Introduce Group Policy Management

Details: Category: GPO Corner; Published on 05/08/2012; Hits: 21876

บน Windows Server 2008 R2 จะมีเครื่องมือในการจัดการ Group Policy Object ทั้งหลายที่เรียกว่า Group Policy Management ซึ่งเป็นเครื่องมือ GUI ที่จะทำให้เราจัดการ Policy ในการใช้งานเครื่องคอมพิวเตอร์ได้เป็นจำนวนมาก ดังนั้น System Admin ทั้งหลายควรจะมาทำความรู้จักกับเจ้าสิ่งนี้ก่อนว่ามันใช้งานอย่างไร

Group Policy Management Console (GPMC) เป็นเครื่องมือสำหรับควบคุมนโยบายการใช้งานของเครื่องคอมพิวเตอร์ที่อยู่ภายใน Domain Tree หรืออาจจะต่าง Domain กันก็ได้ โดยรูปแบบการใช้งานนั้นเราจะต้องสร้างนโยบายหรือข้อกำหนดขึ้นมาเสียก่อนเช่น ต้องการอนุญาตหรือไม่อนุญาตให้ทำสิ่งใด เกี่ยวกับอะไร แล้วจึงค่อยไปตั้งค่าคอนฟิกเพื่อกำหนดนโยบายนั้นขึ้นมา จากนั้นจึงทำการแจกจ่ายนโยบายนั้นเพื่อไปควบคุมเป้าหมาย

นโยบายหรือข้อกำหนดที่ว่านี้ เรียกว่า Group Policy Object (GPO) ซึ่ง GPO จะมีการแบ่งแยกออกเป็นหมวดหมู่ตามการใช้งานในสไตล์ Windows ซึ่งจะค่อนข้างมีรายละเอียดเยอะมาก ถึงมาก ๆ โดยเริ่มต้นจะมี GPO มาให้เรา 2 Object คือ Default Domain Controller Policy และ Default Domain Policy

Default Domain Controller Policy

จะเห็นว่า GPO ที่ชื่อว่า Default Domain Controller Policy จะถูกนำไปใช้กับ OU ที่ชื่อว่า Domain Controllers ซึ่งถ้าหากเราลองไปเปิด Active Directory Users and Computers ดูจะพบว่า มี Computer Object ที่เป็นชื่อเครื่องของ DC อยู่ภายใน OU นี้ ซึ่งหมายความว่าจะมีผลเฉพาะเครื่องคอมพิวเตอร์ที่อยู่ใน OU นี้เท่านั้น และ Default Domain Policy จะถูกนำไปใช้ที่ระดับ Domain บนสุดเลย ซึ่งจะหมายถึงมีผลกับ User ทั้งหมด

Default Domain Controller Policy

การกำหนด GPO ใด ๆ ก็ตาม แนะนำว่าไม่ควรแก้ไข Default Policy ที่มีอยู่แล้ว แต่ควรจะสร้าง GPO ขึ้นมาใหม่แล้วนำไปใช้กับ Object ที่เราต้องการแยกกันไป เพราะถ้าแก้ไขที่ Default Policy แล้วเกิดมีปัญหาขึ้นมา คุณจะปวดหัวปวดตับกับการที่ต้องควานหา Policy นับร้อยที่ถูกยัดเยียดอยู่ใน GPO อันเดียว

ตัวอย่างการสร้าง GPO และนำไปใช้งาน

คลิกขวาที่ Group Policy Objects, คลิก New

New Group Policy Objects

ตั้งชื่อ GPO

New GPO

จากนั้นให้กลับมา Edit GPO ที่เราสร้างขึ้น

Edit GPO

ในหน้า Group Policy Editor จะแบ่งเป็น 2 หมวดหลัก คือ หมวดในกลุ่ม Object ที่เป็น Computer Configuration และกลุ่ม Object ที่เป็น User Configuration การแก้ไข Policy ที่อยู่ภายใต้หมวดใด จะมีผลไปยัง Object นั้น ๆ ใน Active Directory ดังนี้

หากแก้ไข User Configuration > Windows Settings ก็จะมีผลกับ Domain Users ที่ถูกบังคับใช้งานทั้งหมด โดยจะมีผลก็ต่อเมื่อมีผู้ใช้งานทำการ Logon ด้วยชื่อบัญชีในระดับ Domain Users ขึ้นไป ไม่ว่า User นั้นจะ Logon ด้วยเครื่องคอมพิวเตอร์เครื่องใดก็ตาม

GPO User Configuration

แต่สำหรับ Policy ใน Computer Configuration นั้น Policy ที่จะนำไปใช้งานจะต้องมี Computer Object อยู่ภายใต้ OU ที่เราบังคับใช้ GPO ด้วย และจะมีผลเฉพาะ Computer เครื่องที่ถูกกำหนด Policy เท่านั้น ไม่ยึดติดกับ User Account ใด ๆ (ดูได้จากตัวอย่างของ Default Policy ที่ได้กล่าวไปแล้ว)

หากเราทำการ Apply GPO ไปยังระดับ Domain บนสุด System Admin หลายคนจะเคยพบว่า Policy ไม่ทำงาน ดังนั้นการใช้งาน GPO ในหมวด Computer Configuration นั้น ควรจะนำไปใช้งานในระดับ OU และใน OU นั้นก็ควรจะลาก Computer Object เข้ามาไว้ในนี้ด้วย ซึ่งสามารถจัดการ OU และ Computer Object ได้ผ่านทางเครื่องมือ Active Directory Users and Computers

จากนั้นแจกจ่ายนโยบายที่สร้างขึ้น นำไปใช้งานโดยการลาก GPO ที่เราสร้างแล้วไปยังระดับที่ต้องการควบคุมการใช้งาน โดยตัวอย่างนี้จะนำไปใช้ระดับ Domain ซึ่งมีผลกับทุกคนที่อยู่ภายใต้โดเมนนี้

Apply GPO

ทั้งหมดนี้ไม่ว่าจะควบคุมที่ User หรือ Computer ก็ตาม จะต้องอยู่ภายใต้ Domain ที่ถูกควบคุมเท่านั้น ไม่สามารถใช้งาน GPO ลักษณะนี้ไปที่ User หรือ Computer ที่ทำงานอยู่ในสภาพแวดล้อมแบบ Workgroup ได้