบคําสั่ง



Dsastat [/loglevel:option] [/output:option] [/s:servername[portnumber][;servername[portnumber];…]] [/t:option] [/sort:option] [/p:entrynumber] [/scope:option] [/b:serachpath] [/filter:ldapfilter] [/gcattrs:option[;option;…]] [/uusername] [/pwd:password] [/d:domain] Arguments [Dsastat::usage] Error: Invalid usageUsage: dsastat [options] Options: -loglevel:<level> : debug, trace, info [def: info] -output:<level> : file, screen, both [def: both] -s:<name(s)> : Server names delimited by ';' [def: NULL] -b:<search baseDN> : Base DN for search for objects [def: NULL] -scope:<level> : Scope of search. BASE, ONELEVEL, SUBTREE [def: SUBTREE] -filter:<ldap filter : filter for search. [def: (objectclass=*)] -sort:<true or false> : request in sorted order [def: false] -t:<true or false> : stats only. False does a full content comparison[def:true] -p:<page size> : number of entries to a page [def: 64] -u:<name> : bind user name [def: NULL] -d:<name> : authenticating domain [def: NULL] -pwd:<name> : bind password [def: NULL] -gcattrs:<query attr(s): attributes to be queried. See note below [def: auto] -debug:<true or false> : add debug info [def: FALSE] -checkForMangledMemberDn:<true or false> : check for mangled RDNs in member attribute [def: FALSE] -checkForBadSingleValuedAttr:<true/false> : check for single valued attrs with multiple valoues [def:FALSE] ตัวอยางคาํสั่ง Dsastat Dsastat /s:server1;server2 /b:DC=contoso,Dc=com /gcattrs:all /sort:true /t:false /p:16 เปนการคนหาขอมูล Dsstat /s:server1;srever2 /b:OU=Sales,DC=contoso,DC=com /gcattrs:all /sort:true /t:false /p:16 เปนการคนหาเปรียบเทียบใน OU

สาธิตเคร่ืองมือท่ีใชแกปญหา Active Directory Replication การแกปญหา Active Directory Replication ปญหาตางๆของ Active Directory Replication เหตุ การแกไข การเรพพลิเคตถูกยุติ ใหสราง Site link จากไซตปจจุบันไปที่ไซตที่ตองการใน



ไมสามารถที่จะสงขอมูลระหวางไซตกันได เครือขาย การเรพพลิเคตชา แตทํางานได มีกลไกการเรพพลิเคตไมสมบูรณ คือวาแผนไมเหมาะสม โดยอาจจะไปเสนทางที่ไมตองการ

ใหกําหนดคาเหมาะสม โดยอาจจะใชการกระจาย Site links และทําการสราง Site link bridges เพื่อเพิ่มประสิทธิภาพการดําเนินงาน

การเรพพลิเคตชา แตทํางานได การจราจรสูงมากจนไมสามารถสงขอมูลไปถึงได

เพิ่ม Network bandwidth หรือลดความถี่ในการสงขอมูลระหวางกัน อาจจะใชเทคนิคการเพิ่ม Site link หรือ Site link bridge เขาชวยได

ขอมูลไดเรคทรอรี่เปลี่ยน แตไมอัพเดตในเครื่อง Domain controller ขามไซต

ใหเพิ่มความถี่ในการกําหนด Intersite replication และตรวจสอบจํานวนเฟรมที่สงในแตละครั้ง

ลูกขายตองรองขอ Authenicaton information ผานgเครือขายความเร็วตํ่า

ใหต้ัง DC รองรับ และแยกออกไป รวมถึงการกําหนด Connection และเพิ่ม Bandwidth

ไดรับ Error Event ID 1311 ใน directory service log มีการเรพพลิเคตผิดในเครื่อง DC บางตัว Offline อยูและกําหนดเปน Bridgehead หรือ Site link กําหนดไมทุกการเช่ือมตอ

ตองมั่นใจวาทุก Site มี Site link และมีการกําหนด Domain Controller ใหมีการเรพพลิเคต ตรวจสอบ Bridgehead วาทํางานอยู

ถาได Event ID 1265 with error “DNS lookup failure” หรือ “RPC server is unavailable)

ใหตรวจสอบการลงทะเบียนใน DNS ที่ dsaGuid._msdcs.Forestname วาไดมีการลงทะเบียนหมดหรือไม และ DNS Zone กําหนดแตงตั้งลงไปอยางถูกตองหรือไม แกปญหา DNS เปนหลัก

Event ID 1265 “Access denied” ใน Directory srvie log หรือจาก repadmin command เปนปญหาวามีการตรวจสอบผิดพลาดในการเรพพลิเคตกับเครื่อง ซึ่งอาจจะมี DC ไมทําการติดตออยู หรือพักไปนาน หรือมีรหัสผานเปลี่ยนไป

- ยุติ KDC พิมพ net stop KDC - ทําการเคลียรแคชที่ DC ที่นั่น - รีเซตผูใชใหมดวย netdom /resetpwd - ทําการซิงคกับเครื่องตางที่ PDC emulator

master - บังคับใหมีการเรพพลิเคตดวยมือ บน PDC

emulator master - แลวมารับ KDC ใหม ดวย net start KDC

ไดรับ “Access denied” จาก AD Sites and Services เมื่อมีการเรพพลิเคตดวยมือ

ใหใช Repadmin หรือ REplmon ในการสั่ง Replicate โดยระบุที่ directory partition ที่ตองการ

- ผูใชที่สรางใหมไมปรากฏ เนื่องจาก DC หรือ Domain ยังไมมีการ Replicate ไปถึง



- Directory information ไมอัพเดต อาจจะเกิดจากการที่กําหนด Schedule ขามไซตไมเหมาะสม หรือกําหนด IP Subnet ไมตรงกับที่ใชงาน

- บริการที่รองขอไมรองรับในเวลาที่เหมาะสม - Domain Controllers ไมพรอมใชงาน - เครื่องมือที่ใช Replmon



บทที่ 6 การวางระบบโครงสราง OU ในบทนี้จะกลาวถึงสิ่งตางๆดังนี้

- เขาใจเกี่ยวกับ OUs - การสรางโครงสราง OU - การบริหารงาน OUs

6.1 เขาใจเกี่ยวกับ OUs Organizational Unit หรือที่เรียกวา OU เปนที่เก็บของออปเจค ในการจัดโครงสรางออปเจค ซึ่งมีการจัดกลุมเพื่อบริหารงานเชิง Logical ผูเรียนจะเขาใจสิ่งตางๆดังนี้

- เหตุผลในการกําหนด OU - การออกแบบโครงสราง OU

เหตุผลในการกําหนด OU

- การกําหนด OUs เพื่อแตงต้ังผูบริหารระบบ - การกําหนด OUs เพื่อบริการ Group Policy - การกําหนดเพื่อซอนออปเจค

การกําหนด OUs เพื่อแตงตั้งผูบริหารระบบ ผูกําหนดสามารถที่กําหนด Access Control List ในแตละออปเจคของ OUs ไดทําใหเกิดรูปแบบการบริหารงานเปนลําดับช้ัน โดยรูปแบบมีดังนี้ Location



Business Function

Object Type

แบบรวมกัน



ชนิดของการรับผิดชอบในงานบริการ แบงเปนสองชนิดในการรับผิดชอบคือ

- Full Control - Control สําหรับ Object Classes (Users, WMI, etc.)

โดยดีฟอลทจะมี Administrator ที่มีสิทธิ Full Control ในโดเมน ถาตองการแบงหนาที่รับผิดชอบยอยสามารถนํา OU เขาใชงานได การพิจารณา Object Class สําหรับ Administrator

- ดูพ้ืนที่โครงสรางที่ใหสิทธิ Full control บน Objects ในคลาสใน OU - ดูพ้ืนที่จัดโครงสรางที่อนุญาตให Create objects สําหรับคลาส และ Full control สําหรับออปเจคที่สราง - ดูพ้ืนที่จัดโครงสรางที่อนุญาตให Modify เฉพาะคุณสมบัติ หรือแสดงงานที่ระบุเกี่ยวของกับออปเจคที่มีอยู

ใน Class การกําหนด OUs เพื่อบริการ Group Policy Group Policies เปนที่เก็บคาติดตั้งของผูใช และเครื่องคอมพิวเตอร ซึ่งจะสามารถลิงคกับ Computers, Sites, Domains,

และ OU เพื่อกําหนดคาผูใช หรือเครื่องผูใช โดยจัดเก็บ Group Policy Objects การกําหนดเพื่อซอนออปเจค ในองคกรอาจจะมีออปเจคบางอยางที่ตองการซอนระหวาง OUs ซึ่งไมตองการใหผูใชเห็นที่เก็บที่อยูใน OU ที่สูงกวา หรือระดับเดียวกัน การกําหนดนี้ตองมีการพิจารณา Permissions ดวย



การออกแบบโครงสราง OU - การออกแบบ OUs ใหงาย - กําหนดจํานวน Forests และ Domains นอยที่สุด - ใชโครงสราง OU เพื่อใหตรงกับความตองการ - ลําดับช้ันควรนอยกวา 7 ลําดับ



6.2 การสรางโครงสราง OU ผูเรียนจะเขาใจสิ่งตางๆดังนี้

- การสราง OUs - การกําหนดคาใน OUs

การสราง OUS โปรแกรมที่ใชคือ Active Directory Users and Computers และเลือกออปเจค OU เพื่อสรางออปเจค

การกําหนดคา Ous เพื่อซอนออปเจค ใชโปรแกรม Active Directory Users and Computers และไปที่แท็บ Security เพื่อกําหนด Permissions แท็บ Security จะเห็นก็ตอเมื่อไปที่เมนู Views > Advanced Features



ปฏิบัติการที่ 13 การสราง Organizational Unit



6.3 การบริหารงาน OUs ผูเรียนจะเขาใจสิ่งตางๆดังนี้

- งานในการบริหาร - การใชคําสั่ง Dsmove

งานในการบริหาร

– การเปลี่ยนช่ือ

– การยาย

– การลบ OUs

– การกําหนดคุณสมบัติของ OUs ใน Active Directory Users and Computers สามารถที่ใชหลักการ Drag & Drop ในการยายออปเจคระหวาง Ous ไดซึ่งเปนความสามารถใน Windows Server 2003 การเปล่ียนชื่อ OU

คลิกขวาที่ OU ที่ตองการเลือกคําสั่ง Rename พิมพช่ือใหมทับไป คุณสมบัติของ Ous



ในแท็บ Managed By สามารถกําหนดผูจัดการ Ous ได การยายออปเจคใน Active Directory สามารถทําไดหลายวิธีคือ

- ใชการ Drag & Drop ใน Active Directory Users and Computers - ใชคําสั่ง Move options ใน Active Directory Users and Computers



- การใชคําสั่ง Dsmove

การใชคําสั่ง Dsmove เปนคําสั่งที่เรียกใชไดในการยายออปเจคที่ไมจําเปนตองอยูใน Tree เดียวกัน รูปแบบคําสั่ง Dsmove ObjectDN [-newname NewName] [-newparent ParentDN] [{-s Server | -d Domain}] [-u UserName] [-p {Password|*}] [-q] [-uc | -uco | -uci} ตัวอยางคําสั่ง ใชสําหรับยาย Dsmove “CN=User One, OU=Sales,DC=Contoso,DC=Com” –newparent OU=Marketing,DC=’contoso,DC=Com ใชสําหรับเปลี่ยนช่ือ Dsmove “CN=User One, OU=Sales,DC=Contoso,DC=Com” –newname “User Two” การใชรวมกัน



Dsmove “CN=User One, OU=Sales,DC=Contoso,DC=Com” –newparent OU=Marketing,DC=’contoso,DC=Com –Newname “User Two” ปฏิบัติการที่ 14 การบริหาร OUs ตัวอยางของการออกแบบ



บทที่ 7 การบริหารงาน User accounts ในบทนี้จะกลาวถึงสิ่งตางๆดังนี้

- ความเขาใจ User Accounts - การสราง User Accounts - การจัดการ User Profiles และ Home folders - การจัดการ User accounts

7.1 ความเขาใจ User Accounts ผูเรียนจะเขาใจสิ่งตางๆดังนี้

- สิ่งที่ควรเขาใจใน User accounts - ช่ือที่กําหนดใน Domain User account - ความตองการรหัสผาน และแนวทางในการกําหนด - การใชงานรวมกับ Smart Card

สิ่งที่ควรเขาใจใน User accounts User Account เปนเรคคอรดที่ประกอบดวยขอมลูตางๆที่กําหนดเปนผูใช รวมถึง User Name, Password ที่กําหนดในการล็อกออน สมาชิกของกลุม และ Permissions ตางๆ ซึ่งเมื่อผูใชมีการตรวจสอบจะไดรับสิทธิในการเขาใชทรัพยากร การตรวจสอบเรียกวา Authentication การใชงาน ใน Windows Server 2003 ที่มีการจัดโครงสรางเปนลําดับช้ันทําใหใชทรัพยากรตางๆในโดเมนอื่นๆได เปนผลใหผูใชล็อกออนเพียงครั้งเดียว ชนิดของ User Account

– Local User accounts คือผูใชในเครื่อง Windows XP Professional หรือ Windows server 2003 ที่ไมใช Domain Controllers

– Domain User accounts คือผูใชที่อยูบน Active Directory หรือบนโดเมน

– Built-in User account คือผูใชที่ระบบสรางตอนติดต้ัง หรือประกาศเครื่องขึ้นมาเปน DC ตัวอยางเชน Administrator, Guest, IUSR_ช่ือเครื่อง

Local User accounts เปนผูใชที่ล็อกออนบนเครื่อง และใชทรัพยากรในเครื่องที่ใชนั้นๆ ฐานขอมูลถูกจัดเก็บไวในเครื่องนั้นๆ ผูใชที่สรางในเครื่องนั้นๆจะไมมีผลตอการใชงานทรัพยากรในโดเมน



Domain User accounts เปนผูใชที่ล็อกออนในเครื่อง Domain Controller และไดรับสิทธิในทรัพยากรของโดเมนที่กําหนด โดยรองรับตั้งแต Windows NT Domain, Windows 2000, และ Windows Server 2003 โดยใน Windows Server 2000 และ Windows Server 2003 เรียกวา Active Directory

Built-in User account เปนผูใชที่ระบบสรางขึ้นมาในการติดตั้ง Windows Server 2003 เชน Administrator และ Guest Administrator เปนผูใชที่สามารถจัดการเครื่อง และทรัพยากรตางๆในโดเมนไดหมด ไมวาจะเปนการสราง แกไข ลบ หรือกําหนดนโยบายตางๆ ซึ่งการใชงานแนะนําใหเปลี่ยนช่ือ Administrator เพื่อปองกันการเดารายชื่อในการล็อกออน ถาเปนไปไดควรแยก User ทั่วไปกับ Administrator ออกจากกัน เพื่อความปลอดภัย โดยงานที่ไมเกี่ยวกับงานบริหารใหใช User ทั่วไปที่สรางขึ้น Guest เปนช่ือที่สรางในโดเมนไมมีสิทธิในการล็อกออน โดยทั่วไปจะถูกกําหนดไมใหใช Guest account ไมตองกําหนดรหัสผานในการเขาใชถามีการ Enable Administrator กับ Guest ไมสามารถลบได ชื่อท่ีกําหนดใน Domain User account

- พิจารณาวา User account ที่สรางเปน Local หรือ Domain - เลือกผูใชวาจะใชช่ือล็อกออนอยางไร โดยกําหนด DN ไมซ้ํากัน และขอมูลกําหนดที่ใชในการคนหา (RDN)

ไดอยางดี - พิจารณาอักขระที่ใชในชื่อล็อกออน กําหนดไดถึง 20 อักขระ ถายาวกวานี้ก็จะใชเพียง 20 อักขระ อักขระที่



ใชไมไดเชน / \ [ ] : ; | = , + * ? < > @ ในชื่อที่ล็อกออนไม Case Sensitive แตจะรักษาตัวเล็กตัวใหญไวให - พิจารณาอักขระที่ใชงานไดการปองกันช่ือที่ซ้ําซอน โดยอาจจะใชนามสกุลตัวอักขระแรก หรือหมายเลข

เปนตน - ระบุชนิดของ User เชนพนักงานประจําใชช่ือปกติ พนักงานชั่วคราวขึ้นตนดวย T-เปนตน - กําหนดใหรองรับกับ e-mail system ตองอยาใชช่ือที่มี “_” เนื่องจาก Internet ไมรองรับ และไมใชช่ือที่

ขึ้นตนดวยตัวเลขเพราะบางระบบไมรองรับ ความตองการรหัสผาน และแนวทางในการกําหนด รหัสผานเปนการปองกันการเขาใชโดเมน ซึ่งทุก User account ตองมีการกําหนดรหัสผาน สิ่งที่ควรทราบเกี่ยวกับรหัสผานบน Windows Server 2003 คือ

- รหัสผานสามารถกําหนดได 127 อักขระ ถาเปนระบบปฏิบัติการ Windows 9x รองรับ 14 อักขระ

- กําหนดความเขมแข็งของรหัสผาน o ไมควรนอยกวา 7 ตัวอักษร o ไมควรใช User name, ช่ือจริง, หรือช่ือบริษัท o ไมควรใชคําใน Dictionary o เมื่อมีการเปลี่ยนรหัสผานตองกําหนดวิธีการใหตางจากเดิม

ตารางแสดงกลุมรหัสผานที่แข็งแกรง

กลุม ตัวอยาง ตัวใหญ A, B, C, … ตัวเล็ก a, b, c, … เลข 0, 1, 2, … สัญลักษณ ‘ ~ ! @ # $ % ^ & * ( ) _ + - = [ ] { } | \ : “ ; < > ? , . / Complexity Password คือการนําอักขระแตละประเภทมาใชในการกําหนดรหัสผาน ตัวอยางรหัสผานเชน K*c6mr93}D IwtGNT5d (I want to go nectec 5 days) การใชงานรวมกับ Smart Card

- ระบบปฏิบัติการ Windows Server 2003 รองรับการทํางานรวมกับ ระบบ Smart Card เรียกวา PIN - เทคนิคที่ใชคือ Public key infrastructure (PKI) - การวางระบบ Smart Card - การกระจายใชงาน Smart Card



การวางระบบ Smart Card

– จะตองมีการนําอุปกรณฮารดแวรเพิ่ม

– มีการวางระบบสมัคร และสราง Smart card สําหรับบุคคลที่ตองการความปลอดภัยสูง การกระจายใชงาน Smart Card

• ปจจัยที่มีผลคือเรื่องคาใชจาย

– จํานวนผูใชที่ลงทะเบียนใน Smart Card

– การสอนวิธีการใชงาน รวมถึงการระบุตัวผูใช

– การฝกหัดในกรณีที่บัตรหาย

• นอกจากการรับรอง แลวสิ่งที่ควรทํามีดังนี้

– ระบุเครือขายที่ล็อกออน และยุทธวิธีที่กระจาย

– อธิบายถึงการพิจารณาการกระจาย และการประกาศ

– อธิบายถึงบริการ PKI certificate ที่รองรับใน Smart Cards



7.2 การสราง User Accounts ผูเรียนจะเขาใจสิ่งตางๆดังนี้

- การสราง Domain User Accounts - การแกไขคุณสมบัติของ Domain User Accounts

การสราง Domain User Accounts โปรแกรมที่ใช Active Directory Users and Computers สราง New User และกําหนดรายละเอียด

– User Name Options

รายละเอียด First Name, Initials, Last Name, Full Name เปนช่ือที่ใชในการแสดงผล User Logon name และกับ User Logon Name (Pre-Windows 2000) เปนช่ือที่กําหนดใชในการล็อกออน

– Password Options



Password กับ Confirm Password ที่กําหนดตองเหมือนกัน ออปช่ันที่กําหนดมี

- User Must Change password at next logon เมื่อล็อกออนครั้งแรกตองเปลี่ยนรหัสผาน - User cannot change password ผูใชไมสามารถเปลี่ยนรหัสผานได - Password never expires รหัสผานเปลี่ยนเมื่อไรก็ได - Account is disable ไมอนุญาตใหผูใชนี้ใชงาน

การแกไขคุณสมบัติของ Domain User Accounts เมื่อสรางผูใชแลว ผูบริหารระบบสามารถเขาไปดู และปรับเปลี่ยนคุณสมบัติของผูใชได โดยแบงแทบ็ที่แกไขเปนกลุมดังนี้ รายละเอียดของ User accounts จะมีแท็บตางๆ ใหแกไข



ขอมูลทั่วไป

- General - Address - Telephones - Organization

ขอมูลที่ใชเกี่ยวกับระบบ - Account - Profiles

ขอมูลในการตรวจสอบ Dial-up - Dial-In Environment - Sessions

ขอมูลในการกําหนดกับแอพพลิเคชั่น - Remote Control - Terminal Services Profile



- COM+ - Published Certificates

ขอมูลเกี่ยวกับความปลอดภัย - Object - Security

กําหนดคาติดต้ัง User account กับ Smart Card authentication ไปกําหนดในแท็บ Account และกําหนดใน Account Options ที่กําหนดวา Smart Card is required for interactive logon

กําหนดคาติดต้ัง Logon Hours



กําหนดคาติดต้ัง Computers ท่ีใหผูใชล็อกออน

กําหนดวันหมดอายุของ Account



ปฏิบัติการที่ 15 การสราง และการแกไข User accounts



7.3 การจัดการ User Profiles และ Home folders ผูเรียนจะเขาใจสิ่งตางๆดังนี้

- เขาใจเกี่ยวกับ User Profiles - ชนิดของ User Profiles - User Profiles กับ Group Policy - การสราง User Profiles - เขาใจเกี่ยวกับ Home Folder - การสราง Home Folder

เขาใจเกี่ยวกับ User Profiles User Profile เปนที่เก็บโฟลเดอร และขอมูล ที่ผูใชใชใน Desktop, Application Settings และขอมูลสวนตัว โดยผูใชทุกคนถูกสราง User Profiles เมื่อมีการล็อกออนครั้งแรกในระบบปฏิบัติการ Windows Server 2003 ท่ีจัดเกบของ User Profiles ตําแหนงที่จัดเก็บดีฟอลทอยูที่ C:\Documents and Settings ซึ่งถาเปน Windows NT 4.0 จะอยูที่ %Systemroot%\profiles คาที่จัดเก็บ

- Windows Explorer - My Documents - My Pictures - Favorites - Mapped network drive - My Network Places - Desktop contents - Screen colors and fonts - Application data and registry hive - Printer settings - Control Panel - Accessories - Windows Server 2003 family-based programs - Online user education book-marks

เปนที่จัดเก็บโฟลเดอร



- Application data folder - Cookies folder - Desktop folder - Favorites folder - Local Settings folder - My Documents folder - My Recent Documents folder - NetHood folder - PrintHood folder - SendTo folder - Start Menu folder - Templates folder

ชนิดของ User Profiles มี 4 ประเภทคือ

- Local



- Roaming - Mandatory - Temporary

Local User Profiles เปนโปรไฟลที่เก็บไวในเครื่องที่ใชนั้น ซึ่งลูกขาย Windows Server 2003 จะแยกเก็บเปนแตละบุคคล ตําแหนงที่เก็บคือ C:\Documents and Settings\User_logon_name ซึ่ง C คือไดรฟที่ติดต้ังระบบปฏิบัติการ User_logon_name เปนช่ือผูใชที่ล็อกออน เมื่อผูใชล็อกออนครั้งแรกจะมีการสรางโปรไฟลนี้ขึ้น Roaming User Profiles เปนโปรไฟลที่รองรับกับการใชหลายๆเครื่อง โดยโปรไฟลจะเก็บไวใน Path บนเครือขาย เมื่อผูใชเปลี่ยนเครื่องล็อกออนก็จะดาวนโหลดมาเก็บไวใน Local เครื่องนั้น ครั้งแรกที่ล็อกออน Windows Server 2003 จะกอปปเอกสารทั้งหมดจาก local มาเก็บไว เมื่อผูใชทําการล็อกออฟ ก็จะทําการบันทึกเก็บไว การกอปปไฟลจะกอปปเฉพาะขอมูลที่เปลี่ยนแปลง Mandatory User Profiles เปนการระบุการใชแยกเปนกลุม หรือบุคคล โดยผูใชอานโปรไฟลไดอยางเดียว ไมสามารถอัพเดตได เมื่อทําการล็อกออฟก็ไมบันทึกทับ ถามีการล็อกออนเปลี่ยนเครื่องก็จะดาวนโหลดมาเก็บไวที่ Local (เปลี่ยนนามสกุล User Registry คือ Ntuser.dat > Ntuser.man) Temporary User Profiles เปน User Profile ที่เกิดขึ้นเมื่อมีเงื่อนไขผิดพลาดในการโหลด ซึ่งจะลบเมื่อจบการใชงานคาตางๆจะหายไปเมื่อผูใชล็อกออฟ



User Profiles กับ Group Policy กําหนดคาติดต้ัง User Profiles ไดดังนี้

– Prevent Roaming Profile Changes From Propagating to the server เปนการรวมกับ Roaming profile ที่มีการกอปป แตเมื่อมีการเปลี่ยนผูใชก็จะไมรวมกับ Roaming user profile เมื่อล็อกออฟ

– Add The Administrator Security Group to Roaming User Profiles เปนการเพลือกเหมือน Windows NT ที่ใหกลุม Admnistrators มี Full control ในไดรเรคทรอรี่ของ User Profiles ตางๆ

– Only Allow Local User Profiles เปนการพิจารณาบางเครื่องใหใช Local profiles โดยไมดึงจาก Roaming User Profiles

การสราง User Profiles Local User Profiles เกิดขึ้นเมื่อมีการล็อกออนครั้งแรก Roaming user profiles

– สรางโฟลเดอร และปลอยแชร Network

– ตองไปกําหนดที่ User ที่ตองการใน Active Directory Users and Computers Mandatory user profiles



– กําหนดเหมือน Roaming User profile

– กอปป User Profiles ที่ตองการ โดยใช System ใน Control Panel

– และเขาไปที่โฟลเดอรที่กอปปเปลี่ยนนามสกุล NTuser.dat เปน NTUser.man สิ่งที่ควรปฏิบัติกับ User Profiles

- อนุญาตใหกําหนดคาฮารดแวรที่ตางกันได - ใชชนิดของ Video hardware เดียว เมื่อมีการสราง และแกไข User profile สําหรับหนึ่งผูใช - สรางหนึ่ง Mandatory user profile สําหรัลกุมของผูใชที่มีการใชชนิดของฮารดแวรวีดีโอเดียวกัน - ไมใช Offlline Folder Caching บน Roaming user profile shared directories ไมเชนน้ันจะมีปญหาเรื่องการ

ซิงโครไนสขอมูล - ไมใช Encrypted file System (EFS) บน Roaming Profiles จะมีปญหาในการซิงโครไนสขอมูล - ไมกําหนด Disk Quotas นอยไป - เมื่อมีการสราง Roaming profile shared directory กําหนดใหเขาใชไดในคนที่ตองการ - ใช Server ที่รัน Windows 2000 หรือสูงกวาในการเก็บ Roaming User Profiles - กําหนดเปน NTFS เพื่อเก็บขอมูลเพราะรองรับ Discretionary access control lists (DACLs) และ System

Access Control List (SACLs) ปฏิบัติการที่ 16 การสราง User Profile แบบตางๆ



เขาใจเกี่ยวกับ Home Folder เปนที่เก็บขอมูลเอกสารตางๆของผูใช ขอดี

– ผูใชสามารถที่ไดรับโฟลเดอรบนเครือขาย

– ผูใชงานสามารถสํารอง และให Administrator ดูแลที่สวนกลางได

– สามารถใชงานกับ Windows 9x, Windows NT, Windows 2000/2003 การสราง Home Folder

- สรางโฟลเดอร Home Folder - แชรโฟลเดอรที่ไดให Permissions เปน Everyone – Change หรือ Full Control - กําหนดคาใน User โดยใช Active Directory Users and Computers ไปที่แท็บ Profiles ระบุ Connect และ

Network Path ที่ตองการจัดเก็บ Profiles ปฏิบัติการที่ 17 สราง Home Folder



7.4 การจัดการ User accounts ผูเรียนจะเขาใจสิ่งตางๆดังนี้

- งานในการบริหารช่ือผูใช งานในการบริหารงานชื่อผูใช

- การเปลี่ยนช่ือ เปนการเปลี่ยนช่ือที่ใชในการล็อกออน แตคารายละเอียดของการเขาใชทรัพยากรยังคงเดิม - การหามไมใหใช เปนการหามไมใหผูใชที่ตองการเขาใชระบบขณะนั้น - การอนุญาตใหใช เปนการใหผูใชที่หามกลับเขามาใชระบบได - การลบผูใช เปนการลบออกจากองคกร ซึ่งคาตางๆที่กําหนดใน Active Directory ก็จะหายไป

การปลดล็อก User account เมื่อผูใชใสรหัสผานเกินจํานวนคตั้งที่ Domain หรือ Local computer กําหนดจะถูกล็อก ซึ่ง Administrator ของระบบตองไปทําการปลดล็อกให การรีเซตรหัสผาน ใชในกรณีที่ผูใชลืมรหัสผาน และให Administrator ทําการรีเซตรหัสผานให



ปฏิบัติการที่ 18 การบริหารงาน User



บทที่ 8 การบริหารงาน Groups ในบทนี้จะกลาวถึงสิ่งตางๆดังนี้

- เขาใจเกี่ยวกับ Groups - การสราง และการบริหารงาน Groups - ยุทธศาสตรการบริหารงาน

8.1 เขาใจเกี่ยวกับ Groups ผูเรียนจะเขาใจสิ่งตางๆดังนี้

- แนะนําเกี่ยวกับ Group - ชนิดของ Group - สโคปของ Group - สมาชิกของ Group - การซอน Group (Nesting) - Local Groups - Default Groups - การวางแผน Group

แนะนําเก่ียวกับ Group

การกําหนดกลุมเพื่อใหงานการบริหารงานนั้นงายลง โดยกําหนดเพียงรายการเดียวแทนการกําหนดผูใชทีละคนไดหมด



ชนิดของ Group - Security Group เปนกลุมที่ใชกําหนด Permissions ในการเขาใชทรัพยากร ซึ่งโปรแกรมจะใชกลุมนี้ในทั้ง

Security Group และ Non-Security Group - Distribution Group เปนกลุมที่ใชในหนาที่ Non-Security Group ซึ่งจะกําหนดใชในการสง E-mail ไม

สามารถกําหนดใน Permissions ของทรัพยากรได ตัวอยางเชน Distribution Group ใน Exchange Server สโคปของ Group

Global Groups เปนกลุมที่ใชในการเก็บสมาชิก คุณลักษณะ

- กําหนดสมาชิก ที่ผูใช - กําหนดการเขาใชทรัพยากรในโดเมนใดๆในฟอเรสต

Domain Local Groups เปนกลุมที่ใชในการกําหนด Permissions ในทรัพยากร คุณลักษณะ

- กลุมเปดในการบรรจุสมาชิก สามารถนําผูใชจากโดเมนอื่น หรือ Global Group มาใสเปนสมาชิกได - กําหนดการเขาใชทรัพยกรในโดเมนที่อยู

Universal Groups



เปนกลุมที่เพิ่มมาใน Windows Server 2003 ขึ้นไป ใชในการกําหนด Permissions ในหลายโดเมน ซึ่งมีคุณลักษณะดังนี้

- เปนกลุมเปด สามารถใสสมาชิกเปน User และ Global Group - เขาใชกําหนดทรัพยากรในโดเมนใดๆได - รองรับเฉพาะโดเมน ที่ Domain funcational level set ของ Windows 2000 Native หรือ Windows Server

2003 การกําหนด Universal นี้จะมีผลตอการเรพพลิเคต ขอมูลตางๆที่เปนสมาชิกของ Universal จะถูก Replicate ใน Global catalog Server สมาชิกของ Group Group Scope สามารถที่กําหนดสมาชิกโดยพิจารณาดังนี้

Group Scope โดเมนที่เปน Domain Functional Level set ใน Windows 2000 Mixed สามารถบรรจุ

โดเมนที่เปน Domain Functional Level set ใน Windows 2000 Native หรือ Windows Server 2003 สามารถบรรจุ

Global User accounts, และ Computer Accounts จากโดเมนเดียวกัน

User accounts, และ Computer Accounts จากโดเมนเดียวกัน

Domain Local User accounts, และ Computer Accounts Global Groups จากโดเมนใดๆ

User accounts, และ Computer Accounts Global Groups, Universal จากโดเมนใดๆ และ Domain Local Group ในโดเมนเดียวกัน

Universal ไมสามารถใชได User accounts, และ Computer Accounts Global Groups และ Universal Groupsจากโดเมนใดๆในฟอเรสต

การซอน Group ตองพิจารณาเรื่องของการกําหนด Permissions และจํานวนลําดับช้ันในการซอนกลุม ซึ่งใน Windows Server 2003 อนุญาตใหซอนไดไมจํากัดใน Windows 2000 Native หรือ Windows Server 2003 คําแนะนํา

– กําหนดจํานวนลําดับการซอนกลุมใหนอยที่สุด

– ทําเอกสารการเปนสมาชิกของกลุมเพื่อใชตรวจสอบ การซอนกลุมใหมีประสิทธิภาพตองมีความเขาใจดังนี้

- ในโดเมนของ Domain funcational level ที่เปน Windows 2000 mixed จะกําหนดใหใช Global groups จากโดเมนใดๆเปนสมาชิกของ Domain Local Groups ซึ่ง Universal จะไมรองรับใน Windows 2000 mixed



- ในโดเมนของ Windows 2000 Native หรือ Windows Server 2003 สามารถกําหนดไดหลายลําดับในการซอนกลุม

Local Groups แนวทางการใช Local Group

– ใช Local groups เฉพาะที่ตองการใชในเครื่องนั้นๆเทานั้น

– ใช Local groups บนเครื่องที่ทํางานบน Windows XP Professional หรือ Windows Server 2003 ที่เปน member server

– ใช Local groups เฉพาะเครื่องที่ไมเปนทรัพยากรของโดเมน กฎของการกําหนดสมาชิก

– Local groups สามารถที่บรรจุ Local user account จากเครื่องคอมพิวเตอรที่สราง

– Local groups ไมสามารถเปนสมาชิกกลุมอื่นๆได Default Groups

เปนกลุมที่สรางขึ้นเมื่อติดตั้ง Windows Server 2003 ซึ่งมี Default Groups แยกเก็บในโฟลเดอรดังนี้

- โฟลเดอรที่อยูใน Built-in - โฟลเดอรที่อยูใน Users - กลุมที่ระบุพิเศษ - การใช Anonymous User เพื่อเพิ่มความปลอดภัย



โฟลเดอรที่อยูใน Built-in

- Account Operators - Administrators - Backup Operators - Guests - Incoming Forest Trust Builders - Network Configuration Operators - Performance Log Users - Performance Monitor Users - Pre-Windows 2000 Compatible Access - Printer Operators - Remote Desktop Users - Replicator - Server Operators - Terminal Service License Users - Users - Windows Authorization Access

โฟลเดอรที่อยูใน Users



Domain Local Groups

- Cert Publishers - Dns Admins - HelpServicesGroup - RAS and IAS Servers - TelentCllients

Global Groups - DnsUpdateProxy - Domain Admins - Domain Computers - Domain Controllers - Domain Guests - Domain Users - Group Policy Creator - Owners



Universal Group - Enterprise Admins (ขึ้นเฉพาะใน Domain Controllers ที่เปนรูท) - Schema Admins (ขึ้นเฉพาะใน Domain Controllers ที่เปนรูท)

กลุมท่ีระบุพิเศษ (Special Group) เปนกลุมที่เกิดขึ้นเฉพาะใน Windows NT รวมถึงระบบปฏิบัติการ Windows Server 2003 ที่สมาชิกถูกควบคุมโดย

ระบบปฏิบัติการไมสามารถที่แกไข หรือดูกลุมสมาชิกได - Anonymous Logon - Authenticated Users - Dialup - Enterprsie Domain Controllers - Everyone - Interactive - Network - Service - Terminal Server User

การใช Anonymous User เพื่อเพิ่มความปลอดภัย ในระบบปฏิบัติการ Windows NT และ Windows 2000, จะมีการตรวจสอบการเขาใชในการเขาใชโดเมน โดยทุกคนจะอยูในกลุม Everyone ซึ่ง Authentication Users, Anonymous Logon, และ Domain Guests จะเปนสมาชิกของ Everyone หมด ซึ่งใน Active Directory Objects จะกําหนดใหบังคับกลุม Anonymous user ในการเขาใชมากขึ้น ทําใหไมเปนกลุมของ Everyone ใน Windows Server 2003 Built-in Local Group

- Administrators - Backup Operators - Guests - HelpServicesGroup - Network configuration Operators - Performance Monitor Users - Performance Log Users - Power Users - Print Operators - Remote Desktop User Replicator



- Terminal Server Users - Users

การวางแผน Group

• การวางแผน Global และ Domain Local Groups

1. กําหนด Users ดวยงานที่รับผิดชอบดวย Global Group 2. สราง Domain Local group สําหรับทรัพยากรเพื่อที่แชร 3. ใส Global Groups ไปในทรัพยากรที่ตองการใชใน Domain Local Group 4. กําหนด Permissions ของทรัพยากรใน Domain Local Groups การวางแผนกับ Universal Group Universal Groups กําหนด Grant หรือ Deny เพื่อเขาใชทรัพยากรถามีมากกวาหนึ่งโดเมน ซึ่งการกําหนดทําไดใน Windows 2000 Native และ Windows Server 2003 การกําหนดปรับเปลี่ยน Universal Group บอยๆจะมีผลตอการจราจรที่เกิดจากการ Replicate สิ่งที่มีผลตอการเรพพลิเคต



- เพิ่ม Global Groups, ไมใช Users ใน Universal Group - เปลี่ยนสมาชิกของ Universal groups ใหนอยที่สุดเทาที่เปนไปได



8.2 การสราง และการบริหารงาน Groups ผูเรียนจะเขาใจสิ่งตางๆดังนี้

- การสราง Group - การลบ Group - การเพิ่มสมาชิกใน Group - การเปลี่ยนสโคป Group

การสราง Group ใชโปรแกรม Active Directory Users and Computers ซึ่งจะสรางในโดเมน และสราง OU ที่ตองการหลังจากนั้นก็สรางออปเจค Group

การลบ Group เมื่อมีการสรางกลุมจะมีการสราง Security identifier (SID) ซึ่งจะใชคานี้ไปกําหนดในทรัพยากรที่อนุญาตใช ดังนั้นการลบคือการทําให SID หายไป เมื่อสรางไมจะไมมีการกําหนด SID เดิมใหถึงแมวาช่ือจะเหมือนเดิม ขั้นตอนการลบ Group

1. คลิกขวาที่กลุม และเลือกคําสั่ง Delete 2. ยืนยันโดยการกดคีย Yes

การเพิ่มสมาชิกใน Group หลังจากที่มีการสรางกลุมก็จะตองมีการกําหนดสมาชิก สามารถทําไดโดยไปที่กลุม หรือออปเจคที่ตองการ ถาไปที่กลุมใหใช Members tab ถาไปที่ออปเจคสมาชิกใหไปที่ Member Of



เมื่อเลือกใสสมาชิกตองกําหนดออปเจคดวย



คนหาออปเจคที่ตองการแลวเลือกใสเปนสมาชิก ออปเจคหนึ่งๆเปนไดหลายกลุม การเปล่ียน Group Scope เราสามารถปรับเปลี่ยน Group Scope ไดดังนี้

- Global -> Universal - Domain Local -> Universal - Universal -> Global - Universal -> Domain Local

ปฏิบัติการที่ 19 การบริหารงาน Group



8.3 ยุทธศาสตรการบริหารงาน ผูเรียนจะเขาใจสิ่งตางๆดังนี้

- ทําไมจึงไมควรรันเครื่องคอมพิวเตอรที่ใชเปน Administrator - การใชคําสั่ง Run As

ทําไมจึงไมควรรันเครื่องคอมพิวเตอรท่ีใชเปน Administrator

- ไมควรที่กําหนดผูใชทั่วไปเปนสิทธิ Administrator - งานโดยทั่วไปไมจําเปนตองอยูในสิทธิ Administrator - เพื่อปองกันปญหา Trojan horse และการดักดูรหัสผาน (Key logger) - ใชคําสั่ง Run as เพื่อแกปญหา

การใชคําสั่ง Run As

- ล็อกออนดวยผูใชปกติ - เรียกคําสั่ง Runas

o ใชคําสัง Runas o กด Ctrl+คลิกเมาสขวาที่คําสั่ง, เลือก Run As o สราง Shortcut และกําหนดคุณสมบัติของ Icon ที่ Runas

- ขึ้นกรอบใหล็อกออน

การใชคําสั่ง Runas เปนคําสั่งใน Command Prompt ที่ใชเรียก Profile หรือคําสั่งดวยผูใชอีกคน



รูปแบบคําสั่ง Runas [{/profile|/noprofile}] [/env] [/netonly] [/savedcreds] [/smartcard] [/showtrustlevels] [/trustlevel] /user:UserAccountName program สาธิตการใชงานคําสั่ง RunAs ตัวอยางสถานการณในการออกแบบ Groups



บทที่ 9 การบริหารงานออปเจค Active directory ในบทนี้จะกลาวถึงสิ่งตางๆดังนี้

- ตําแหนงของออปเจคใน Active Directory - การควบคุมการเขาใช Active Directory - การแตงต้ังเพื่อควบคุมการบริหารของออปเจค Active Directory

9.1 ตําแหนงของออปเจคใน Active Directory ผูเรียนจะเขาใจสิ่งตางๆดังนี้

- ชนิดของออปเจค - การใชคําสั่ง Find ในการคนหา - การใชคําสั่ง DSquery - การใช Saved Query

เมื่อเรามีการใชงาน Active Directory เราตองการที่คนหาออปเจคตางๆ ซึ่งเมื่อมีออปเจคมากๆขึ้นเราตองมีการใชคุณสมบัติบางอยางชวยในการคนหา ซึ่งกอนอื่นๆผูคนหาตองระบุชนิดของออปเจคใหไดกอน เพราะออปเจคแตละชนิดมีคุณสมบัติไมเหมือนกัน ชนิดของออปเจค

- User account - Contact - Group - Shared folder - Printer - Computer - Domain Controllers - OU

การใชคําสั่ง Find ในการคนหา เรียกไดจาก Active Directory Users and Computers

- กําหนดชนิด และตําแหนงที่ตองการคนหา



- ถาตองการคนหาโดยระบุรายละเอียดมากขึ้นใชแท็บ Advanced

การกําหนดการคนหาสามารถกําหนดออปชั่น Advanced ไดดังนี้



ตัวอยางผลลัพธทีไดตามเงื่อนไขที่กําหนด

การใชคําสั่ง DSquery



ตัวอยาง

– Dsquery * เปนการคนหาทั้งหมด

– Dsquery ตามดวย Computer, Contact, Subnet, Group, OU, Partition, Quota, Site, Server, User เปนการเลือกคนหาออปเจคตามรายกาย

– Dsquery computer –inactive 4 เปนการคนหา 4 อาทิตยกอน

– Dsquery * OU=Test,DC=Microsoft,DC=Com –scope base –attr * การใช Saved Queries เปนคําสั่งที่อยูใน Active Directory Users and Computers โดยคลิกขวาที่ Console เลือกคําสั่ง Save Queries



- เปนฟเจอรที่ผูบริหารสามารถสราง แกไข บันทึก จัดการ e-mail ที่คนหา - กอนใช Saved Queries ผูบริหารตองใช ADSI scripts เพื่อบันทึกออปเจคที่ระบุ - บันทึก Saved Queries เปนไฟล DSa.msc - สงออกเปนไฟล .xml ได

ปฏิบัติการที่ 20 การคนหาออปเจคใน Active Directory



9.2 การควบคุมการเขาใช Active Directory ผูเรียนจะเขาใจสิ่งตางๆดังนี้

- เขาใจเกี่ยวกับ Access Control - กําหนด Standard Permissions - บริหารงาน Special Permissions - การถายทอด Permissions - การเลือก Authentication - การนํา Security Principals และ Permissions ที่มีอยูออก - การโอนถาย Ownership

เขาใจเกี่ยวกับ Access Control เราควบคุมการเขาใช Active Directory Objects โดยกําหนด Allow, Deny ในรายการ Security โดยกําหนดเปน Permissions ซึ่งหลักการณระบบจะนําคา SID ของคาที่กําหนดไปใชพิจารณาใน Security Principle เราสามารถกาํหนดโดยใชคําสั่ง Delegation เพื่อระบุตาม Template ที่มีให

สิ่งที่ควรเขาใจมีดังนี้

- ทุกออปเจคจะมี Security ID - การควบคุมจะกําหนดเปน Permissions มีการกําหนด Allow กับ Deny

o Permissions มาตรฐาน



o Permissions พิเศษ - ออปเจคจะมีเจาของ (Ownership) - สมาชิกในกลุมสามารถไดรับ Access Control ตามกลุม - มีการถายทอดใน Access Control - มีแท็บ Effective Permissions ในคุณสมบัติของออปเจค

กําหนด Standard Permissions

- เปนคา Permissions ที่กําหนดเงื่อนไขทั่วไป - ซึ่งจะมีกําหนด Allow/Deny ในรายการที่ตองการได

บริหารงาน Special Permissions



- เปนรายละเอียดที่กําหนดขึ้นเพิ่มเติมเอง - กําหนดโดยเขาไปที่ Advanced Security - กําหนดรายการเพิ่มเติม และผลที่ตองการใหเกิดกับโฟลเดอร หรือออปเจค

การถายทอด Permissions



- ผูกําหนดสามารถเลือกอนุญาตใหมีการถายทอดไดโดยการเช็กบ็อกซ Allow Inheritable Permissions From

The Parent To Propagate To This Object And All Child Objects - กําหนดใน Advanced Security Settings - ปรับเปลี่ยนไดโดย

o กําหนดที่ออปเจคแม o กําหนดคาตรงขามโดยใช Allow และ Deny o เคลียรเช็กบ็อกซ เพื่อยกเลิกการถายทอด



เมื่อมีการกําหนด Inherited permissions มีตัวบงช้ีอยูสามอยาง

- เช็กบ็อกซสีเทา แสดงวา Permissions ไดรับการถายทอด ถาเปนสีเทาที่ Special permissions แสดงวามีรายละเอียดที่กําหนดในนั้น

- ถูกถายทอดจากคอลัมน ในรายการที่กําหนดมีการแสดงดังรูป

ถา Permissions ถูกถายทอดจะมีการแสดง DN ของออปเจค Parent เปนความสามารถใหมของ Windows Server 2003

- ไมมีปุม Remove สําหรับ Permission ถาเปนการถายทอดแสดงวาตองไปนําออกจาก Parent ในการตรวจสอบ Permissions ผูบริหารระบบสามารถดูไดจาก Effective Permission tab



สิ่งที่ควรปฏิบัติในการกําหนด Permissions

1. การกําหนดบน User account ไมมีประสิทธิภาพพอ ควรกําหนด Permissions บน Group 2. Deny เก็บไวใชยามจําเปน ซึ่งถากําหนดอยางดีจะไมมีความจําเปนที่ตองใช Deny 3. ใชเทคนิคการถายทอด จะทําใหงานบริหารออปเจคนอยลง 4. กําหนด Full control ตามความเหมาะสม

การเลือก Authentication

- สามารถเลือก Authentication ใหแตกตางระหวางการออกไป และการรับเขาใน External และ Forest trust - ใช Domain-wide authentication สําหรับการรับเขา external หรือ Forest trust ซึ่งผูใชในโดเมนที่สอง หรือ

นอก Forest ที่ Trust จะไดรับลําดับการเขาใชโดเมนเหมือนกัน - การกําหนดไปที่ Active Directory Domains and Trusts และไปที่ Properties

การนํา Security Principals และ Permissions ท่ีมีอยูออก

- สามารถนําออกไดโดยใชคําสั่ง Remove ในรายการที่กําหนด



- สามารถนํารายการออกจาก Special Permissions ไดดวย การโอนถาย Ownership

- สามารถเปลี่ยนมือเจาของที่กําหนดไดตามที่ตองการ - ผูบริหารสามารถดึงไฟลบนเครื่องคอมพิวเตอรได แตไมสามารถโอนถายไปใหที่อื่นได - ผูใชที่ Restore Files and Directories user right สามารถที่เลือกกลุมใดในการเปน Ownership ได

ปฏิบัติการที่ 21 การควบคุม Access Control ในออปเจค Active Directory



9.3 การแตงต้ังเพื่อควบคุมการบริหารของออปเจค Active Directory ผูเรียนจะเขาใจสิ่งตางๆดังนี้

- การแตงต้ัง Administrative Control - การตรวจสอบรายการที่แตงต้ัง - การนํารายการที่แตงตั้งออก

การแตงต้ัง Administrative Control ใน Active Directory Users and Computers ผูบริหารระบบสามารถเลือกออปเจคใน Container เพื่อกําหนด Delegation ไดโดยใชเครื่องมือ Delegation Of Control Wizard ซึ่งกําหนดรายการ Access Control Entry (ACE) ใน Access Control List (ACL) ขั้นตอนของ Delegation Of Control Wizard

- Users and Groups



- Tasks to delegate

- Active directory object Type



- Permissions

o กําหนดได General o Property-Specific o Creation/Deletion Of Specific Child objects

การตรวจสอบรายการที่แตงต้ัง ใหไปดูที่ Properties -> Security ในออปเจคนั้นๆ

การนํารายการที่แตงต้ังออก ใช Delegation of Control Wizard หรือจะนําออกใหไปกําหนดลบจากรายการที่อยูใน ACL ของคุณสมบัติออป

เจคนั้นๆ



ตัวอยางของการออกแบบ Active Directory Objects



บทที่ 10 การวางระบบ Group Policy ในบทนี้จะกลาวถึงสิ่งตางๆดังนี้

- เขาใจเกี่ยวกับ Group Policy - การวางแผน Group Policy - การวางระบบ Group Policy - คําแนะนําเกี่ยวกับ Group Policy

10.1 เขาใจเกี่ยวกับ Group Policy ผูเรียนจะเขาใจสิ่งตางๆดังนี้

- ความเขาใจเกี่ยวกับ GPOs - Group Policy Object Editor - คาติดตั้ง Group Policy - Group Policy มีผลอยางไรเมื่อเปดเครื่อง และล็อกออน - Group Policy ถูกกําหนดอยางไร

คือที่เก็บคาติดต้ังของ User และ Computers ที่ระบุควบคุมทรัพยากร ผูใชสามารถที่กําหนดคาไดใน Computers, Site, Domain, OU

ความเขาใจเกี่ยวกับ GPOs การกําหนดควบคุมแบงออกเปนสองแบบคือ

- Local GPOs - Non Local GPOs

Local GPOs ในแตละเครื่องจะมีเพียงหนึ่งเทานั้น ซึ่งจะไมเกี่ยวกับสวนประกอบของ Active Directory หรือเครือขาย คาที่กําหนดจะสงผลที่เครื่องนั้นๆเทานั้น ซึ่งถา Nonlocal GPOs กําหนด Local GPOs จะไมสามารถทับนโยบายจาก Nonlocal GPOs ได



การเรียกใช Local GPOs

Non Local GPOs จะมีการสรางเพื่อลิงคกับ Site, Domain, หรือ OU ซึ่งสามารถกําหนดไดใน Windows Server 2000 และ Windows server 2003 ซึ่งดีฟอลทที่สรางมีอยูสองที่คือ

– Default Domain Policy ลิงคไปยังโดเมน ซึ่งสงผลผูใชทุกคน และทุกเครื่อง รวมถึง Domain Controllers โดยผานการถายทอดมรดก



– Default Domain Controllers Policy เปนการกําหนดที่ Domain Controller OU ซึ่งจะมีผลเฉพาะ Domain Controllers เทานั้น เพราะวาเปนเครื่องที่ดูแล User account

ตําแหนงที่เก็บ GPO อยูที่ %Systemroot%\Sysvol\Domain_Name\Policies\GPO\GUID\Adm ซึ่ง GUID จะเปนคาที่ไมซ้ํากันใน Nonlocal GPO การกําหนดคา GPO ใน Site จะสงผลถึงทุกเครื่องในไซตนั้นๆ เพราะวา Active Directory จะทําการเรพพลิเคตขอมูล GPO จะสามารถกําหนดในหลายโดเมนในฟอเรสต แมวา GPO จะกําหนดไวที่เดียว แตทุกเครื่องตองอาน Site-linked Group Policy ถาโดเมนลูกขาม WAN คาที่กําหนดตองทํา GPO ที่ลิงคไปดวยเพื่อเขาใช Site-linked GPO ขาม WAN link เพื่อเพิ่มประสิทธิภาพการทํางาน Group Policy Group Policy Object Editor เปนเครื่องมือที่ใชบริหาร Group Policy Object



กําหนด

– บนเครื่องที่ใชอยู (Local GPO)

– Another computer (Local GP)

– Site

– Domain หรือ OU คาติดต้ัง Group Policy GPO สามารถที่กําหนดคาติดต้ังตามโหนดตางๆดังนี้

- กําหนดโหนดเปน Computer และ User - กําหนดโหนด Software Settings - กําหนดโหนด Windows Settings - กําหนดโหนด Administrative Templates



กําหนดโหนดเปน Computer และ User เปนการกําหนดนโยบายที่ตองการใหมีผลตอคนที่ล็อกออน และเครื่องที่เปดขึ้นมา ซึ่งภายในประกอบดวย

- Software Settings - Windows Settings



- Administrative Settings กําหนดโหนด Software Settings

สามารถกําหนดไดทั้ง Computer และ User Configuration แตผลที่ไดจะตางกัน ถากําหนดที่เครื่องจะมีผลตอนเปด ปดเครื่อง ถาเปน User มีผลตอนที่ล็อกออน ล็อกออฟ ซึ่งการกําหนดกระจายซอฟตแวรทําไดสองโหมดคือ Assigned และ Published

กําหนดโหนด Windows Settings เปนการกําหนดคาติดตั้งไดทั้ง Computer และ User Configuration ซึ่งภายใต Windows Settings จะมีการกําหนด สคริปต สคริปตที่กําหนด Startup/Shutdown (ใน Computer Configuration) Logon/Logoff (ใน User Configuration) สครปิตที่

รองรับนี้สามารถเขียนดวย ActiveX, Visual Basic, VB Script, Jscript, Perl, Batch file (.bat, .cmd) Security Settings กําหนดใน Computer Configuration หรือใน Local GPO ซึ่งจะใช Security Template ในการกําหนด User Configuration จะมี Windows Settings ที่เพิ่มคือ Remote Installation Services (RIS) ที่ติดตั้งระบบปฏิบัติการในเครื่องที่บูตขึ้นมา มีการกําหนด Folder Redirection เพื่อเปลี่ยนตําแหนงท่ีเก็บโฟลเดอรใชงาน กําหนดโหนด Administrative Templates กําหนดไดทั้ง Computer และ User Configuration ซึ่งจะเก็บคารีจีสทรีที่ตองการมีกวา 550 รายการที่กําหนด ซึ่งตําแหนงที่กําหนดมี



- แท็บ Explain ใน Properties ที่กําหนดคาติดตั้งในระบบปฏิบัติการ - Administrative Templates Help ที่ตองการระบบปฏิบัติการสําหรับการติดต้ัง - แท็บ Extended (เปนฟเจอรใหมใน Windows Server 2003, เลือกเปนดีฟอลท) ใน Group Policy Object

Editor ซึ่งมีการอธิบายในรายการ

ในการกําหนดแตละรายการจะมีสามสถานะคือ

- Not Configured - Enabled - Disable

คาที่ติดตั้งใน Computer Configuration จะมีผลใน HKEY_LOCAL_MACHINE (HKLM) คาที่ติดตั้งใน User Configuration จะมีผลใน HKEY_CURRENT_USER (HKCU) ซึ่งจะมี 4 ทรีใน Registry ดังนี้

- HKEY_LOCAL_MACHINE\Software\Policies (computer settings) - HKEY_CURRENT_USER\Software\Policies (User settings) - HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies (computer settings) - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies (User settings)

ซึ่งการกําหนดนี้สามารถที่กําหนด Windows Components ที่มีผลตอ Microsoft Netmeeting, Internet Explorer, Application Compatibility, Task Scheduler, Terminal Services, Microsoft Windows Installer, Microsoft Windows Messenger, Microsoft Media Player, และ Microsoft Update ถาเปนการกําหนดใน User Configuration จะมีผลใน Windows Components เพียง Help and Support Center, Windows Explorer, และ MMC Administrative Templates



กอนหนานี้เปนการกําหนดโหนดใน Administrative Templates ของ GPO แตจริงแลวผูบริหารสามารถควบคุม Registry ไดโดยกําหนดคาติดต้ังดวย GPO Editor และใส Template เพิ่ม ซึ่ง Windows NT Server หรือกอนหนานั้นจะรองรับ .adm ที่เปน ANSI ทําใหตองใช System Policy Editor แตใน Windows 2000/2003 รองรับในรูปแบบ Unicode ที่กําหนดใน Registry ใช GPO กําหนดแทน System Policy Editor มีสามชนิดคือ

- Default เปนคาที่ Windows 2003 มีใหดังตารางดานลาง - Vedor-Supplied ซึ่งสามารถโหลดเพิ่มไดจาก Windows XP Resource Kit หรือ Office 2000/XP - Custom กําหนดเอง โดยสรางไฟล .adm language ที่ควบคุมคาติดต้ัง และพัฒนาโดยผูพัฒนาซอฟตแวร

ตารางแสดงคาดีฟอลทที่ Windows Server 2003 มีให

Administrative Template คําอธิบาย System.adm เปนการติดตั้ง Group Policy โดยดีฟอลทสําหรับลูกขาย Windows 2000 และ

Windows 2003 Inetres.adm ติดต้ังโดยดีฟอลทเปนการกําหนดคาใน Internet Explorerสําหรับลูกขาย Windows

2000 และ Windows 2003 Wmplayer.adm เปนการกําหนดคาสําหรับ Windows Media Playerสําหรับลูกขาย Windows 2000

และ Windows 2003 Conf.adm เปนการกําหนดคาสําหรับ Netmeetingสําหรับลูกขาย Windows 2000 และ

Windows 2003 Wuau.adm เปนการกําหนดคาสําหรับ Windows Updatesสําหรับลูกขาย Windows 2000 และ

Windows 2003 Group Policy มีผลอยางไรเมื่อเปดเครื่อง และล็อกออน เปดเครื่องจะสง Remote Procedure Call System Service (RPCSS) และ Multiple Universal Naming Convention Provider (MUP)

– ตรวจสอบรายการของ GPOs ที่บรรจุใน Computer configuration

– รัน Startup script เมื่อผูใชล็อกออน

– จะมีการตรวจสอบ GPOs ที่บรรจุสําหรับ User

– คา User configuration settings ดําเนินการ

– Logon scripts ทํางาน Group Policy ถกูกําหนดอยางไร



Group Policy Inheritance

- ถานโยบายถูกกําหนดที่ OU แม และไมไดมีการกําหนดใน Child Ous จะรับการถายทอดจาก Ous แม - ถานโยบายถูกกําหนดที่ OU แม และมีกากรําหนดคาใน Child Ous จะทับนโยบายที่กําหนดจากแม - ถานโยบายไมถูกกําหนดที่ OU แม Child Ous จะไมรับถายทอด - ถานโยบายที่กําหนดจะถายทอดในความสามารถที่ Compatible ไดจะไดรับนโยบายทั้งสองที่คือ Child กับ

Parent - ถานโยบายที่กําหนดไม Compatible จะพิจารณาที่ Child Ous ที่กําหนด

กระบวนการที่ยกเวน

– Workgroup members จะรองรับเฉพาะ GPO ที่เปน Local – No Override จะสามารถที่สงนโยบายไปยัง GPO ใดๆ ซึ่งระดับที่สูงกวาจะทับใน GPO ที่อยูในลําดับลางๆดวย

ถาอยูในลําดับลาง จะไมไดรับการทับจากลําดับบน – Block Policy Inheritance เปนการมารกที่กําหนดเพื่อบล็อกการถายทอด แตไมสามารถบล็อก No Overrride

ได – Loopback Setting เปนความสามารถ Group Policy Setting ที่ชวยในเครื่องเชน Kiosks, Laboratories,

Classrooms, และพื้นที่รับผูเขามา โดย Loopback รองรับการปรับเปลี่ยนจากดีฟอลทที่มี GPO ในรายการขึ้นอยูกําหนดตําแหนงผูใชใน Active Directory และ Domain-linked ไป OU-linked GPOs กับการถายทอด ซึ่งจะมีการพิจารณาโดยดูคาที่กําหนด Not Configured, Enabled, หรือ Disabled ซึ่งจะมีสองโหมดคือ



• โหมดแทนที่ คือเทนที่ทั้งหมดใน GPO • โหมดเพิ่มเติม เปนการรวมคาที่กําหนด

กําหนดการกรองดวย Security Group การเรียนรูกับ GPO จะสามารถที่กําหนดลิงคที่ Site, Domain, หรือ OU อยางไรก็ตามการกําหนดลิงคจะกําหนดโดยตรง ซึ่งถาตองการกําหนด Non-local GPO ใหกําหนดเฉพาะกลุม Security ใหกําหนดใน Apply Group Policy Permissions ที่เปน Allow เพื่อใหมีผลตอการอาน และกําหนดในเครื่อง ใช WMI Queries เพื่อตรวจดูการกรอง Windows Management Instrumentation (WMI) เปนเครื่องมือในการที่ใหผูบริหารระบบสามารถจัดการออปเจคในเครือขาย โดยดูในเครื่องตางๆ และเปนฟเจอรใหมใน Windows Server 2003 โดย WMI filtering ที่กําหนดสามารถที่ดู filter GPO scope ที่กําหนดไดโดยใช WMI Query language (WQL) ใหดูเพิ่มใน Software development kit (SDK) แตงต้ังควบคุม GPOs งานของ GPO ที่แตกตางกันสามารถที่กําหนดการควบคุมไดโดยเปน GPO Editing, GPO Cration, และ GPO object linking ในกรณีท่ีมีหลายลําดับใช Resultant Set of Policy (RSoP) เปนเครื่องมือในการตรวจสอบลําดับ GPOs ที่มีการถายทอด และการยกเวนในเงื่อนไขที่กําหนด เปนเครื่องมือใหมใน Windows Server 2003



10.2 การวางแผน Group Policy ผูเรียนจะเขาใจสิ่งตางๆดังนี้

- ยุทธวิธีการวางแผน Group Policy - การวางแผนกําหนดคาติดต้ัง Group Policy - การวางแผนการบริหารควบคุม GPOs

ยุทธวิธีการวางแผน Group Policy

- การวางแผน Group Policy Settings จําเปนที่ตองพิจารณาแตละลําดับ (Site, Domains, OUs) - การวางแผน GPOs จําเปนที่ตองดู Computers และ Users แตละลําดับ - วางแผนการควบคุม GPOs

การวางแผนกําหนดคาติดตั้ง Group Policy

- รองรับรายการไดมากกวา 600 ใน Windows Server 2003 - การวางแผน

o คากําหนดในหนึ่ง GPO o คากําหนดในหลาย GPO o การแยก GPO เชน User และ Computer ออกจากกัน

วิธีการออกแบบ



– กระจาย GPO

– รวมศูนย GPO การวางแผนการบริหารควบคุมของ GPOs

- ออกแบบแบบรวมศูนย - ออกแบบแบบกระจายศูนย - ออกแบบตามลักษณะงาน

ออกแบบแบบรวมศูนย

ออกแบบแบบกระจายศูนย



ออกแบบตามลักษณะงาน



10.3 การวางระบบ Group Policy ผูเรียนจะเขาใจสิ่งตางๆดังนี้

- การสราง GPO - การสราง MMC สําหรับ GPO - การแตงต้ังการควบคุม GPO - การกําหนดคา Group Policy Settings สําหรับ GPO - การไมอนุญาตใหใช GPO - การระบุ GPO ที่ยกเวน - การกรองสโคปของ GPO ดวย Security Groups - การลิงค GPO ใน Site, Domain, และ OU - การแกไข GPO - สิ่งที่ควรปฏิบัติใน Group Policy

สิ่งแรกที่ตองทาํคือการทํางานของ Group Policy และการวางแผนในการวางระบบใหตรงกับความตองการ เมื่อวางแผนไดแลวก็เริ่มขั้นตอนการติดต้ัง และกําหนดคาติดต้ัง GPO การสราง GPO เริ่มตนจากการสราง GPO ซึ่งเปนที่เก็บคากําหนดของ Group Policy ขั้นตอนการสรา

1. พิจารณาวาจะสรางที่ Site, Domain, หรือ OUs a. ใน Site ใหกําหนดโดยใช Active Directory Sites and Services b. ใน Domain และ Ous ใหกําหนดโดยใช Active Directory Users and Computers

2. กําหนดคาในแท็บ Group Policy ซึ่งจะอยูใน Properties ของ Site, Domain, หรือ OU การสราง MMC สําหรับ GPO เมื่อตองการแกไขการใชเครื่องมือ Active Directory Users and Computers หรือ Acitve Diretory Sites and Services จะ

คอนขางเสียเวลาในการเรียกใช หรือเขาถึง GPO ที่สราง จึงตองมีการสราง MMC และทําการ Add Snap-in ที่เปน Group Policy Object Editor และเลือกลิงคเพื่อสรางใน MMC

การแตงต้ังการควบคุม GPO หลังจากที่กําหนดคาตางๆใน GPO แลว เราอาจจะมีการมอบหมาย แตงต้ังใหกับบุคคลใดเปนผูชวยดูแล ก็สามารถทํา

ได โดยคา Default GPO Permissions มีดังนี้



ตารางแสดงคาดีฟอลท GPO Security Group Default Settings Authenticated Users Read, Apply Group Policy, Special Permissions Group Policy Creator Owners (โดยทั่วไปแสดง Create Owner)

Special Group

Domain Administrators Read, Write, Create all child objects, Delete all child objects, Special permissions

Enterprise Administrators Read, Write, Create all child objects, Delete all child objects, Special permissions

Enterprise Domain Controllers Read, Special Permissions System Read, Write, Create all child objects, Delete all child objects, Special

permissions โดยดีฟอลท Default Domain Policy GPO ไมสามารถลบโดย Administrator ใดๆได สิ่งที่ใชในการควบคุมการแตงตั้งมี

- GPO Editing - GPO creation - GPO object linking



การกําหนดคา Group Policy Settings สําหรับ GPO หลังจากที่สราง GPO และพิจารณา Administrators ที่กําหนดเขาใช GPO จะตองมีการกําหนดคา Group Policy

Settings



ซึ่งคาที่กําหนดจะมีสถานะดังนี้

การไมอนุญาตใหใช GPO ในกรณีที่ตองการหลีกเลี่ยงกระบวนการที่กําหนดสามารถที่เลือก Disable ไดการกําหนดนี้เลือกที่เปน Computer

Configuration Settings หรือ User Configuration Settings ในเช็กบ็อกซของการกําหนดใน GPO การระบุ GPO ท่ียกเวน GPO สามารถที่กําหนดแกไขในคุณสมบัติของ GPO และกําหนดออปชั่น No Override หรือ Disabled ที่จะไมใชใน

Container ที่กําหนดได

การกรองสโคปของ GPO ดวย Security Groups การกรองเปนวิธีการกําหนดใหใครที่ตองการไดรับการกําหนดมี Read และ Apply Group Policy permissions สําหรับ

คาที่กําหนดเปน Allow โดยทั่วไปจะให Authenticated user มี Read และ Apply group policy permissions อยูแลว



ถาไมตองการใหกลุมหนึ่งกลุมใดรับผลที่กําหนดใหนํา Authenticated user ออก และใส Group ที่ตองการ Allow กําหนด Read และ Apply group policy permissions ลงไป

ในกรณีที่ใช Deny ตองพิจารณาการเปนสมาชิกของกลุมใหดี การลิงค GPO ใน Site, Domain, และ OU โดยดีฟอลท GPO ที่ลิงคใน Site, Domain, OU จะถูกเลือกโดย MMC ที่สราง ถาผูกําหนดตองการที่ใชลิงคกําหนดเดิมเพิ่มใน Site, Domain, OU อื่นสามารถทําไดโดยเขาไปที่ Properties ของตําแหนง Group Policy นั้นๆ การแกไข GPO

- การนํา GPO link ออก - การลบ GPO - การแกไข GPO และการกําหนดคาติดตั้ง GPO - การรีเฟรช GPO

สิ่งที่ควรปฏิบัติใน Group Policy

- ไมอนุญาต GPO ที่ไมใช - ใช Block Policy Inheritance และ No Override เทาที่จําเปน - ไมใชช่ือเดียวสําหรับ GPO ที่ตางกัน - กรอง Policy บน Security Group membership - ใช Loopback เทาที่จําเปน - บังคับ Group Policy มากกวา System Policy - หลีกหนีการกําหนด GPO ขามโดเมน

ปฏิบัติการที่ 21 การวางระบบ Group Policy



ตัวอยางการออกแบบ Group Policy โครงสรางระบบเครือขาย

โครงสราง Domain OU



บทที่ 11 การบริหารงาน Group Policy ในบทนี้จะกลาวถึงสิ่งตางๆดังนี้

- การจัดการ Group Policy ดวย Resultant Set of Policy (RSoP) - การจัดการโฟลเดอรพิเศษกับ Group Policy - การแกปญหา Group Policy

11.1 การจัดการ Group Policy ดวย Resultant Set of Policy (RSoP) ผูเรียนจะเขาใจสิ่งตางๆดังนี้

- เขาใจเกี่ยวกับ RSoP - การสราง RSoP Queries ดวย Resultant Set Of Policy Wizard - การสราง RSoP Queries ดวยเครื่องมือ Gpresult - การสราง RSoP Queries ดวยเครื่องมือ Advanced System Information-Policy - การแตงต้ังการควบคมุ RSoP

เขาใจเกี่ยวกับ RSoP หลังจากที่ไดเรียนรูกับ GPO ก็พบวาการพิจารณา GPO จะมีการรวมกัน ดังนั้จะตองมีการหาชุดผลลัพธที่กําหนดกอนที่เริ่มใชงานจริงซึ่งใน Windows Server 2003 ไดนํา RsoP มาใชงานเพื่ออํานวยความสะดวกในการรวบขอมูลที่เรียกวา Common Information Management Object Model (CIMOM) สิ่งที่ควรเขาใจเกี่ยวกับ RSoP

- เปนการรวมคาที่กําหนดใน Local Computer, Site, Domain และ OU ที่เปนลําดับช้ัน - สามารถกําหนดดึงคา GPOs ที่มีอยู และรายงานเปน User และ Computer - ใชรวมกับ Common Information Management Object Model (CIMOM) database ได - มีเครื่องมือที่ใชได 3 อยางคือ

o Resultant Set Of Policy Wizard o คําสั่ง Gpresult o เครื่องมือ Advanced System Information

ตัวอยาง จากคําสั่ง GPResul Microsoft (R) Windows (R) Operating System Group Policy Result tool v2.0 Copyright (C) Microsoft Corp. 1981-2001 Created On 5/19/2005 at 10:46:14 AM RSOP data for PORNCHAI\administrator on 2107_00 : Logging Mode ---------------------------------------------------------------



OS Type: Microsoft(R) Windows(R) Server 2003, Enterprise Edition OS Configuration: Primary Domain Controller OS Version: 5.2.3790 Terminal Server Mode: Remote Administration Site Name: Default-First-Site-Name Roaming Profile: \\2107_00\profiles\administrator Local Profile: C:\Documents and Settings\Administrator Connected over a slow link?: No COMPUTER SETTINGS ------------------ CN=2107_00,OU=Domain Controllers,DC=eng,DC=pornchai,DC=com Last time Group Policy was applied: 5/19/2005 at 10:45:52 AM Group Policy was applied from: 2107_00.eng.pornchai.com Group Policy slow link threshold: 500 kbps Domain Name: ENG Domain Type: Windows 2000 Applied Group Policy Objects ----------------------------- Default Domain Controllers Policy Default Domain Policy The following GPOs were not applied because they were filtered out ------------------------------------------------------------------- Local Group Policy Filtering: Not Applied (Empty) The computer is a part of the following security groups ------------------------------------------------------- BUILTIN\Administrators Everyone BUILTIN\Pre-Windows 2000 Compatible Access Windows Authorization Access Group NT AUTHORITY\NETWORK NT AUTHORITY\Authenticated Users This Organization 2107_00$ Domain Controllers NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS USER SETTINGS -------------- CN=Administrator,CN=Users,DC=pornchai,DC=com Last time Group Policy was applied: 5/19/2005 at 10:05:43 AM Group Policy was applied from: 2107_01.pornchai.com Group Policy slow link threshold: 500 kbps Domain Name: PORNCHAI Domain Type: Windows 2000 Applied Group Policy Objects ----------------------------- Default Domain Policy The following GPOs were not applied because they were filtered out ------------------------------------------------------------------- Local Group Policy Filtering: Not Applied (Empty) The user is a part of the following security groups --------------------------------------------------- Domain Users Everyone BUILTIN\Pre-Windows 2000 Compatible Access



BUILTIN\Administrators NT AUTHORITY\INTERACTIVE NT AUTHORITY\Authenticated Users This Organization LOCAL Enterprise Admins Schema Admins Group Policy Creator Owners Domain Admins

เคร่ืองมือ Advanced System Information

การสราง RSoP Queries ดวย Resultant Set Of Policy Wizard เพื่อชวยในการวิเคราะหผลใหไดอยางมีประสิทธิภาพ Windows Server 2003 รองรับ Resultant Set Of Policy Wizard ซึ่งจะรายงานคาที่ GPOs มีผลตอ users และ Computers ใหโดยกําหนดขั้นตอนตามที่เกิดขึ้น และเปนการดึงคา GPO ที่จําลองขึ้น โดยกําหนดรายงานไดสองโหมดคือ Logging กับ Planning โหมด Logging เปนการดูคา GPO settings, Software installation applications, และ Security สําหรับเครื่องคอมพิวเตอร และผูใช

- หาขอผิดพลาด หรือสิ่งที่กําหนดทับในนโยบายที่ติดต้ัง - ดู Security groups ที่มีผลตอ Policy Settings - ดูคาที่ Local policy ถูกกระทํากับ Group Policies



โหมด Planning RsoP จะอนุญาตใหมีการวางแผนขยาย และจัดองคกรใหมดวยการใช RsoP โหมด Planning ซึ่งจะดึงคา GPOs ที่กําหนดเชน Software installation applications, และ Security และใหสามารถใช WMI filter queries เพื่ออาจคุณสมบัติฮารดแวร และซอฟตแวร ซึ่งคาที่กําหนดจะใชกับ

- ตองการทดสอบ Policy กอนหนา o คากําหนด User and Computer ที่ตาง Security groups o คากําหนด User and Computer ที่ตาง OU o การยาย User and Computer ไวตําแหนงใหม

- ตองการจํานวนเครือขายความเร็วตํ่า - ตองการจําลอง Loopback

ออปชั่นที่กําหนดใน RsoP Planning สามารถที่จําลองในการสรางของ Resultant Set Of Policy Wizard ซึ่งกําหนด

- Slow-network connection เปนออปชั่นที่ตรวจสอบการโอนถายจากเครื่อง Domain Controller - Loopback processing เพื่อตรวจสบคาที่กําหนดในการรวม หรือการกําหนดแทนที่ใน GPO - Site name เปนการจําลองแอพพลิเคชั่นที่มีการเพิ่ม Subnets สําหรับการล็อกออน และการทํานาย RsoP ถามี

การเปลี่ยน Subnet - การปรับเปลี่ยน User and Computer เปนการจําลองถามีการปรับเปลี่ยนทั้ง User และ Computer จะเปน

อยางไร - การปรับเปลี่ยน User and Computer security groups เปฯการจําลองแอพพลิเคชั่นที่มีการปรับเปลี่ยนทั้ง User

และ Computer ซึ่งจะทํานายในการใชกลุมกรอง GPO ที่กําหนด - WMI filters สําหรับ Users and Computers เปฯการจําลองโดยใช WMI filters ที่ชวยในการกําหนดนโยบาย

และทํานาย RsoP ดวยการใช WMI queries เพื่อกรอง GPO Scope การสราง RSoP Queries การกําหนดใช RSoP Wizard ซึ่งสามารถสรางจาก Active Directory Users and Computer (ทําไดใน Domains, Ous, Computer account, และ User accounts) หรือ Active Directory Sites and Services (สําหรับ Sites) ซึ่งจะเก็บคาคนหาไวที่ %Systemrrot%\Documents and Settings\Administrator\Start Menu\Programs\Administrative Tools การสรางตองคนหาทั้ง User และ Computer จึงตองล็อกออนผูใชที่เปน Local Administrators, Domain Administrators, หรือ Enterprise Administrators การบันทึกคา RSoP Queries และ Query Data หลังจากที่สราง RsoP query จาก RsoP Wizard สามารถที่จัดเก็บไวเพื่อเรียกใชอีกครั้งได การดู RSoP Queries



หลังจากที่สราง RsoP query ดวย RsoP Wizard และจัดเก็บขอมูล แลวภายในจะมีขอมูลตางๆดังนี้ - Individual policy settings - รายการของ GPOs ที่เกี่ยวของในการคนหา - สโคปของการจัดการที่เกี่ยวของกับการคนหา - ขอมูลของ GPO ใหม

ขอมูลที่แสดงใน Indvidual Policy Settings จะเหมือนกับที่แสดงใน Group Policy Object Editor สิ่งที่เพิ่มี Software Settings Results จะแสดง Name, Version, Deployment State, Source, Origin Windows Settings Results จะแสดง Name, Parameters, Last Executed, GPO Name Administrative Templates Results จะแสดง Setting, Explain, Precedence สาธิตการใชงาน RSoP การสราง RSoP Queries ดวยเคร่ืองมือ Gpresult รองรับขอมูลตางๆดังนี้

– Group Policy ถูกกําหนดครั้งสุดทาย และ Domain controller ไดถูกกําหนดนโยบาย – รายการที่กําหนด GPOs และรายละเอียด – คา Registry Setting – โฟลเดอรที่ถูกกําหนดเปลี่ยน และรายละเอียด – ขอมูลการจัดการซอฟตแวร – ขอมูล Disk quota – คาติดตั้ง Internet Protocol (IP) – Scripts

รูปแบบคําสั่ง Gpresult [/s computer [/u domain\user /p password]] [/user username] [/scope {user|computer}] [/v] [/z] ตัวอยางคําสั่ง



Gpresult /user User11 /scope computer Gpresult /s server2 /u contoso\admin7 /p p@ss314 /user user11 /scope user Gpresult /s server2 /u contoso.com\admin7 /p p@ss314 /user user11 /z > policy.txt การสราง RSoP Queries ดวยเคร่ืองมือ Advanced System Information-Policy ขอมูลที่แสดงมีดังนี้

– Computer name, และโดเมนที่เกี่ยวของ, และไซตปจจุบัน – User name และโดเมนที่เกี่ยวของ – การกําหนด GPOs สําหรับ Computer และ User – สมาชิก Security Group สําหรับ Computer และ User – คาติดตั้ง Internet Explorer – Scripts: Logon, Logoff, Startup, Shutdown – คาติดตั้ง Security – โปรแกรมที่ติดต้ัง – โฟลเดอรที่ Redirection – คาติดตั้ง Registry



การแตงต้ังการควบคุม RSoP

- สามารถกําหนดไดโดยใช Delegation of Control Wizard - กําหนดเลือก Generate Resultant Set Of Policy (Logging)

ปฏิบัติการที่ 22 การสรางการคนหา RSoP



11.2 การจัดการโฟลเดอรพิเศษกับ Group Policy ผูเรียนจะเขาใจสิ่งตางๆดังนี้

- Folder Redirection - ตําแหนงดีฟอลทโฟลเดอรพิเศษ - คาติดตั้ง Folder Redirection - การพิจารณานํา Policy ออก - Folder Redirection กับ Offline Files - คําแนะนําเกี่ยวกับ Folder Redirection

Folder Redirection การใช Folder Redirection เพื่อควบคุมโฟลเดอรที่ตองการจากสวนกลาง โดยกําหนดจุดแชร และใช Group Policy ไปบังคับใหผูใชเขามาใช หรือเก็บขอมูลในตําแหนงที่ตองการซึ่งโฟลเดอรที่รองรับมี

– Application Data

– Desktop

– My Documents

– My Pictures

– Start Menu ขอดีของการเปลี่ยนตําแหนงโฟลเดอร (Folder Redirection)

- ผูใชสามารถเรียกขอมูลจากเครื่องใดก็ได - เมื่อมีการใช Roaming user profiles จะอานจากเครือขายใน My Documents ซึ่งจะมีกอปปเมื่อเรียกใชงาน แต

Folder Redirection ไมมี - รองรับเทคโนโลยี่ Offline File - ขอมูลเก็บไวที่ Network Server - ผูดูแลสามารถกําหนด Quota ในเครื่องแมขายได - ขอมูลสามารถเปลี่ยนตําแหนงของดิสกทําใหติดตั้งเครื่องลูกขายใหมขอมูลยังใชงานไดอยู

การเปล่ียน My Documents ไปเปน Home Folders สิ่งที่จําเปนเมื่อมีการเปลี่ยน My Documents เปน Home Folders

– ความปลอดภัย

– ความเปนเจาของ

– คุณสมบัติของ Home directory บนออปเจคผูใช



ตําแหนงดีฟอลทโฟลเดอรพิเศษ - ตําแหนงคาติดตั้ง Windows 2000/2003 เก็บไวที่ C:\Documents and Settings - อัพเกรดจาก Windows NT4 และ Windows NT 3.x ตําแหนงอยูที่ C:\Winnt\Profiles - อัพเกรดจาก Windows 9x ตําแหนงอยูที่ C:\Windows\System32\Profiles

คาติดต้ัง Folder Redirection

- กําหนดเปลี่ยนโฟลเดอรพิเศษสําหรับทุกคนใน Site, Domain, หรือ OU - กําหนดเปลี่ยนโฟลเดอรพิเศษสําหรับสมาชิกใน Security Group

สาธิตการใช Folder Redirection เราสามารถที่กําหนด MY Documents ใหแม็บกับคาตางๆไดดังนี้



การพิจารณานํา Policy ออก

- Enabled เปนการเปลี่ยนไปใช Local User Profiles เมื่อ Policy นําออก - Disabled เปลี่ยนไปที่โฟลเดอร Userprofile เมื่อ Policy นําออก - ทั้ง Enabled และ Disabled ทิ้งโฟลเดอณไวที่ใหมเมื่อนํา Policy ออก

Folder Redirection กับ Offline Files Folder Redirection เปนการรองรับการเขาใชจากเครือขายสวนกลาง Offline Files รองรับผูใชทํางานเมื่อไมตอเครือขาย

– เมื่อเครือขายใชงานไดจะมีการซิงโครนัสขอมูล การกําหนดติดตั้ง Offline Files เมื่อกําหนดการ Redirected folders แลวสามารถกําหนด Offline file ไดซึ่งไมเกี่ยวกับ Folder Redirection วิธีการกําหนด

- กําหนด Sharepoint - กําหนด Computers ที่ตองการใช Offline Files - ทําการซิงโครไนส Offline files and Folders



การกําหนดคาจุดท่ีแชร ใหคลิกขวาแชรโฟลเดอรที่ตองการเลือก Sharing and Security และเลือกที่แท็บ Offline Settings

การกําหนดคา Server ท่ีรองรับ Offline Files หลังจากที่กําหนดจุดแชร ตองกําหนดเครื่อง Computers ของผูใช และ Server ใหใช Offline files โดยไปที่แท็บ Offline Files ใน Folder Optionsของ Windows Explorer บนเครื่องลูกขาย หรือไปกําหนดคานธยบายที่ Administrative Templates/Network/Offline ทั้ง Computer Configuration และ User Configuration

สาธิตการกําหนด Folder Redirection กับ Offline Files คําแนะนําเก่ียวกับ Folder Redirection

- อนุญาตใหระบบสรางโฟลเดอร



- ใช Fully qualified UNC paths - ยอมรับคาดีฟอลท - กําหนดตําแหนงโฟลเดอร My Pictures ในโฟลเดอร My Documents - พิจารณาสิ่งที่เกิดขึ้นเมื่อมีการนํานโยบายออก - ไม Redirect My Documents ไป Home folder ถาไมพรอมทําทั้งองคกร

ปฏิบัติการที่ 23 การจัดการโฟลเดอรพิเศษ



11.3 การแกปญหา Group Policy ผูเรียนจะเขาใจสิ่งตางๆดังนี้

- ตรวจสอบวาสิ่งที่ทํางานเหมาะสมหรือไม - ตรวจสอบ และแกปญหา - เครื่องมือที่ใชในการแกปญหา

ตรวจสอบวาสิ่งที่ทํางานเหมาะสมหรือไม

- ตรวจสอบ GPOs วากําหนดเหมาะสมกับผูใช และเครื่องหรือไม - ตรวจสอบโฟลเดอรวากําหนดตําแหนงที่เปลี่ยนเหมาะสมหรือไม - ตรวจสอบไฟล และโฟลเดอรที่ทํางาน Offline เมื่อเครื่องทาํงานในภาวะ Offline

ตรวจสอบ และแกปญหา

- GPOs ไมกําหนด - GPOs เขาใชไมได - GPO ถายทอดเปนผลไมไดตามคาดหวัง - โฟลเดอรไมเปลี่ยนตําแหนง หรือเปลี่ยนผิดตําแหนง - ไฟล และโฟลเดอรทํางานไมไดในภาวะ Offline - ไฟลไมซิงโครนัส

เคร่ืองมือท่ีใชในการแกปญหา

- Resultant Set Of Policy Wizard - Gpresult - Gpupdate - Event Viewer - Log files

ขอมูลที่ตรวจสอบจาก Event Viewer



สามารถดูปญหาที่เกิดขึ้นได การดูในไฟลล็อกท่ีชื่อ Userenv.log การกําหนดใหเปดล็อกไปที่ HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/Current Version และสรางคียใหมที่ช่ือ RunDiagnosticLoggingGroupPolicy คาที่กําหนด DWORD เปน 1 ซึ่งตองกําหนดใน Registry ที่ HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/Current Version/Winlogon ใหเลือก New : DWORD : คาเปน 30002 และไปตรวจสอบล็อกที่ %systemrrot%\Debug\Usermode\Userenv.log



ปญหาที่เกิดขึ้นไดใน Group Policy

- ผูใชไมสามารถเปด Console แมมี Read permission - เมื่อผูใชพยายามแก GPO แลวเปดขึ้นมามีขอความแจง GPO มีปญหา - เมื่อผูใชพยายามแกไข GPO มีขอความบอกผิดพลาด Active Directory Container - เมื่อผูใชพยายามแกไข GPO ขึ้นขอความ Snap-in มีปญหา - Group Policy ไมกําหนดใน User and Computer ใน Security Group ที่เก็บ แมวาจะลิงคที่ OU ที่มี Security

Group - Group Policy ไมมผีลตอ Users and Computers ใน Site, Domain, หรือ OU - Group Policy ไมมีผลตอ Users and Computer ใน Active Directory Container - Local Group Policy ไมมีผลตอเครื่อง - Folder Redirection ไมทํางาน - Folder Redirection สําเร็จแตไฟล และโฟลเดอรไมมี - ไฟลมีเมื่ออยูในภาวะออนไลน แตออฟไลนไมมี - ผูใชไมสามารถที่ใช Files และ Folders ใน Offline - ไฟลไมซิงโครไนสกัน



บทที่ 12 การกระจายซอฟตแวรดวย Group Policy ในบทนี้จะกลาวถึงสิ่งตางๆดังนี้

- ความเขาใจซอฟตแวรกับ Group Policy - การกระจายซอฟตแวรดวย Group Policy - การบํารุงรักษาซอฟตแวรที่กระจายดวย Group Policy - การแกปญหาซอฟตแวรที่กระจายกับ Group Policy

12.1 ความเขาใจซอฟตแวรกับ Group Policy ผูเรียนจะเขาใจสิ่งตางๆดังนี้

- เขาใจการกระจายซอฟตแวรดวย Group Policy - Software Installation Extension - Windows Installer Service - Windows Installer Packages - การเพิ่ม หรือยายโปรแกรมใน Control Panel - กระบวนการกระจายซอฟตแวร - การกระจายแพ็ตเกจ Windows Installer

เขาใจการกระจายซอฟตแวรดวย Group Policy ผูเรียนใช Software Installation และ Maintenance ของ IntelliMirror เพื่อสรางการจัดการซอฟตแวร โดยตองการคุณลักษณะดังนี้

- ผูใชเขาใชแอพพลิเคชั่นตามงานที่จําเปน ไมเกี่ยวกับเครื่องที่ล็อกออน - เครื่องตองการแอพพลิเคชั่น โดยไมตองอาศัยการติดต้ังจากทีมสนับสนุน - แอพพลิเคชั่นอัพเดต ถูกบํารุงรักษา หรือนําออก ตรงกับความตองการองคกร

ความสามารถเหลานี้ทํางานกับ Active Directory ใน Group Policy และเครื่องที่กําหนดไดตองเปน Microsoft Windows 2000 ขึ้นไป และสงผลกับเครื่องลูกขายที่มีระบบปฏิบัติการ Windows 2000 Professional ขึ้นไป เคร่ืองมือท่ีใชในการจัดระเบียบ Group Policy

- Software Installation extension - Add or Remove Programs

Software Installation Extension เปนสิ่งที่เพิ่มขึ้นใน Group Policy Object Editor ที่ใหผูบริหารจัดระเบียบซอฟตแวร ซึ่งจัดการจากสวนกลาง

- เริ่มจัดการกระจายซอฟตแวร - อัพเกรด, แพตช, และแกปญหาซอฟตแวรอยางเร็วๆ - การนําซอฟตแวรออก



โดยการใช Software Installation extension ผูใชสามารถที่ควบคุมการติดต้ังจากสวนกลาง และกําหนดคาโดยมีการติดต้ังสองแบบคือ Assigned ในเครื่องคอมพิวเตอร หรือใน Users และ Published ใน Users

ทั้ง Assigned และ Published เรียกวา Software Distribution point (SDP) Assigning Applications เมื่อมีการกําหนด application ไปที่ผูใชจะแจงใหผูใชทราบเมื่อเขาไปใน Start menu ครั้งถัดไป โดย Local registry settings จะทําการเพิ่มนามสกุลไฟลเพื่อใหทราบ โดยถาผูใชเรียกซอฟตแวรดังกลาวครั้งแรก ไมวาจะการเรียกโปรแกรมโดยตรง หรือเรียกจากนามสกุลของไฟลที่แอพพลิเคชั่นรองรับ ก็จะทําการติดตั้ง ซึ่งการทํางานติดต้ังอยางสมบูรณเกิดขึ้นเมื่อเครื่องรีสตารท Publishing applications เมื่อแอพพลิเคชั่นไดประกาศ จะยังไมติดต้ังในเครื่องผูใช ไมมี Shortcuts บน Desktop หรือ Start menu และไมมีการอัพเดตใน Registry แตจะแจงคุณสมบัติใน Active Directory เชนช่ือ Application, และไฟลที่นามสกลุที่ถูกแตกเมื่อผูใชอยูใน Active Directory Container ในการติดตั้งจะใช Add or Remove Programs ใน Control Panel หรือคลิกที่นามสกุลไฟลที่แอพพลิเคชั่นรองรับ เชน Excel คือไฟลนามสกุล .xls เปนตน Windows Installer Service Software Installation extension ใช Windows Installer service ในการจัดการระบบซอฟตแวรซึ่งทํางานเปนแบ็คกรานด และอนุญาตใหระบบปฏิบัติการทําการติดต้ัง โดยดึงขอมูลจาก Windows Installer Packages เพราะวา Windows Installer service จัดการโดยดูสถานะในการทํางาน เมื่อมีปญหาในการติดต้ังก็จะขอคืนสถานะที่ดีกอนหนานี้ครั้งสุดทายกลับมา ถาตองการแกไขซอฟตแวร Windows Installer ก็อนุญาตใหทําได และระบบมีการทําการซอมตัวเองไดเมื่อพบปญหาในแอพพลิเคชั่น และนําซอฟตแวรออกเมื่อไมตองการใชงาน Windows Installer Packages เปนแพ็ตเกตที่เก็บไฟลที่ใชติดตั้ง และนําออก ผูใชสามารถใช Software Installation extension ในการจัดระเบียบการติดต้ังได มีไฟลอยูสองประเภทคือ

- ไฟล Native Windows Installer package (.msi) รองรับการทํางานของ Windows Installer ไดทั้งหมดซึ่งผูสราง และผูประกาศ สามารถที่ดึงขอมูลในแพ็ตเกจมาใชได

- ไฟล Repackaged application (.msi) เปฯไฟลที่สรางจากแอพพลิเคชั่นอีกครั้ง แมวาไฟลจะทํางานไดเหมือนกับ Native Windows Installer package แตสวนประกอบในไฟลจะมีเพียงแคหนึ่งผลิตภัณฑ ซึ่งจะมีฟเจอรมากมายที่ตองกแยกติดต้ังเพื่อใหมีความแตกตาง

การปรับเปล่ียนไฟล Windows Installer Packages สามารถที่แกไขขอมูลในแพ็ตเกจเรียกวา Transofrms โดยรูปแบบที่กําหนดตองมีการอนุญาตให Transform จากแพ็ตเกจตนฉบับ โดยใช Autoring and Repackaging tools ซึ่งจะมีการใชในรูปแบบ Wizard ในการสรางการแกไข



ตัวอยางเชน Microsoft Office XP รองรับ Customization Wizard เพื่อสรางการแกไข ซึ่งการแกไขนี้จะออกแบบตามฟเจอรของ Microsoft Word ที่ตองการใหติดตั้งรองรับการ Translators ในครั้งแรก และมีการติดต้ังเพิ่มเติม Clip art, ซึ่งบางอยางไมถูกติดตั้งใน Assignment หรือ Publication โดยมีไฟลอยูสองชนิดที่แกไข Windows Installer Package ไดคือ

- ไฟล Transform (.mst) รองรับกับ Customizing ในการติดตั้งแอพพลิเคชั่น - ไฟล Patch (.msp) เปฯไฟลที่อัพเดตจาก .msi เปนสิ่งที่เพิ่ม, Service packs, และการอัพเดตบางไฟล

แอพพลิเคชั่นไฟล .zap เปนซอฟตแวรที่ใชไดใน Software Installation extension โดยใชไฟล application ซึ่งจะมีการเก็บคาแนะนําการกระจาย และการนําไฟลที่ติดตั้งโปรแกรม (setup.exe หรือ Install.exe) มาใชเปนไฟล .zap ไมสามารถที่ใชกับ Windows Installer package หรือ repackaging ไฟล .zap ไมรองรับฟเจอร Windows Installer เมื่อมีการใชไฟล .zap ก็จะติดตั้งดวย Setup.exe หรือ Install.exe ซึ่งจะเปนเพียงการเลือกใน Add or Remove Programs ใน Control Panel ดังนั้นแนะนําใหใชไฟล .msi ในการกระจายกับ Group Policy เทาที่เปนไปได การเพิ่ม หรือยายโปรแกรมใน Control Panel เปนเครื่องมือที่มีอยูใน Windows อยูแลวซึ่งสามารถที่ เพิ่ม แกไข ซอม หรือนําซอฟตแวรออก ซึ่งโดยทั่วไปผูใชจะใชในการติดตั้งผานแชรไดรฟ ซีดีรอม แผนดิสต หรืออัพเกรดดวยตนเอง การกําหนดกระจายซอฟตแวร เราทราบวาการติดต้ังซอฟตแวรสามารถทําไดโดย Assigned หรือ Published ซึ่งจะมีตารางแสดงความเขาใจ

วิธีการกระจาย Publish (User only) Assing (User) Assign (Computer) หลังจากที่กระจายซอฟตแวร และติดต้ังไป

จะติดตั้งครั้งหนาเมื่อล็อกออน

จะติดตั้งครั้งหนาเมื่อล็อกออน

จะติดตั้งครั้งหนาเมื่อเครื่องเปดใหม

วิธีการที่ผูใชติดตั้งจาก Add or Remove Programs ใน Control Panel

Start menu หรือ Desktop shortcut

จะติตดั้งทันที (เมื่อเครื่องรีบูต)

ถาซอฟตแวรไมติดต้ัง และผูใชเปดนามสกุลไฟลที่ใชจะ

ติดต้ัง (ถากําหนดใหติดต้ังอัตโนมัติ)

ติดต้ัง ไมติดตั้ง ซอฟตแวรติดตั้งไปแลว

สามารถที่จะนําออกเมื่อใช Add or Remove Programs ใน Control panel หรือไม

ได และเลือกที่จะติดตั้งใหมจาก Add or Remove Programs ไดดวย

ได และยังสามารถติดต้ังอีกครั้งไดจากจุดที่ติดต้ัง

ไมไดจะกําหนดไดเฉพาะ Local administrator ที่นําซอฟตแวรออก ผูใชทําการซอมซอฟตแวรไดเทานั้น

รองรับไฟล Windows Installer packages (.msi)

Windows Installer packages (.msi)

Windows Installer packages (.msi)



ไฟล .zap กระบวนการกระจายซอฟตแวร ขั้นตอนของการรับซอฟตวรจะแยกเปน Published และ Assigned

ใน Published Applications ใหไปดูที่ Add or Remove Programs ที่เก็บอยูใน Active Directory และเลือกที่ติดตั้งผาน SDP ถากําหนด Assigned Applications จะไดรับขอมูลซึ่งเปน Shortcut ใน Start menu หรือบน Desktop เมื่อมีการเรียกก็จะติดต้ังจาก SDP ถากําหนดติดตั้งโดยใช Applications พิจารณาจากไฟลนามสกุล การติดต้ังจะเกิดขึ้นเมื่อมีการเปดไฟลนามสกุลที่แอพพลิเคชั่นรองรับ การกระจายซอฟตแวรท่ีเปน Published applications

- เมื่อผูใชล็อกออนแลวไปเปด Add or Remove Programs ใน Control Panel - ใหเลือกที่ Application ที่ตองการ ซึ่งจะมีขอมูลที่เก็บ Published software ไว - ใหสงคํารองไป SDP - Windows Installer service จะเริ่มทํางาน และติดต้ังซอฟตแวร



การกระจายซอฟตแวรท่ีเปน Assigned Application - เมื่อล็อกออนใหทํางาน Windows 2000 หรือสูงกวา - Winlogon จะสงคํารองแจงไปที่ผูใชบน Desktop หรือบน Start menu - ผูใชเลือกแอพพลิเคชั่นที่ตองการจาก Desktop หรือ Start mneu - Windows Installer service จะดึงขอมูล Windows Installer package - สงคํารองขอซอฟตแวรไป SDP - เมื่อติดตั้งแลวก็เปดแอพพลิเคชั่นได

การกระจายซอฟตแวรท่ีเปน Automatically Installed Application - ผูใชล็อกออนที่เครื่อง Windows 2000 หรือสูงกวา - ทําการดับเบิ้ลคลิกไฟลนามสกุลที่ไมรูจัก - Windows Server 2003 จะดูขอมูลนามสกุล - ถาขอมูลพบก็จะกําหนดตําแหนง SDP - ถาไมมีก็จะหาจาก Active Directory วามีตําแหนง Application บน SDP หรือไม

การกระจายแพ็ตเกจ Windows Installer เพราะวา Windows Installer เปนสวนหน่ึงของระบบปฏิบัติการ ทําใหการกระจาย Windows Installer Package เปนเรื่องที่ทําไดบนเครื่องลูกขาย และสามารถที่ใชงานกับองคกรขนาดใหญดวย Windows 2000 Server หรือสูงกวากับ Active Directory ในกรณีที่เปนเปนเครื่องกอน Windows 2000 ตองใช Microsoft System Management Server (SMS) แทนการใช Group Policy การจัดขบวนซอฟตแวรใน Group policy ใช Pull model จะทําใหซอฟตแวรใชไดกับผูใชที่ตองการ ซึ่งเมื่อมีการเรียกครั้งแรกไมวาเปนนามสกุล หรือ Shortcut ก็จะติดต้ัง การทําระบบนี้ตองอาศัยความเร็วของเครือขายสูงเชน LAN และลูกขายจะตองเห็น SDP SMS รองรับการทํางานที่รูปแบบกระจายที่แข็งแกรวงกวาการใช Group Policy เพราะมีการวิเคราะหเครือขาย และมีเครื่องมือในการที่สงซอฟตแวรกระจายไปยังที่ตางๆ เหมาะกับองคกรขนาดใหญ และทํางานในลูกขายตางๆได SMS ใช Push model ในการสงซอฟตแวร โดยจะทําการสงซอฟตแวรในชวงเวลาที่ไมใชงานหนัก และสรางจุดในการกระจายไปยังที่ตางๆ เพื่อควบคุม และซิงโครไนสไฟลในหลากหลายไซต และยังลงปญหาความไมลงตัวกันของระบบปฏิบัติการดวย การเลือกใช SMS แทน Group Policy มีเงื่อนไขดังนี้ - ลูกขายไมใช Windows 2000 - กระจายซอฟตแวรในลิงคความเร็วตํ่า - ตองการความสามารถของ Software licensing and Metering - มีการระบุคาติดต้ังของ Computer



12.2 เขาใจการกระจายซอฟตแวรดวย Group Policy ผูเรียนจะเขาใจสิ่งตางๆดังนี้

- การกระจายซอฟตแวรดวย Group Policy - การติดต้ัง SDP - การสราง GPO และ GPO Console สําหรับการกระจายซอฟตแวร - สิ่งที่ควรทําใน Software Deployment

การกระจายซอฟตแวรดวย Group Policy งานที่กระจายซอฟตแวร

1. การวางแผน และเตรียมการ 2. การกําหนดจุด SDP 3. การสราง GPO และกําหนดหนาจอ GPO สําหรับการกระจายซอฟตแวร 4. ระบุคุณสมบัติของซอฟตแวรที่ตองการกระจายใน GPO 5. เพิ่ม Windows Installer packages ไปที่ GPO และเลือกวิธีการกระจายแพ็ตเกจ 6. เลือกคุณสมบัติ Windows Installer

การวางแผน และการเตรียมซอฟตแวรท่ีกระจาย กอนที่จะกระจายซอฟตแวรดวย Group Policy จะตองมีการเตรียมการ

- ดูความตองการซอฟตแวรในองคกร บนพื้นฐานโครงสรางองคกรซึ่งมี Active Directory และ GPOs ที่ใชอยู - พิจารณาวาจะกระจายแอพพลิเคชั่นอยางไร - สรางโครงการทดสอบ และกําหนด Assign หรือ publish software ไปที่ผูใช และเครื่องคอมพิวเตอรที่

ตองการ - เตรียมซอฟตแวร และรูปแบบในการจัดการตามความตองการในการทดสอบกับ Windows Installer

packages หรือ Repackaged การพิจารณา และยุทธศาสตรสําหรับการกระจายซอฟตแวร

ยุทธวิธี สิ่งที่พิจารณา สราง OU เพื่อการจัดการซอฟตแวร อนุญาตใหแอพพลิเคชั่นที่เหมาะสมกับผูใช Group policy security

settings ไมตองกําหนดในกลุมผูใช กระจายซอฟตแวรใกลกับ Root ใน Active Directory tree

ทําใหการจัดโครงสรางงาย และลดงานในการบริหารทําใหมี GPO เดียว เมื่อมีการปรับเปลี่ยนจะมีการสรางไปยังที่เก็บลางๆไปในทรีของ Active Directory

กระจายซอฟตแวรโดยใช GPO เดียว ลดงานบริหาร และอนุญาตใหมีการจัดการ GPO เดียวทําใหเร็วในการ



กระจายซอฟตแวรดวย ซึ่งทําใหกําหนดโครงสรางไดเหมาะสมกับความตองการหลักขององคกร

Publish หรือ Assign application จะกําหนดเพียงหนึ่งเหมือนกันใน GPO หรือกําหนดเปนชุดใน GPOs โดยกําหนดในหนึ่ง User หรือ Computer

ทําใหการตรวจสอบรายการที่กําหนดทําไดงายในการพิจารณา และกําหนดใน User หรือ Computer

Software licenses เปนความตองการที่ถูกเขียนขึ้นแยกจาก Software vendor และการกระจายซอฟตแวร ซึ่งจะดูผูใช และจํานวนของซอฟตแวรที่มีอยูในมือ การรวบรวมจะใชไฟล .msi และแสดงการแกไขดวยดูไฟล .mst หรือ ไฟล .msp การติดต้ัง SDP ขั้นตอนมีดังนี้

– สรางโฟลเดอรที่กระจายซอฟตแวรดวย 0\\servername\sharenaem

– กําหนดการเรพพลิเคตเพื่อวางตําแหนง SDP ที่ตองการกอปป, ทําแพ็ตเกต, การแกไข, นําไฟลที่จําเปนทั้งหมด, และสวนประกอบโฟลเดอร

– กําหนด Permissions บนโฟลเดอรใหเหมาะสม ใช DFS เพื่อจัดการ SDPs Microsoft มี Distributed File System (DFS) เพื่อใหสะดวกในการเขาใชแชรโฟลเดอรที่มีการกระจายขามเครือขาย ซึ่งจะมีการกระจายในหลายเครื่อง Server โดยกําหนดตําแหนงที่เครื่องผูใชใกล SDP ที่สุด การสราง GPO และ GPO Console สําหรับการกระจายซอฟตแวร จะมีการสราง GPO และสรางหนาจอ GPO console สําหรับ Software deployment ซึ่งจะมีขั้นตอนไดกลาวในบทที่ 10 ไปแลว การระบุคุณสมบัติการกระจายซอฟตแวรใน GPO ใน Software Installation properties จะมีแท็บ General, Advanced, File Extensions, และ Catagories แท็บ General



เปนแท็บที่กําหนดคาวิธีการกระจาย และออปชั่นที่ตองการติดตอระหวางติดต้ัง และที่สําคัญคือ Path ที่ใชติดตั้ง แท็บ Advanced



ใชกําหนดออปชั่นเพิ่มเติมเชน การนําซอฟตแวรออก การรองรับ OLE เมื่อมีการกระจายซอฟตแวร และรองรับ

แพลตฟอรม 32 หรือ 64 บิต แท็บ File Extension



กําหนดนามสกุลที่รองรับสําหรับแพ็ตเกจนี้ แท็บ Categories



สรางหมวดหมูเพื่อจัดกลุมในการกระจายซอฟตแวร ทําใหแยกประเภทไดงาย เราสามารถที่กําหนดไดจาก GPO console ที่สรางและไปปรับเปลี่ยนคาตางๆ การเพิ่ม Windows Installer packages ไป GPO และเลือกวิธีการกระจาย เราสามารถแกไขขอมูลในคาแพ็ตเกจ และการกําหนดคาคุณสมบัติ รวมถึงวิธีที่กระจายในแพ็ตเกจที่ตองการ

- กําหนดใน Software Installation



- เลือกสราง New Package - เลือกการกระจายวาเปน Published หรือ Assigned

การกําหนดคุณสมบัติ Windows Installer package ในแพ็ตเกตที่สรางผูบริหารระบบสามารถปรับเปลี่ยนได มีแท็บที่กําหนด General, Deployment, Upgrades, Categories, Modifications, Security

สาธิตการปรับเปลี่ยนคาใน Software Installation สิ่งที่ควรทําใน Software Deployment

- Assign หรือ Publish เพียงหนึ่งตอ GPO - Assign หรือ Publish ใหใกลกับ Root ใน Active Directory Hierarchy - มั่นใจวา Windows Installer packages ไดมีการกําหนดแกไขกอนที่จะ Published และ Assigned - ระบุแอพพลิเคชั่นใหเปนหมวดหมู - นําขอดีของเครื่องมือในการแกไขมาใช - ทําแพ็ตเกจเดิมในซอฟตแวรที่มีอยู



- กําหนดคุณสมบัติสําหรับ GPO ใหรองรับการควบคุมโดยกวาง - กําหนดคุณสมบัติสําหรับ Windows Installer package เพื่อรองรับการควบคุม - รูจักการใช Group Policy Software Installation และ System Management Server (SMS)

ปฏิบัติการที่ 24 การกระจายซอฟตแวรดวย Group Policy



12.3 การบํารุงรักษาซอฟตแวรท่ีกระจายดวย Group Policy ผูเรียนจะเขาใจสิ่งตางๆดังนี้

- การกระจายซ้ําแอพพลิเคชั่นดวย Group Policy - การอัพเกรดแอพพลิเคชั่นดวย Group Policy - การนําแอพพลิเคชั่นออกดวย Group Policy

การกระจายซ้ําแอพพลิเคชั่นดวย Group Policy ขั้นตอนมีดังนี้

– เปด Group Policy Object Editor และเลือกที่ Computer Configuration หรือ User Configuration ไปที่ Software Settings

– ไปที่ Software Installation

– กําหนดคารายละเอียดที่ตองการ และคลิกขวาเลือกที่ All Task -> Redeploy Application การอัพเกรดแอพพลิเคชั่นดวย Group Policy

เปนวงจรของซอฟตแวร ซึ่งสามารถทําไดดังนี้



– ทีมพัฒนาซอฟตแวรที่ใชมีการปลอยซอฟตแวรตัวใหมออกมา – องคกรมีการเปลี่ยนแอพพลิเคชั่นที่แตกตาง

เมื่อกําหนดการอัพเกรดซอฟตแวรตองระบุดวยวาแพ็ตเกจเดิมที่อัพเกรดคือตัวใด การนําแอพพลิเคชั่นออกดวย Group Policy มีขั้นตอนดังนี้

– เลือกวิธีที่นําออกตามที่ตองการ

– เลือกนําออกทันที – เลือกใหมีการใชตอ

– อนุญาตซอฟตแวรที่นําออกเพื่อใหดําเนินตามกระบวนการ



– ลบ GPO



12.4 การแกปญหาซอฟตแวรท่ีกระจายกับ Group Policy ผูเรียนจะเขาใจสิ่งตางๆดังนี้

- การใชเครื่องมือในการแกปญหา Group Policy - ตัวอยางสถานการณที่เกิดปญหา

ผูบริหารระบบตองหาวิธีในการแกปญหาซอฟตแวรที่กระจายโดยใช Group Poolicy ซึ่งตองมีการตรวจสอบคาที่กําหนดวาทํางานไดเหมาะสมหรือไมจึงจําเปนที่ตองมีการใชเครื่องมือในการตรวจสอบ และแกปญหา การใชเคร่ืองมือในการแกปญหา Group Policy เครื่องมือที่ใชในการแกปญหา

– Resultant Set Of Policy Wizard

– Gpresult

– Gpupdate



– Event Viewer

– Log file สิ่งแรกที่ผูแกปญหาตองทําคือการกําหนด Advanced Diagnostic Information ที่กําหนดการบันทึกการแกปญหา ซึ่งมี

- Product Code จะมีการสราง GUID ที่ไมซ้ํากันขึ้น - Deployment Count จะแสดงหมายเลขของเวลาที่มีการกระจาย - Script Name เปนการแสดง Full path ที่ Application assignment script (.aas file) ซึ่งจะเก็บคาชวยเหลือใน

การ Assignment หรือ Publication ที่สรางขึ้นและเกบใน GPO ของโดเมน ขั้นตอนการดู Advanced Diagnostic Information

- เปด Group Policy Object Editor Console -> Computer Configuration หรือ User Configuration -> Software Settings

- Software Installation node -> คลิกขวา Properties -> ไปที่แท็บ Deployment, คลิกที่ Advanced ตัวอยางสถานการณท่ีเกิดปญหา

- แอพพลิเคชั่นเลือก Published แลวไมขึ้นที่ Add or Remove Programs - เมื่อผูใชกระตุนโดยเปดไฟลนามสกุลที่ตองติดตั้งซอฟตแวร แลวไมติดตั้ง - เมื่อผูใชกระตุนโดยเปดไฟลนามสกุลที่ตองติดตั้งซอฟตแวร แลวติดต้ังไมถูกตออง - เมื่อกําหนด Assigned แลวไมติดตั้ง - ผูใชไมเคยติดตั้ง หรือจัดการซอฟตแวรที่เลือกติดต้ัง ซึ่งมีขาวสาร Error แจงมาใหทราบ - ติดต้ังกอนหนา ถูกนําออกไมทราบสาเหตุ - ผูใชไดรับขอมูล Error เชนฟเจอรไมพบตําแหนงของไดเรคทรอรี่ - หลังจากที่นําแอพพลิเคชั่นออก แลวยังมี Shortcut อยู - ผูใชพยายามที่ติดต้ังแอพพลิเคชั่นแลวไดรับขอความวามีกระบวนการทํางานอยู



- ผูใชเปดแอพพลิเคชั่นที่ติดต้ัง และ Windows Installer services ทํางาน - ผูบริหารระบบไดรับขาวสารผิดพลาดเชน Active Directory ไมอนุญาตใหกระจายแพ็ตเกจ หรอืไมสามารถที่

เตรียมแพ็ตเกจสงได



บทที่ 13 การบริหารความปลอดภัยดวย Group Policy ในบทนี้จะกลาวถึงสิ่งตางๆดังนี้

- เขาใจเกี่ยวกับความปลอดภัย Active Directory - การวางระบบนโยบายควบคุมซอฟตแวร - การวางระบบ Audit Policy - การบริหารงานล็อก Security - การใช Security Templates - การใช Security Configuration and Analysis

13.1 เขาใจเกี่ยวกับความปลอดภัย Active Directory ผูเรียนจะเขาใจสิ่งตางๆดังนี้

- พ้ืนฐานของ Active Directory Security - สิ่งที่ควรปฏิบัติกับ Security Settings

เขาใจเกี่ยวกับ Acitve Directory Security สวนประกอบพื้นฐาน Active Directory Security

- Security Groups - Access Control - Delegation of Control - Group Policy

Security Group เปนสิ่งที่ชวยใหการบริหารงานนั้นทําไดอยางงายดวยการกําหนด Permissions และ Rights ที่เหมาะสมในการควบคุมคาความปลอดภัย โดยอาจจะใชเครื่องมือสําเร็จรูปเชน Delegation of Control Wizard มาชวยในการกําหนดในระดับ Site, Domain, หรือ OU

Active Directory Security รองรับโดย Group Policy ซึ่งจะทําใหเรากําหนดไดงายยิ่งขึ้นโดยใชการกําหนดเปนนโยบาย

– Security Settings เปนการกําหนดในความปลอดภัยของระบบ ซึ่งจะให Administrators กําหนด Security Profiles ใน Sites, Domains, หรือ OU

– Auditing and Security Logging เปนการบันทึกสิ่งที่เกิดขึ้นทั้งการตามกิจกรรมผูใช และกิจกรรมของระบบ โดยเรียกสิ่งที่เกิดขึ้นวาเหตุการณ เขาไปดูไดโดยใช Event Viewer -> Security เปนสิ่งที่จําเปนสําหรับการตรวจสอบผุบุกรุก เพราะเปนหลักฐานที่ใชในการตรวจสอบพฤติกรรมการทํางาน

– Security Configuration and Analysis เปนฟเจอรที่ใชในการเปรียบเทียบ Security Settings ของเครื่องคอมพิวเตอรจาก Template ที่กําหนดโดยดูคาผลลัพธ การกําหนดจะใชเครื่องมือสนี้ในการดึง Template มา



กําหนดเพื่อตรวจสอบ Security Settings ใน Group Policy สามารถกําหนดไดในทั้ง Local และ Non-local Group Policy มีการกําหนดสิ่งตางๆดังนี้

– Account Policies – Local Policies – Event Log – Restricted Groups – System Services – Registry – File System – Wireless Network (IEEE 802.11) Policies – Public key policies – Software Restriction Policies – IP Security Policies

Account Policies เปนการกําหนดนโยบายที่ใหมีผลตอผูใชในโดเมน โดยคาที่กําหนดมี

- Password Policy เปนการกําหนดการบังคับเกี่ยวกับการตั้งรหัสผาน - Account lockout policy เปนการกําหนดเพื่อใหผูใชใครที่ถูกล็อกออกจากระบบได



Local Policies สามารถกําหนดความปลอดภัยโดยเมื่อผูใชล็อกออนแลวไดสิทธิอะไรในระบบบาง

- Audit policy เปนการใหใชตรวจสอบล็อกใน Security log ซึ่งจะมีทั้งสําเร็จ และล็มเหลว - User rights assignment พิจารณาผูใชวามีสิทธิในระดับใดของ Site, Domain, OU ซึ่งจะกําหนดใหงาน

บริหารงานผูใชงายขึ้น - Security options เปนการกําหนดอนุญาต หรือไมอนุญาตในการกําหนดคา Security เชนการใช Digital

signing ของขอมูล, ช่ือของ Administrator และ Guest, การใชมีเดีย, การขึ้นล็อกพรอม



Event Log เปนการกําหนดคาขนาดล็อกที่ใชตรวจสอบทั้ง Application, Security และ System ซึ่งจะใหมีการสอดคลองกับความตองการองคกร



Restricted Groups เปนการกําหนดสมาชิกในกลุม ซึ่งชวยควบคุมสมาชิกใน Administrator ซึ่งเมื่อนโยบายกําหนดแลวผูใชที่อยูใน Restricted group ที่บอกไวก็จะมีสิทธิในสมาชิกที่ตองการ



System Services เปนการกําหนดคาที่กําหนดใหเมื่อเครื่องเปดขึ้นมาจะใหมีบริการใดทํางานไดบาง และกําหนด Permission เพื่อ Read/Write/Delete/Execute



การกําหนดคาเริ่มตน

- Automatic บริการเปดขึ้นเมื่อเครื่องเริ่มทํางาน - Manual บริการเปดขึ้น เมื่อผูดูแลตองการใหเปด - Disabled บริการยังไมทํางาน

Registry and File System



เปนการกําหนดคาติดตั้ง Security ใน Registry key ซึ่งสามารถเลือกที่ Access Control , Audit, และ Ownership แกไขคุณสมบัติของ Security ไดโดยให Permissions Read/Write/Delete/Execute และมีการสงถายมรดกลงไปดวย Wireless Network (IEEE 802.11) policies



เนื่องจากเทคโนโลยี่อุปกรณ Wireless มีการใชหลากหลายคายทําให Windows Server 2003 ตองรองรับ 802.11 wireless network เพื่อกําหนดในตระกูล Windows Server 2003 เฉพาะ Windows Server 2003, Standard Edition รองรับแต Infrared network นโยบายที่กําหนดใน Wireless มีดังนี้

- กําหนดความบอยใน Policy ที่เปลี่ยน - ชนิดของเครือขาย Wireless สําหรับการเชื่อมตอลูกขาย - การกําหนดคาติดต้ัง Wireless network สําหรับลูกขาย - กําหนดใหการเชื่อมตอใน Non-preferred networks - เครือขายที่กําหนดชนิดลูกขายในการเชื่อมตอ - Wireless network key (WEP) settings - IEEE 802.1x settings

Public Key Policies



เปนการกําหนดการกระจายคาคีย Public Key Infrastructure (PKI) ซึ่งระบบของดานกฎหมาย, นโยบาย, มาตรฐาน และซอฟตแวรจะรับรองการเขาใชในระบบสื่อสารอิเล็กทรอนิกส นโยบายที่กําหนดไดมีดังนี้

- การเขารหัสระบบไฟล - การรับการรองขอที่รับรองอัตโนมัติ - การกําหนด Trusted Root Certification Authorities เพื่อใหตอบสนองกับ CA ที่ใชงานอยูในสวนองคกร - Enterprise Trust เปฯการกําหนด Certificate Trust list (CTL) เพื่อใหลงทะเบียนใน Root Certication

authority สําหรบัผูบริหารที่ตองการกําหนดใหลูกขายใชระบบมีมีความปลอดภัย - Autoenrollment Settings เปนการกําหนดใหมีการอนุญาตลงทะเบียนในลูกขายโดยอัตโนมัติ ซึ่งทํางาน และ

จัดการรองขอบน Certificate templates Software Restriction Policies



เปนการกําหนดฟเจอรใหมใน Windows XP และ Windows Server 2003 ที่ระบุใหควบคุมการ Execute ซอฟตแวรที่ตองการ และไมตองการในการทํางานบนระบบปฏิบัติของ Active Directory IP Security Policies



เปนการกําหนดการเขารหัสในเครือขาย Virtual Private Network ของเครื่องที่อยูในกลุมที่ตองการความปลอดภัยดวยกัน สิ่งที่ควรปฏิบัติกับ Security Settings

- ไมกําหนด Account Policies สําหรับ OUs ที่ไมมีคอมพิวเตอร - เมื่อกําหนดคา Account policies ใน Active Directory ใหคิดไววาจะมีเพียงหน่ึงใน Domain account policy

(ดูที่ Root) - ขนาดของล็อก และการตัดล็อกจะกําหนดใหเหมาะสมกับระดับความตองการความปลอดภัย - การตามบริการระบบจะใชบนเครื่อคอมพิวเตอร เพื่อประสิทธภิาพไมตองเปดอัตโนมัติใหเลือกดวยมือ - ถาเลือกกําหนด System services startup เปน Automatic ใหมีการทดสอบโดยไมตองให User เกี่ยวของ - เมื่อมีการนํา Security Settings เขามาใน GPO ใหตรวจสอบคาที่กําหนดใน Local security Settings - ถามีสราง Restricted Groups policy สําหรับกลุม ผูใช หรือกลุมที่ไมระบุใหนําออกจากคากําหนดกลุม



13.2 การวางระบบนโยบายควบคุมซอฟตแวร ผูเรียนจะเขาใจสิ่งตางๆดังนี้

- เขาใจเกี่ยวกับ Software Restriction policies - ลําดับ Default Policy - การวางระบบ Software Restriction Policies - สิ่งที่ควรปฏิบัติสําหรับ Software Restriction Policies - การแกปญหา Software Restriction Policies

ในธุรกิจที่มีการนําคอมพิวเตอรมาใช จะมีการใชแอพพลิเคชั่นหลากหลายซึ่งจะเรียกใชจากหลายกลุม และหลายที่ เอกสาร และเว็บเพจที่มีการทํางานของโคด และขาวสาร e-mail ที่เก็บคาโคดที่แนบมาดวย ซึ่งในการรันไฟล Execute ที่แนบมาดวยจาก E-mail อาจจะสรางปญหาใหกับระบบความปลอดภัยในระบบเครือขาย ในระบบปฏิบัติการ Windows XP และ Windows Server 2003 จึงไดพัฒนาความสามารถของ Software restriction policies ขึ้น เขาใจเกี่ยวกับ Software Restriction Policies Software Restriction policies เปนความสามารถใหมของ Windows XP และ Windows Server 2003 ที่ไดมีการกําหนดที่อยูของโคดที่ไวใจได โดยรองรับการทํางานรวมกับ GPO ที่ควบคุมการทํางานกับเครื่องคอมพิวเตอร Site, Domain, หรือ OU โดยองคกรสามารถที่กําหนดโปรแกรมที่ไวใจได อยางไรก็ตาม ถาผูใชติดต้ัง และรันโปรแกรมอื่นที่อาจจะมีการเปลี่ยนคากําหนดตางๆในโปรแกรมที่เราไวใจ Software restriction policies ก็จะปองกันจากโคดที่อนุญาต หรือแอพพลิเคชั่นที่เราระบุไว การกําหนดสามารถทําไดทั้ง User และ Computer Configuration สิ่งที่ทําได

– ควบคุมความสามารถโปรแกรมในระบบ

– อนุญาตใหผูใชรันเฉพาะไฟลในเครื่องที่ใชหลายคน

– พิจารณาใครสามารถที่เพิ่ม Trusted publishers บนเครื่อง

– ควบคุม Software restriction policies มีผลตอผูใชทั้งหมดบนเครื่อง

– ปองกันไฟลใดๆจากการรันบนเครื่องทองถิ่น, OU, Site, หรือ Domain ลําดับ Default Policy



- ไมกําหนด (Unrestricted) อนุญาตใหซอฟตแวรทํางานไดเต็มที่ ที่ผูใชล็อกออนบนเครื่อง - ไมอนุญาต (Disallowed) ไมอนุญาตใหซอฟตแวรทํางาน โดยปราศจากสิทธิของผูใชที่ล็อกออนบนเครื่อง

โดยดีฟอลทจะกําหนดเปน Unrestricted ผูใชสามารถระบุ และสรางกฎของการกําหนดในการหามใหใชงาน ซึ่งถาดีฟอลทกําหนดไววา Disallowed ผูใชสามารถที่สรางกฎยกเวนของโปรแกรมที่ไวใจได ซึ่งออปช่ันทั้งสองสามารถที่กําหนดเปนดีฟอลท Security ของ GPO แตเมื่อ GPO ถูกสรางขึ้นลําดับดีฟอลท Security จะเปน Unrestricted การกําหนดคา Default Security Level เปน Disallowed เมื่อดีฟอลทเปน Disallowed จะตองมีการกําหนดคาซอฟตแวรที่ใหทํางาน โดยบางแอพพลิเคชั่นจะไมจํากัดในระบบปฏิบัติการ กําหนด Default security level เปน Disallowed:

- %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Systemroot% - %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Systemroot%\*.exe - %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Systemroot%\System32\*.exe - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Programfilesdir%

ซึ่งตําแหนงที่ของรีจิสทรีที่กําหนดกฎสรางความปลอดภัยในการล็อกบนผูใชที่นอกจากระบบที่ใช สาเหตุที่กําหนด Default security level เปน Disallowed

- ถา Computer ตองรัน Logon Scripts ตองกําหนดอนุญาตกฎใหรันสคริต



- Startup จะแทนที่ใน HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ถาใช Startup ตองรัน ตองสรางกฎสําหรับ Run

- มีแอพพลิเคชั่นที่เปดโปรแกรมอื่นๆที่แสดงงานที่แนนอน ผูเรียนตองสรางกฎสําหรับโปรแกรมเหลานั้น เชน Microsoft Word เรียก Organizer ที่จัดการ Clip art ได

Software Restriction Policies ทํางานอยางไร เมื่อผูใชเรียนแอพพลิเคชั่น Software restriction policies ตองระบุซอฟตแวร ซี่งมี

- Hash เปนชุดของไบตในการกําหนดขนาดที่แนนอน และเปนโปรแกรมที่ไมซ้ํากัน - Certificate เปนเอกสารดิจิตอลที่ใชในการรับรอง และแลกเปลี่ยนขอมูลอยางปลอดภัยในเครือขายเปด - Path เปนช่ือโฟลเดอรที่ระบุตําแหนงของซอฟตแวรที่อยูในทรีไดเรคทรอรี่ - Internet zone เปนการระบุคา Subtree ผาน Microsoft Internet Explorer: Internet, Intranet, Restricted Sites,

Trusted Sites, หรือ My Computer กฎ (Rules) Software restriction policies จะระบุควบคุมซอฟตแวรโดยใชกฎ ซึ่งจะมีอยู 4 ประเภทสําหรับการระบุซอฟตแวร ซึ่งสามารถกําหนด Disallowed หรือ Unrestricted สําหรับโปรแกรมทีเ่กี่ยวของกับกฎเหลานั้น



- Hash rule เปนการสรางชุดไบตในขนาดที่ตายตัว สําหรับระบุโปรแกรม หรือไฟล โดยใชการคํานวณแบบ hash algorithm ซึ่งจะใชไดทั้ง SHA-1 (Secure Hash Algorithm) และ MD5 hash algorithm

- Certificate rule เปนกฎที่ใชกับซอฟตแวรที่มีลายเซนตรับรอง - Path Rule เปนการระบุซอฟตแวรโดยกําหนด File path ตัวอยางเชนตองการกําหนดกฎใน %UserProfile%,

%Windir%, %Appdata%, %Programfiles%, และ %Temp% โดยถาโปรแกรมถูกยายจะไมสามารถที่กําหนดไดตามกฎ

- Internet Zone Rule เปนการกําหนดเฉพาะ Windows Installer packages ซึ่งจะระบุคาโซนใน Internet Explorer

การวางระบบ Software Restriction Policies

- กําหนดลําดับ Default security - สรางกฎ

o การสรางกฎ Hash o การสรางกฎ Certificate o การสรางกฎ Internet Zone o การสรางกฎ Path

- ระบุชนิดไฟล ตัวอยางการกําหนดคา Hash Rule



ตัวอยางของ Certificate

ตัวอยางของ Internet Zone



ตัวอยางของ Path rule

การกําหนดชนิดไฟล



งานที่กําหนดเพิ่มไดใน Software Restriction Policies เมื่อมีการวางระบบ Software restriction policies เราสามารถกําหนดงานตางๆเหลานี้ได

- การปองกัน Software restriction policies จากการกําหนดของ Local administrator



- การกําหนดออปชั่นใน Trusted publisher



สิ่งที่ควรปฏิบัติสําหรับ Software Restriction Policies

- สราง GPO แยกสําหรับ Software Restriction Policies - ทดสอบ Software Restriction policy กอนที่กําหนดในคอมพิวเตอรอื่นๆ - ถาตองการแกไข Software restriction policy ใหกําหนดไมอนุญาตกอน - ถามีปญหาในการกําหนดนโยบายใหบูตเลือกเปน Safe mode - ถาเกิดมีการล็อคเครื่องทํางานกับ Software Restriction Policies ใหเลือกบูตเปน Safe mode และล็อกออ

นดวย Admnistrator ที่เครื่องแกไขนโยบาย และรัน Gpupdate.exe, รีบูต และล็อกออนใหม - ใช Software restriction policies ในจุดตอกับการกําหนด Access Control settings - ใช Caution เมื่อมีการกําหนด Default setting เปน Disallowed

การแกปญหา Software Restriction Policies

- ผูใชไดรับขอความแจง “Windows cannot open this program because it has been prevented by a software restriction policy. …” หรือ “The system cannot execute the specified program”

- มีการแกไข Software restriction policies แลวไมสงผล - มีการเพิ่มกฎใน Software restriction policies, แลวไมสามารถเขาใชเครื่องได



- เมื่อมีนโยบายใหมมาไมกําหนดในนามสกุลไฟลที่ระบุ สาธิตการกําหนด Software Restriction Policies



13.3 การวางระบบ Audit Policy ผูเรียนจะเขาใจสิ่งตางๆดังนี้

- เขาใจเกี่ยวกับการ Auditing - เขาใจเกี่ยวกับ Audit Policies - คําแนะนําเกี่ยวกับ Audit Policies - การวางระบบ Audit Policy - สิ่งที่ควรปฏิบัติสําหรับ Audit Policies

เขาใจเกี่ยวกับการ Auditing ในการตรวจสอบ Windows Server 2003 จะสามารถที่ตรวจสอบกิจกรรมของ User และ System ไดเรียกวา Events ซึ่งเกิดขึ้นในเครื่อคอมพิวเตอรโดยการบันทึกเก็บใน Security log ในเครื่องที่เปน Domain Controller จะมีการจัดเก็บล็อกมากกวาเครื่องทั่วไปเนื่องจากมีการตรวจสอบการรับรองในการพยายามเขาใชระบบดวย รายละเอียดที่ปรากฏในล็อกมีดังนี้

– ชนิดของเหตุการณ เชน Error, Warning, Information, Success audit, Failure audit

– วันที่ของเหตุการณ – เวลาที่เกิดขึ้น

– ซอฟตแวรที่เกิดล็อก

– หมายเลข Event ID

– ผูใชที่กอใหเกิดเหตุการณ – ช่ือเครื่องที่เกิดเหตุการณ – รายละเอียดของเหตุการณ

เขาใจเกี่ยวกับ Audit Policies



เราตองการดูเหตุการณตางๆที่เกิดขึ้น โดยกําหนดใน Audit policy ใน GPO ซึ่งจะแบงหัวขอในการตรวจสอบเปน

– Account Logon – Account management – Directory service access – Logon events – Object access – Policy change – Privilege use – Process tracking – System events

เราสามารถที่กําหนดใน Computer Configuration/Windows Settings/Security Settings/Local Policies/Audit Policy extension ใน GPO คําแนะนําเก่ียวกับ Audit Policies

- กําหนด Audit policy ที่ใชประโยชน และจัดการได โดยมีการตรวจสอบความสําคัญของขอมูล - ถามีชองโหวความปลอดภัยในเอกสารองคกร ใหกําหนดการบันทึกที่ไฟล และโฟลเดอรบน NTFS partition



และกําหนด Audit Object Access - เครื่องพิมพสวนใหญไมตองบันทึกเพราะขอมูลอาจไมเปนประโยชน กําหนดเฉพาะเครื่องพิมพที่ตองการ

เทานั้น - บันทึกทรัพยากรที่เขาใชจากกลุม Everyone แทนที่กลุม Users เพื่อมั่นใจวามีการบันทึกทุกคนที่เขาใชผาน

เครือขาย - บันทึกงานในการบริหารโดยกลุมบริหารระบบ - พิจารณาการตามรอยของการใชระบบ เพื่อแผนงาน โดยดูเปนชวงเวลา

การวางระบบ Audit Policy สิ่งที่ตองการในการกําหนด และบริหารงาน

– ตองมีสิทธิในการจัดการ Auditing และ Security Log

– ไฟล และโฟลเดอรตองเปน NTFS งานที่บันทึกมี

– ระบุกลุมของเหตุการณที่ตองการตรวจสอบ

– กําหนดออปเจคสําหรับการตรวจสอบ สิ่งที่ควรปฏิบัติสําหรับ Audit Policies

- สรางการวางแผนในการ Audit - รวบรวมล็อกที่บันทึกในองคกร - ตรวจสอบเหตุการณทั้ง Success และ Failure ใน System Events - กําหนดตรวจสอบ Success ในเหตุการณบน Domain controller - ตรวจสอบ Success ในเหตุการณ Account Management - ตรวจสอบ Success ในเหตุการณ Logon - ตรวจสอบ Success ในเหตุการณ Account Logon - กําหนดขนาดของ Security Log โดยพิจารณาจากจํานวนเหตุการณที่บันทึก

ปฏิบัติการที่ 25 การกําหนดคา Audit Policies



13.4 การบริหารงานล็อก Security ผูเรียนจะเขาใจสิ่งตางๆดังนี้

- เขาใจเกี่ยวกับล็อกใน Windows Server 2003 - การดูเหตุการณใน Security Log - การกําหนดคา Security Log

เขาใจเกี่ยวกับล็อกใน Windows Server 2003 โปรแกรมที่ใชตรวจสอบล็อกคือ Event Viewer

แบงเปนล็อกที่เก็บดังนี้

- Application log เปนการเก็บ Errors, Warnings, หรือ Information ของโปรแกรม - Security log เปนการจัดเก็บขอมูล Success หรือ Failure ในการตรวจสอบเหตุการณ - System log เปนการเก็บ Error, Warning, และ Information ที่ Windows server 2003 สรางขึ้น

การดูเหตุการณใน Security Log



เราจะเฝาดูในความสําเร็ว หรือไมสําเร็จ โดยใชโปรแกรม Event Viewer และไปดูใน Security Log เมื่อไดเหตุการณที่ตองการตรวจสอบก็สามารถดับเบิ้ลคลิกในล็อกเพ่ือดูรายละเอียด และขอมูลในหัวขอที่บันทึก โดยเราสามารถดู Security Log ขามเครื่องไดถามีสิทธิในเครื่องดังกลาว

การคนหาเหตุการณก็เปนสิ่งที่จําเปนอยางหนึ่ง เนื่องจากเหตุการณที่เกิดขึ้นใน Log อาจจะมีเยอะมากผูดูแลสามารถเลือก Filter หรือ Find โดยกําหนดเงื่อนไขใน Catagories ตางที่ตองการกําหนดเพื่อคนหาหรือดูได ตัวอยางการคนหา สามารถเรียกไดจากคําสั่ง Find ในเมนู View



ตัวอยางการกรองเหตุการณ สามารถเรียกไดโดยคําสั่ง Filter ใน View menu



การกําหนดคาใน Security log เราสามารถที่เรียกกําหนดโดยคลิกเมาสขวาใน Log ที่ตองการและเลือกคําสั่ง Properties ซึ่งภายในคาที่กําหนดมี - ขนาดไฟล - การบันทึกในกรณีที่ล็อกเต็ม - การใชกับการดูล็อกที่มีลิงคความเร็วตํ่า - การเคลียรล็อก



การเคลียรล็อกก็เปนกิจกรรมหนึ่งที่ผูบริหารระบบสามารถทําได เพื่อจัดเก็บ หรือลบไฟลล็อกที่ไมตองการออก เพื่อใหเก็บบันทึกใหม ปฏิบัติการที่ 26 การบริหารงาน และการจัดการล็อก



13.5 การใช Security Templates ผูเรียนจะเขาใจสิ่งตางๆดังนี้

- เขาใจเกี่ยวกับ Security Templates - ไฟล Security Templates ที่มีให - การจัดการ Security Templates - สิ่งที่ควรปฏิบัติสําหรับ Security Templates

เขาใจเกี่ยวกับ Security Templates

เปนตนแบบในการกําหนดคา Security ซึ่งจะเก็บเปนไฟล ไวสําหรับนําเขาไปใชกับ GPO หรือ Security Configuration and Analysis คาที่กําหนดมี

– Account Policies

– Local Policies

– Event Log

– Restricted Groups

– Registry

– File System



ไฟล Security Template ท่ีมีให ไฟลที่มีใหเก็บไวที่ %systemroot%\Security\Templates

– Compatws.inf

– DC security.inf

– Hisecdc.inf

– Hisecws.inf

– Rootsec.inf

– Securedc.inf

– Securews.inf

– Setup security.inf การจัดการ Security Templates งานที่จัดการ Security Templates มีดังนี้

- เขาใช Security Templates console (MMC) - ปรับเปลี่ยนคาไฟลที่มีให

แนะนํา ใหใชคําสั่ง Gpedit.msc, และเลือก Export Policy แลวคอยปรับเปลี่ยนคาเมื่อไมไดดังใจเราสามารถที่จะ Import กลับคืนมาได

- กําหนดคา Security Templates ใหม - นํา Security template ไปใชกับเครื่อง Local หรือ Nonlocal GPO (Site/Domain/OU)

สิ่งที่ควรปฏิบัติสําหรับ Security Templates

- ไมแกไข Setup security.inf templates - ไมกําหนด Setup security.inf template ใน Group Policy ควรใช Security Configuration and Analysis - ไมกําหนด Compatible template ใน Domain controller - ใชอยางระวังเมื่อมีการแกไขคา Templates ที่มีให - ทดสอบผลทั้งหมดกอนที่สราง Security Templates - นํา Security template เขาไป GPO ตองมั่นใจวาผูใชไดรับคากําหนดเมื่อมีการ Apply

ปฏิบัติการที่ 27 การเรียกใช Security Template



13.6 การใช Security Configuration and Analysis ผูเรียนจะเขาใจสิ่งตางๆดังนี้

- เขาใจเกี่ยวกับฟเจอร Security Configuration and Analysis - การใช Security configuration and analysis - สิ่งที่ควรปฏิบัติสําหรับ Security Configuration and Analysis - การแกปญหา Security Configuration and Analysis

เขาใจเกี่ยวกับฟเจอร Security Configuration and Analysis เปนเครื่องมือที่ใชวิเคราะหคาที่กําหนด System security ที่เครื่องทดสอบ ซึ่งจะนําคา Security template ที่มีอยูแลว

หรือสรางขึ้นมาเองมาใช โดยวัตถุประสงคเพื่อให Administrators กําหนดวิเคราะหไดอยางรวดเร็ว และเมื่อไดผลที่ตองการก็นําSecurity template ที่ไดไปกําหนดใน GPO

การใช Security configuration and analysis

งานที่ใช Security Configuration and Analysis มีดังนี้

- การเขาใช Security Configuration and Analysis Console - กําหนดคาติดต้ังในฐานขอมูล Security Configuration and Analysis - วิเคราะห System Security - ตรวจสอบผลที่ไดรับจากการวิเคราะห



- ตรวจสอบไฟลล็อกใน Security Analysis - แกปญหา Security ที่ไมไดตามตองการ - แกฐานขอมูลที่วิเคราะห - นํา Security Templates ที่เพิ่มเติมในฐานขอมูล - กําหนดคา System Security - นํา Security Templates สงออกมา

สิ่งที่ควรปฏิบัติสําหรับ Security Configuration and Analysis - ถาจําเปนที่วิเคราะหเครื่องจํานวนมากเชนทั้งโดเมน ใหใชคําสั่ง Secedit - ใช Security Configuration and Analysis เฉพาะพื้นที่ความปลอดภัย - ไมใช Security Configuration and Analysis เมื่อมีการกําหนดใน Domain หรือ OU ตองกําหนดลูกขายแยก

แตละเครื่อง การแกปญหา Security Configuration and Analysis

- Security database ไฟลเสียหาย - Security policy ไมสงผลอยางถูกตอง - Security policies ที่กําหนดผูใชไดรับขอความ “0x534: No mapping…” - ผูใชไดรับขอความผิดพลาดเชน “The system cannot log you on now …”

ปฏิบัติการที่ 28 การใช Security Configuration and Analysis



บทที่ 14 การจัดการประสิทธิภาพ Active Directory ในบทนี้จะกลาวถึงสิ่งตางๆดังนี้

- การตรวจสอบประสิทธิภาพดวย Service Logs และ System Monitor - การตรวจสอบประสิทธิภาพดวย Performance Logs and Alerts - การปรับแตง และการแกปญหาประสิทธิภาพ Active Directory

14.1 การตรวจสอบประสิทธิภาพดวย Service Logs และ System Monitor

ผูเรียนจะเขาใจสิ่งตางๆดังนี้

- เขาใจเกี่ยวกับล็อก Directory และ File Replication Services - เขาใจการใชงาน System Monitor - สิ่งที่ควรรูเกี่ยวกับการกําหนด System Monitor - สิ่งที่ควรปฏิบัติในการตรวจสอบประสิทธิภาพกับล็อก Directory Service และ System Monitor - การแกปญหา Directory Service log และ System Monitor

เขาใจเกี่ยวกับล็อก Directory และ File Replication Services ล็อก Directory และ File Replication Services เปนการตรวจสอบเหตุการณของแอพพลิเคชั่นของ Windows โดยทั่วไป Event Viewer จะมีล็อกอยู 3 ประเภทคือ System, Security, Application แตถามกีารกําหนดบริการที่เหมาะสมก็จะมีล็



อกเพิ่มเชน Active Directory ก็จะมีการติดตั้ง

– Directory service log เปนการเก็บคา Errors, Warning, และ Information ของ Active Directory โดยดูลําดับชนิดของเหตุการณืที่มีปญหาใน Acitve Directory

– File Replication service (FRS) เปนการตรวจสอบบริการที่รองรับ Multimaster file ที่มีการสงระหวาง Directory tree ที่ถูกแตงต้ัง โดยทํางานใน Windows Server 2003 ซึ่งจะมีการจัดการในดิสกที่เปน NTFS และมีเนื้อหาที่ถูกซิงโครไนสไปยังเครื่อง Domain Controller

เราสามารถใชคําสั่ง ntfrsutil เปน Command line ในการตรวจสอบได ซึ่งเปนเครื่องมือจาก Support Tools ของ Windows เอง เขาใจการใชงาน System Monitor System Monitor เปนเครื่องมือที่รองรับการตรวจสอบของการใชทรัพยากรในระบบปฏิบัติการ โดยเปนสวนที่เก็บอยูใน Performance Console หนาที่ของ System Monitor จะเหมือน Windows NT Performance Monitor, แตจะแตกตางจาก Microsoft Windows 98 System Monitor ซึง่สิ่งที่ผูบริหารระบบสามารถกําหนดไดมีดังนี้

- เก็บขอมูลเปนเรียลไทม ในเครื่องที่ใช หรือเครื่องอื่นๆ - ดูขอมูลปจจุบัน และกอนหนา เพื่อวิเคราะหประสิทธิภาพ - นําเสนอขอมูลเปนกราฟ, ฮิสโตแกรม, และรายงาน - สรางคาที่กําหนด และสามารถติดต้ังที่เครื่องอื่นไดโดย MMC - รองรับการทํางาน ActiveX Controls เพื่อนําเสนอเปนเว็บเบส - สราง HTML pages ที่ตองการตรวจสอบได

สิ่งที่ควรรูเก่ียวกับการกําหนด System Monitor

- Performance Objects และ Performance Counters - System Monitor Properties

o การแบงชวงจัดเก็บ o การกําหนดแสดงผล

- การตรวจสอบประสิทธิภาพของ Active Directory สาธิตการใชงาน System Monitor สิ่งที่ควรปฏิบัติในการตรวจสอบประสิทธิภาพกับล็อก Directory Service และ System Monitor

- เก็บล็อก Directory service ใหใชโอเวอรเฮดดตํ่า ทั้งขนาดไฟล และการใช I/O โดยตรจสอบรอบความถี่ - เตรียมเครื่องสําหรับการตรวจสอบไว โดยเฉพาะ System Monitor - เก็บคาที่บันทึกไวใหใชคาโอเวอรเฮดดตํ่า



การแกปญหา Directory Service log และ System Monitor

- System Monitor แสดงชองวางในเสนกราฟ - คาที่บันทึกเปน 0 ตลอด - Counters ทํางานไมเหมาะสมเมื่อติดต้ังแอพพลิเคชั่นใหม - ออปเจค, Counters, และรายการผิดพลาด หรือไมใช

ปฏิบัติการที่ 29 การใชงาน System Monitor



14.2 การตรวจสอบประสิทธิภาพดวย Performance Logs and Alerts ผูเรียนจะเขาใจสิ่งตางๆดังนี้

- การใช Performance Logs and Alerts Snap-in - สิ่งที่ควรปฏิบัติในการตรวจสอบประสิทธิภาพดวย Performance Logs - การแกปญหา Performance Logs and Alerts

การใช Performance Logs and Alerts Snap-in

เปนเครื่องมือที่ใชตรวจสอบคาตางๆไดดังนี้

– Counter Logs เปนเรคคอรดตัวอยางที่เกี่ยวกับทรัพยากรฮารดแวร และบริการระบบ บนออปเจคที่ตรวจสอบประสิทธิภาพ ซึ่งจะมีรูปแบบของ Object และ Counter เหมือนกับ System Monitor การจัดเก็บจะแยกไดโดยใช , หรือ แท็บ ซึ่งงายตอการใชโปรแกรมฐานขอมูล หรือสเปรดชีตในการดึง รวมถึงใช System Monitor ในการแสดงผลเพื่อวิเคราะหรายการที่เกิดขึ้น

– Trace Logs เปนการเก็บเหตุการณที่วัดประสิทธิภาพของระบบ เชนเหตุการณดาน I/O, Page faults, Thread activity โดยจะเปนเครื่องมือวัดเหตุการณที่เกิดขึ้น โดยขจัดปญหาของการสุมจัดเก็บออกไป เมื่อระบบเกิดปญหา หรือ Nonsystem data มีการตามรอยจะสงไปที่ Performance Logs and Alerts services ซึ่งขอมูลจากที่เริ่มไปจนจบ มากกวาพฤติกรรมการสุมของ System Monitor สิ่งที่แตกตางจาก Counter log คือจะใชกับ Service ที่ทํางานขอมูลจากระบบเมื่อมีการอัพเดตตามรอบเวลา มากกวาการกําหนดตามเหตุการณที่บอก ซึ่งถา



ใช Log อาจจะตองใชการสุมที่ชวงเวลาแคบมากๆ Active Directory nonsystem data รองรับในการใชกับ Netlogon, Kerberos, และ SAM ซึ่งสรางไฟล Trace log ที่แจงขอความที่ทํางาน เครื่องมือที่ใชในการรตีความ สามารถที่พัฒนเองไดโดยใช APIs ที่เว็บไมโครซอฟต ( 1HHttp://msdn.microsoft.com) คาล็อกออปชั่น เราสามารถที่กําหนดไดทั้ง Counter และ Trace log

– กําหนดเวลาเริ่ม และหยุด – กําหนดการบันทึกดวยมือ หรือตามคําสั่งที่กําหนดบนตารางเวลา – กําหนดคาบันทึกเพิ่มเติมโดยอัตโนมัติ – กําหนดโปรแกรมที่ทํางานเมื่อล็อกหยุด – ดูล็อกระหวางที่เก็บไดพอๆกับหลังการหยุด และเก็บ

การกําหนดบันทึกคา Counter สามารถกําหนดแท็บได 3 แท็บดังนี้

- General เปนคา Counters ใน Objects ที่ตองการตรวจสอบกําหนดเปนรอบเวลา และใชผูที่บันทึกโดย Run as

- Log Files เปนการกําหนดขนาด ช่ือ และตําแหนงของ Log file - Schedule เปนการกําหนดตารางเวลาที่บันทึก เริ่ม และจบ



ความตองการของ Counter และ Trace log เราตองมี full Control ในการแกไขคาใน Registry ซึ่งกําหนดควบคุม Performance Logs and Alert service ตําแหนงคียอยูที่ HKEY_LOCAL_MACHINE\SYSTM\CurrentControlSet\Services\SysmonLog\LogQueries โดยทั่วไปคือ Administrator ซึ่งเปนผูกําหนด และแตงตังผูที่เขามากําหนดในเมนู Security ของ Registry การจัดการ Active Directory Performance จาก Command line เราสามารถที่ใช Performance console ที่เปนรูปแบบคําสั่งเพื่อจัดการ Active Directory performance

- Logman เปนคําสั่งที่จัดการตารางเวลาของ Performance counter และ Event trace log โดยเก็บทั้งระบบที่เครื่องนั้นๆ และตางเครื่อง

- Perfmon เปนคําสั่งที่ใชในการกําหนดคา System Monjitor ActiveX control และ Performance Logs and Alerts service

- Relog เปนคําสั่งที่จัดรูปแบบไฟลที่เก็บเปน Text-TSV (ใชแท็บคั่น), Text-CSV (ใชคอมมาคั่น), Binary-BIN, หรือ SQL

- Tracerpt เปนเครื่องมือที่ใชดูขอมูล ณ ขณะนั้น ซึ่งรองรับการสรางรายงานในการวิเคราะห การตามรอง และไฟล CSV

- Typeperf เปนคําสั่งที่เขียนเพื่อรองรับรูปแบบไฟลล็อกที่กําหนด - Lodctr เปนคําสั่งที่กําหนดชื่อ Performance counter ใมห และใสคําอธิบายในบริการ หรือ Device drivers,

และจัดเก็บคาที่กําหนด - Unlodctr เปนการนําช่ือ Performance counter ออก และคําอธิบาย หรือ Device drivers ออกจากรีจีสทร ี

สิ่งที่ควรปฏิบัติในการตรวจสอบประสิทธิภาพดวย Performance Logs

- กําหนดคาตรวจสอบโดยกําหนดเปนรอบเวลา - เตรียมขอมูลในเครื่องที่ตองการตรวจสอบกอนที่เปดบริการ Performance Logs and Alerts - เก็บคาไฟลล็อกใชโอเวอรเฮดดตํ่า

การแกปญหา Performance Logs and Alerts

- คาที่บันทึกไมปรากฏในกราฟที่แสดง - มีขอความผิดพลาดขึ้นระหวางที่มีการสงขอมูลเปน Microsoft Excel ในขณะที่ Performance Logs and

Alerts service ทําการเก็บขอมูลอยู - การเชื่อมตอเครื่องทางไกลขอมูลเสียหาย ไมสามารถกูคืนได - Performance Logs and Alerts ไมล็อกขามเครื่อง



ปฏิบัติการที่ 30 การสราง และการบันทึกล็อกใน Performance Logs and Alerts



14.3 การปรับแตง และการแกปญหาประสิทธิภาพ Active Directory ผูเรียนจะเขาใจสิ่งตางๆดังนี้

- การปรับแตง และการแกปญหาประสิทธิภาพ Active Directory - การแกปญหา Active Directory Performance กับ Directory service log - การแกปญหา Active Directory Performance กับ Performance Console

การปรับแตง และการแกปญหาประสิทธิภาพ Active Directory ตองรูจักกับการตรวจสอบ Active Directory performance โดยใชเครื่องมือ

– Directory service log ใน Event Viewer

– การดูล็อกใน System Monitor และ Performance Logs and Alerts คอยอัพเดตขอมูลที่ตรวจสอบเพื่อประสิทธิภาพที่ดีในการวิเคราะห การแกปญหา Active Directory Performance กับ Directory service log

- การเพิ่มลําดับล็อกใน Directory Service Log - การแกไข Registry บางรายการเพื่อตรวจสอบ (Regedit)

การเพิ่มลําดับล็อกใน Directory Service log



โดยทั่วไป Active Directory จะบันทึกเฉพาะเหตุการณที่สําคัญ เพราะตองการหลีกหนีจากบันทึกคาตางๆมากไป แตถาตองการกําหนดรายละเอียดที่ตรวจสอบไปแกที่รีจีสทรี HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics ซึ่งคาที่กําหนดอยูในชวง 0 ถึง 5 (0 กําหนดมาตรฐาน, บันทึก Error ที่เปนดีฟอลท, 5 กําหนดบันทึกกิจกรรมทั้งหมด) คารายการใน Subkey ของ Diagnostics

- Knowledge Consistency Checker (KCC) - Security Events - ExDS Interface Events - MAPI Interface Evnets - Replication Events - Garbage Collection - Interanl Configuration - Directory Access - Internal Processing - Performance Counters - Initialization/Termination - Service Control - Name Resolution - Backup - Field Engineering - LDAP Interface Events - Setup - Global Catalog - Inter-Site Message

การแกปญหา Active Directory Performance กับ Performance Console

- วิเคราะห และตีความผลของ Performance-Monitoring - วิเคราะหผลที่ไดจาก Performance-Monitor - การวางแผน และการวางระบบคาที่เปลี่ยนเพ่ือใหตรงกับความตองการ

วิเคราะห และตีความผลของ Performance-Monitoring มี 4 ขั้นตอนดังนี้ในการวิเคราะหผล



1. สรางพื้นฐาน เปนเครื่องมือวัดในการรวบรวมขอมูล ขามชวงเวลา โดยดูคาที่ทํางาน และประสิทธิภาพที่ยอมรับได ในภาวะปกติ และชวงเวลาตางๆ

2. วิเคราะหผล Performance-Monitor เปนพื้นฐานในการสรางคา counter ที่กําหนดโดยใช Baseline ในการตรวจสอบปญหาที่เกิดขึ้นเมื่อเพิ่มกิจกรรม โดยดูคาวาเกิดปญหาคอขวด หรือไม และมีผลกระทบตอบริการใดอื่นหรือไม ยอมรับไดหรือไม ซึ่งบางครั้งปญหาตางๆอาจจะเกิดตอเนื่องกัน

3. วางแผน และวางระบบที่เปลี่ยนบนพื้นฐานที่กําหนด a. วิเคราะหคากําหนดฮารดแวร และซอฟตแวร โดยดูจากคําแนะนําที่ Microsoft แจงใหทราบ b. ดูคา Directory service ในรอบเวลา โดยดูวาเกิดคอขวดหรือไม c. ตรวจสอบชนิดของแอพพลิเคชั่น ที่ทํางาน และทรัพยากรที่ตองการ d. พิจารณาประสิทธิภาพเครือขาย และดิสก ในชวงเวลาตางๆ e. พิจารณางานที่ทําใน งานตางๆที่ตางชวงเวลา วาทําอะไรในระบบ f. แกปญหาคอขวด ดวยวิธีการที่มีขั้นตอน และตาวจสอบสิ่งที่เปลี่ยนไป ทําซ้ํา หลังจากที่เปลี่ยนคา

ตางๆไปแลว และเรียนรูจากสิ่งที่ดําเนินการไป 4. ปรับแตงในขอที่ 2-3 เพื่อใหไดประสิทธิภาพที่สุด