4/26/2552

เรื่องน่ารู้เกี่ยวกับ Group Policy ใน Windows Server 2008 ตอนที่ 1

สวัสดีครับท่านผู้อ่านทุกท่าน เป็นอย่างไรกันบ้างครับ ผมหวังว่าท่านผู้อ่านที่รักของผมจะสบายดีนะครับ ช่วงนี้ฝนตกบ่อย ยังไงก็อย่าลืมดูแลและรักษาสุขภาพด้วยนะครับ สำหรับบทความในตอนนี้จะเป็นเรื่องราวที่เกี่ยวกับ Group Policy ที่อยู่ใน Windows Server 2008 ครับ เนื่องด้วยเพราะมันมีการเปลี่ยนแปลงและปรับปรุงไปเยอะพอสมควรครับ และผมต้องบอกว่า Group Policy จัดได้ว่าเป็นฟีเจอร์ที่ยอดนิยมมากที่สุดฟีเจอร์หนึ่งเลยทีเดียว เพราะมีหลายๆ องค์กรที่เปลี่ยนมาใช้ Windows Server 2000, 2003 จนมาถึง Windows Server 2008 ก็อยากจะใช้ Group Policy นี่แหละครับ และทางไมโครซอฟท์เองก็ได้มีการพัฒนาปรับปรุงให้ Group Policy มีความสามารถมากขึ้นและดีขึ้นมาอย่างต่อเนื่อง และผมเชื่อว่าท่านผู้อ่านที่เป็นผู้ดูแลระบบ หรือเป็นผู้จัดการไอที รู้จัก Group Policy บ้างไม่มากก็น้อย สำหรับท่านผู้อ่านที่ยังไม่รู้จักก็ไม่เป็นไรครับ ผมจะอธิบายเรื่องราวของ Group Policy ให้ได้ทราบกันในบทความนี้ โดยในบทความตอนนี้จะเป็นการปูพื้นฐานกันก่อนว่า Group Policy คืออะไร มีวิธีการสร้างอย่างไร ฯลฯ จากนั้นในตอนต่อไปจะเป็นการเจาะลึกถึงสิ่งใหม่ๆ ที่ถูกเพิ่มเติมเข้ามาใน Group Policy ของ Windows Server 2008 ว่ามีอะไรบ้างครับ


Group Policy คืออะไร

คือฟีเจอร์หนึ่งใน Windows Server 2008 ที่รับผิดชอบเกี่ยวกับการกำหนดนโยบายหรือข้อบังคับต่างๆ ที่ผู้ดูแลระบบต้องการให้ผู้ใช้งานทั้งหมดหรือบางส่วนต้องปฏิบัติตาม โดยผมขอเรียกนโยบายหรือข้อบังคับนี้ว่า “Policy” นะครับ โดยผู้ดูแลระบบสามารถกำหนด Policy ในเรื่องต่างๆ ได้ว่า เช่น เกี่ยวกับการควบคุมสภาพแวดล้อมการทำงานของผู้ใช้งาน (Manage and Control User Desktop Environment), เกี่ยวกับ IE (Internet Explorer), Scripting, Security และ Software Distribution และยังมีเรื่องอื่นๆ อีกมากมายครับ เชื่อไหมครับว่า Group Policy ทำหน้าที่ตั้งแต่เริ่มติดตั้ง Windows 2003 โดเมน หรือแม้กระทั่ง Windows 2003 Workgroup ซึ่งจะว่าไปแล้วทุกคนเกี่ยวข้องกับ Group Policy หมดครับ โดยเริ่มตั้งแต่ล็อกออนเข้าสู่โดเมนหรือเวิร์กกรุ๊ป ส่วนเครื่องคอมพิวเตอร์ที่รองรับหรือสามารถใช้งาน Group Policy ได้ ผมขอแยกออกเป็น 2 ส่วน ครับ

ส่วนที่ 1 : เครื่องเซิร์ฟเวอร์ที่ทำหน้าที่เป็น Domain Controller จะต้องรัน Windows Server 2000, 2003, 2008
ส่วนที่ 2 : เครื่องของผู้ใช้งานรวมถึงเซิร์ฟเวอร์อื่นๆ จะต้องรัน Windows 2000 Professionl, Windows XP, Windows Vista ส่วนเซิร์ฟเวอร์ต้องรัน Windows Server 2000, 2003 และ Windows Server 2008

การสร้าง Group Policy
เวลาที่เราสร้าง Group Policy นั้น สำหรับในเวอร์ชันก่อน จะมีเครื่องมาให้ 2 ตัว คือ Active Directory Users And Computers และ Active Directory Sites And Services แต่หากต้องการทูลหรือเครื่องมือที่มีความสามารถมากกว่าก็จะต้องดาวน์โหลดทูลที่ชื่อว่า Group Policy Management Console (GPMC)
ซึ่งเป็นทูลที่มีความสามารถและช่วยให้การสร้างและการจัดการ Group Policy ทำได้อย่างสะดวกรวดเร็วและมีประสิทธิภาพมากขึ้น นอกจากนี้ยังมีฟีเจอร์ในส่วนของการจัดการ เช่น การ Backup/Restore, การทำ Report และอื่นๆ ซึ่งเราไม่สามารถทำได้เลยหากใช้เครื่องมือทั้ง 2 ตัวข้างต้น สำหรับใน Windows Server 2008 เราไม่ต้องไปดาวน์โหลด GPMC เพราะตัว GPMC ถูกติดตั้งมาให้เลย ดังรูปด้านล่างครับ

ด้วยความสามารถของ GPMC เราสามารถใช้มันในการจัดการทุกอย่างที่เกี่ยวข้องกับ Group Policy โดยทำผ่าน GPMC คอนโซลนี้ครับ ต่อไปผมจะสาธิตวิธีการสร้าง Group Policy โดยใช้ GPMC โดยก่อนที่ผมจะสร้างมีเรื่องที่ผมอยากจะอธิบายให้ท่านผู้อ่านได้ทราบก่อนคือ เมื่อสร้าง Policy ใน Windows Server 2008 จะมี Object ตัวหนึ่งถูกสร้างขึ้นมาด้วย เรียกว่า “ Group Policy Object” หรือเรียกสั้นๆ ว่า GPO ค่าที่เรากำหนดต่างๆ เพื่อใช้เป็นนโยบายเพื่อบังคับใช้กับผู้ใช้งาน จะถูกเก็บลงไปใน GPO นี้ครับ และจะแบ่งออกเป็น 2 ส่วนใหญ่ๆ คือ

  • Computer Configuration
  • User Configuration

โดยถ้าเราไปกำหนดค่าต่างๆ ในส่วนของ Computer Configuration ก็จะมีผลกับ Computer Account ส่วนค่าที่ไปกำหนดใน User Configuration ก็จะมีผลกับ User Account โดยผมได้แสดงไว้ในรูปด้านล่างครับ

รูปแสดงถึงการสร้าง Group Policy



โดยจากรูปด้านบนให้เลือก Create a GPO in this domain, and Link it here…จากนั้นให้ตั้งชื่อของ GPO ตามที่ต้องการ ดังรูป



จากนั้นให้กดปุ่ม OK ต่อมาให้คลิกขวาที่ GPO ที่เพิ่งสร้าง จากตัวอย่างผมตั้งชื่อไว้ว่า OrgGPO แล้วคลิกที่เมนู Edit… ดังรูป



จากนั้นท่านผู้อ่านก็จะเห็นหน้าจอต่อไปดังรูปด้านล่างครับ



และท่านผู้อ่านก็จะเห็นทั้ง 2 ส่วนคือ Computer และ User Configuration ตามที่ผมได้กล่าวไว้ข้างต้นครับ มาถึงตอนนี้ก็อยู่ที่ความต้องการของท่านผู้อ่านแล้วครับว่าต้องการกำหนด Policy แบบใดบ้าง และจะเอาไปใช้งานในส่วนใดของ Active Directory Structure หรือโครงสร้างของ Active Directory ครับ มาถึงตรงนี้ก็จะมีอีกเรื่องที่ท่านผู้อ่านต้องทราบคือ GPO ที่เราสร้างใน Group Policy เราสามารถนำไปใช้งานได้ 3 ที่ในโครงสร้างของ Active Directory คือ ที่ Site, Domain และ OU ดังรูป



ส่วน Local Group จะเป็นการสร้างและ Apply Group Policy ในเวิร์กกรุ๊ป การที่เรานำเอา GPO ไปใช้งานแต่ละที่ของ Active Directory เราจะเรียกว่าการลิงก์ GPO ตัวอย่างเช่น ถ้าผมเอา GPO3 และ GPO4 ไปลิงก์ที่โดเมน ดังรูปด้านบน ก็จะมีผลกับทุกๆ แอ็กเคานต์ที่อยู่ในโดเมนนั้น โดยผมมีตัวอย่างของ GPO ที่ถูกสร้างขึ้นมาโดยอัตโนมัติเมื่อมีการสร้างและติดตั้ง Windows Server 2003 หรือ 2008 โดเมน นั้นคือ GPO ที่ชื่อว่า Default Domain Policy กับ Default Domain Controller Policy ดังรูป ครับ



สำหรับ Default Domain Policy เป็น Policy ที่ผลกับทุกๆ แอ็กเคานต์ในโดเมนครับ และได้มีการกำหนดค่าต่างๆ มาให้และเช่น Policy ที่เกี่ยวกับ Account Policy, Password Policy เป็นต้น และเจ้า Default Domain Policy นี้เองมีผลทำให้เวลาที่เราสร้างยูสเซอร์แอ็กเคานต์ จะต้องกำหนดความยาวของ Password อย่างน้อย 7 ตัว และเป็นแบบซับซ้อนด้วย ซึ่ง Policy นี้กำหนดไว้ที่ใดดูได้จากรูปด้านล่างครับ



ซึ่ง Policy ดังกล่าวมีผลกับทุกคนหรือทุกแอ็กเคานต์ในโดเมน เพราะฉะนั้นถ้าต้องการเปลี่ยนแปลงเรื่องของ Account Policies ของโดเมน ก็จะต้องมาทำการเปลี่ยนแปลงที่นี่ครับ

ส่วนเรื่องต่อมาที่ผมจะอธิบายเพิ่มเติม โดยส่วนนี้จะเป็นส่วนที่แตกต่างจากในเวอร์ชันเก่าคือ เทมเพลตของ GPO เดิมจะเก็บอยู่ใน ไฟล์ที่มีนามสกุล .ADM แต่ใน Windows Server 2008 จะเป็น .ADMX เนื่องจากใน .ADM ก่อให้เกิดปัญหาเวลาที่มีการเรพพลิเคตข้อมูลคือ ข้อมูลอาจมีขนาดใหญ่มาก เนื่องจากจะมีการเรพพลิเคตไปทุกๆ GPO ที่มี .ADM ไฟล์ได้มีการสร้างขึ้น ดังนั้นใน Windows Server 2008 จึงเปลี่ยนมาใช้เป็น .ADMX แทน

เรื่องต่อมาเป็นฟีเจอร์ใหม่ใน Group Policy ของ Windows Server 2008 คือ Starter GPO เป็นฟีเจอร์ที่ให้คุณกำหนดค่าต่างๆ ที่ต้องการเอาไว้ก่อน เพื่อต้องการใช้เป็นเทมเพลตสำหรับการสร้าง GPO ต่อไป โดยเราสามารถกำหนดค่าคอนฟิกูเรชันต่างๆ ไว้ใน Starter GPO และสามารถนำมาใช้งานได้ภายหลังครับ ผมจะสาธิตวิธีการสร้าง Starter GPO ให้ดูโดยเริ่มจาก Starter GPO ใน GPMC แล้วคลิกขวาเลือก New… ดังรูป



จากนั้นให้กำหนดชื่อสำหรับ New Starter GPO ดังรูปครับ



แล้วกด OK แล้วทำการ Edit มันดังรูปด้านล่าง



มาถึงตรงนี้ท่านผู้อ่านจะเห็นว่าอันที่จริงแล้ว Starter GPO ก็คือ GPO นั้นล่ะครับ แต่แตกต่างตรงที่เราไม่สามารถนำเอา Starter GPO ไปลิงก์กับ Active Directory Structure ได้โดยตรง แต่มันเป็นการกำหนดค่าต่างๆ ที่เราต้องการหรือเราเรียกว่า Pre-Configuration Settings ไว้ก่อนแล้วไปใช้ในการสร้าง GPO ภายหลัง โดยรูปต่อไปผมจะกำหนดค่าบางอย่างไว้ใน Starter GPO ก่อน แล้วจากนั้นผมจะลองไปใช้ในการสร้าง GPO ของผมต่อไปครับ โดยรูปต่อไปนี้ผมได้กำหนด Policy โดยสั่ง Remove Run Menu ออกไปจาก Start Menu



จากนั้นผมจะสร้าง GPO ขึ้นมาใหม่ โดยให้เอาค่า Policy ต่างๆ ที่ได้กำหนดเอาไว้จาก Starter GPO ที่ผมได้สร้างขึ้นมาก่อนหน้านี้มาใช้ใน GPO ใหม่นี้ ดังรูป



จากรูปด้านบนท่านผู้อ่านจะเห็นว่า ผมได้สร้าง GPO ขึ้นมาใหม่ชื่อว่า DemoGPO1 และได้กำหนดค่าในส่วนของ Source Starter GPO เป็น Starter GPO ที่ผมได้สร้างเอาไว้แล้วคือ DemoStarterGPO1 ซึ่งได้มีการกำหนดค่าบางอย่างเอาไว้ ซึ่งก็คือ ผมได้กำหนดให้ Remove Run Menu ออกจาก Start Menu ครับ ให้กดปุ่ม OK แล้วเข้าไป Edit ดูกันว่า GPO ใหม่ที่ผมได้สร้างขึ้นมานั้น ได้เอาค่าที่ผมได้กำหนดไว้ใน Starter GPO มาด้วยหรือเปล่าดังรูป



ผมอยากให้ท่านผู้อ่านลองสังเกตนะครับ ว่าค่าที่ได้กำหนดไว้ใน Starter GPO ได้ถูกนำมากำหนดที่ GPO ที่ผมได้สร้างขึ้นด้วย จากรูปเป็น DemoGPO1แต่มาดูที่ค่าของ Remove Run Menu For Start Menu ถูกกำหนดให้เป็น Enabled ซึ่งเป็นค่าที่ผมได้กำหนดไว้ใน Starter GPO ครับ

ผมขอสรุปในส่วนของ Starter GPO จะมีประโยชน์สำหรับในกรณี เราต้องการกำหนด Policy ต้นแบบหรือสแตนดาร์ดที่ต้องการใช้งานกับหลายแผนกในองค์กร แทนที่จะต้องมากำหนดทีละ GPO เองก็สามารถเรียกใช้ Starter GPO มาช่วย และสามารถแก้ไข ปรับปรุง และเปลี่ยนแปลงได้ตามความต้องการครับ มาถึงตรงนี้พื้นที่หมดพอดีแหมกำลังมันเลยครับ แต่ไม่เป็นไรเอาไว้มาต่อกันในฉบับหน้าครับผม

4 ความคิดเห็น:

  1. ขอบคุณมาก ๆครับอาจารย์ (-/\-)

    ตอบลบ
  2. ขอบคุณมากๆค่ะ แต่รูปภาพเล็กมาเลยค่ะ ลองเซฟเอาไปขยายก็มองไม่เห็นค่ะ

    ตอบลบ