ActiveDirectory_StepByStep-2008.pdf

(1)

W

Be

เนื้อ

Win

est Pract

อหาการ

ndo

tice | St

เรียนรู้แล

Suttipan P

Microsoft M

http://www

ow

ep by S

ละการฝึก

Passorn | สุท

Most Valuab

w.mvpskill.co

s 2

Step Ins

กปฏิบัติด้

ทธิพันธ์ ภัสสร

ble Professio

om | Change

00 tall & C

ด้วยตัวเอ

ร

onal | Mana

e The World

8 R

onfigu

องในรูปแ

agement Infr

d By Contrib

R2

ring for

แบบ Ste

rastructure

utions

r IT Prof

p By Ste

fessiona

ep

als

(2)

จาก

1. 2. 3. หมา

กผู้เขียน

E-Book Active แบบ "ผล --> ไ งานอย่างแท้จริ ซักซ้อมทํา LA E-Book เล่มนี้ ไหน กดตรงไห E-Book เล่มนี้ ตามรายการด้า • • • ยเหตุ: สัญลัก e Directory W ไปหา --> เหตุ ริง เนื้อหาทั้งห AB จนครบถ้วน น้ไม่เหมาะกับกา หน และเปิดตร น้รวบรวมและจับ ้านล่างนี้ครับ Microsoft Pre Sams Window Pearson MCT กษณ์ต่าง ๆ ใน ความหมาย ความหมาย Windows 2008 ตุ" หวังว่าเพื่อน หมดครอบคลุมข นแล้ว ผมมั่นใจ ารอ่าน..."อ่า รงไหนมาใช้งาน ับใจความมาจา ess MCTS Se ws Server 20 TS.70-640 Ce นหนังสือ ยของรูป = จดเ ยของรูป = มีแห R2 เน้นการเรี น ๆ พี่น้องร่วมอ ข้อสอบวิชา 70 จว่าจะทําให้ทุก านอย่างเดียว" น จะหัดขับรถอ ากแหล่งหนังสื lf-Paced Train 08 R2 Unleas ert.Guide. อง ตัวใครตัวมั หล่งอ้างอิงเพิ่ม ยนรู้และการฝึก อาชีพจะได้นําไ 0-640 TS: Win กท่านสอบผ่าน .... Skill เกิดจ อย่ามัวแต่ท่อง อสามเล่มดังนี้

ning Kit Exam shed. มันครับ ^ ^ เติม หรือเป็น กปฏิบัติด้วยตัว ไปใช้เป็นแนวท ndows Server Microsoft Ce จากการฝึกปฏิบ ตํารา ลุยเลยค หากผู้อ่านสนใ m 70-640. สุทธิพันธ์ ภ mvpskill.com Tip ให้เก็บไว้เ วเองในรูปแบบ ทางในการซักซ r 2008 Active rtify วิชานี้ได้อ บัติ การปฏิบัติจ รับบบบ! :-) ใจภาคทฤษฏีเ ภัสสร | Suttipa Founder | Change the อาไปใช้งานระ บ Step By Ste ซ้อมเพื่อเข้าใจ Directory, Co อย่างสบาย จริงจะจําได้ง่า เชิงลึก สามารถ an Passorn r e World by Co ะยะยาว ep จัดทําเนื้อหา ภาพรวมของก onfiguring หาก ยว่าต้องเลือกป ถหาอ่านเพิ่มเติ ontributions า การใช้ ก ปุ่ม ติม

(3)

Requirement สําหรับการทํา LAB ประกอบการเรียนรู้

หลังจากที่ทุกท่านอ่านหนังสือพร้อมกับทํา LAB ไปด้วยกันจนจบแล้ว ท่านจะสามารถสร้างระบบ Active Directory ขนาดใหญ่ ประกอบกันเป็น Enterprise Infrastructure ได้ตามรูปด้านบนนี้ครับ

ผมทดสอบทํา LAB บน VmWare Workstation ครับ โดยใช้ PC ที่มี RAM 8 GB และ Harddisk ที่มีพื้นที่ว่าง 100 G ใน LAB ของบทต้น ๆ จะไม่จําเป็นต้องเปิด Vm Guest พร้อมกันมากมายนัก แต่พอบทท้าย ๆ แล้วจําเป็นจะต้องเปิด Vm Guest พร้อม ๆ กันมากขึ้น ผมจึงขอแนะนําว่าให้ใช้ Harddisk Raid 10 หรือ ใช้ Disk แบบ SSD เพื่อทําการทดสอบจะได้ความเร็วในการทํางานมาก ยิ่งขึ้นครับ

สําหรับผู้ที่ต้องการทดสอบ Windows Server 2008R2 สามารถ Download Evaluation ได้ที่

http://technet.microsoft.com/en-us/evalcenter/dd459137.aspx

และ Step by Step ของ Windows Server 2008 Feature อื่น ๆ แนะนําให้โหลดอ่านต่อที่นี่ครับ

http://www.microsoft.com/en-us/download/details.aspx?id=17157 หรือใช้ Keyword ในการค้นหาว่า Windows Server 2008 Step-by-Step Guides

(4)

ตารางการตั้งค่า Server (Virtual Machine ที่จําเป็นต้องใช้) เพื่อประกอบการทํา LAB ด้วยกัน (ดูรูปด้านบนประกอบนะครับ)

Server Name Domain Name Type of Domain IP Address Prefer DNS1/2 1 dc01 demo.local Root – First DC in forest 192.168.1.10 Self

2 dc02 demo.local Root – Additional Domain Controller 192.168.1.20 Self 3 dc03 cm.demo.local Child Domain 192.168.1.30 Self 4 dc04 cm.demo.local Child – Additional Domain Controller 192.168.1.40 Self

5 dc05 abc.com Domain Tree 192.168.1.50 Self

6 dc06 abc.com Domain Tree – Additional Domain Controller 192.168.1.60 Self

Client Domain Name Type of Domain IP Address Prefer DNS1/2

ตารางการตั้งค่า Server (Virtual Machine เผื่อใช้งาน) เพื่อประกอบการทํา LAB ระดับ Advance

Server Name Domain Name Type of Domain IP Address Prefer DNS1/2 1 core01 demo.local Root – First DC in forest 192.168.1.10 Self

(5)

สารบัญ | Table of Contents

จากผู้เขียน

... 1

Requirement

สําหรับการทํา

LAB

ประกอบการเรียนรู้

... 2

Module 1: Introducing Active Directory Domain Services (AD DS) ... 12

ภาพรวมของ

Module1 ... 13

วางแผน

Pre Install Active Directory:

ก่อนการติดตั้ง

Active Directory Server Role ... 13

Lab1:

ติดตั้ง

Active Directory Domain Service

ซึ่งเป็น

Domain Controller

ตัวแรกในระบบ

... 14

Checklist

เพื่อตรวจสอบหลังการติดตั้ง

Domain Controller ... 20

Active Directory Schema ... 21

ส่วนประกอบที่สําคัญของ

ส่วนประกอบสําคัญของ

ประเภทของ

Active Directory Domain

และการนําไปใช้งาน

... 27

ภาพรวม ของ

Active Directory Data Store ... 29

การ

Raise Domain & Forest Functional Level ... 30

Lab1.1 Advance:

ติดตั้ง

ADDS Role

บน

Server Core ... 32

สรุปสําหรับ บทเรียนที่

1 Introducing Active Directory Domain Services (AD DS) ... 37

Module 2: Administering Active Directory Securely and Efficiently ... 38

Lab2: Administering Active Directory by Using Administrative Tools ... 39

การใช้งาน

MMC ... 42

การค้นหา

Object

ใน

Active Directory ... 51

Lab3: Find Objects in Active Directory ... 52

(6)

dsquery: Displays objects matching search criteria ... 54

dsget:

ใช้เพื่อดูข้อมูล

Properties

ของ

Object ... 55

การใช้คําสั่งผสมระหว่าง

Dsquery

และ

dsget ... 56

dsrm: Removes objects ... 57

ค้นหา

User

ที่ไม่

Active

เพื่อทําการลบด้วยคําสั่ง

... 57

dsmove: Moves objects to another container within the domain ... 58

dsmod: Modifies objects ... 58

วิธีการ สร้าง

Saved Queries ... 58

ใช้งาน คําสั่ง

dsadd

เพื่อ

Create User ... 63

Script

สําหรับเพิ่ม

OU / USER ... 64

การออกแบบและการสร้าง

OU

(

Organizational Unit

) เบื้องต้น

... 66

Lab4:

จัดการ

Active Directory

ด้วย

PowerShell ... 69

PowerShell :

ใช้งานเกี่ยวกับ

Users ... 71

ติดตั้งและใช้งาน

PowerShell ISE ... 74

PowerShell :

การใช้งานเกี่ยวกับ

Computers ... 76

คําสั่ง

PowerShell

เพื่อเปลี่ยน

Password

ของ

Users ... 77

คําสั่ง

PowerShell

เพื่อเปลี่ยน

List User Account ... 78

การใช้งาน

Delegation Control Wizard ... 84

การ

Delegate Reset Password / Unlock User Account ... 85

การจัดการ

Security Permission

ของ

Active Directory Object ... 86

Module 3: Managing Users and Service Accounts ... 89

(7)

การใช้งาน

Server Core

ผ่าน

Remote

ด้วย

Sconfig.cmd ... 91

การใช้งาน

Active Directory Administrative Center ... 93

Lab5: Create and Administer User Accounts ... 94

Lab6: Configure User Object Attributes ... 94

Lab7: Automate User Account Creation ... 95

การใช้งาน

CSVDE ... 95

LDIFDE = LDAP Data Interchange Format (LDIF) ... 96

Lab7-4: Create and Administer Managed Service Accounts ... 96

Module 4: Managing Groups ... 98

ทําความเข้าใจเรื่อง

Group Membership... 98

ประเภทของ

Group

(มี 2 ประเภท)

... 100

Scope

ของ

Group

(มี 3

Scope) ... 101

Concept

การนํา

AGUDLP

ไปใช้งาน

... 101

Lab8: Administer Groups ... 102

การค้นหา

Group Members

ใน

Lab9: Best Practices for Group Management ... 108

Module 5: Managing Computer Accounts ... 109

Lab10: Create Computers and Join the Domain ... 109

การทํา

Offline Domain Join ... 110

Lab11: Administer Computer Objects and Accounts ... 111

Module 6: Implementing a Group Policy Infrastructure ... 113

Group Policy

คืออะไร

? ... 113

(8)

Option

ของ

Group Policy

ที่เพิ่มขึ้นมาใน

Windows Server 2008 ... 115

พื้นฐานความเข้าใจเรื่อง

Group Policy ... 115

เครื่องมือในการใช้บริหารจัดการ

สรุปการเปลี่ยนแปลงของ

Group Policy

ที่มีใน

Windows 2008 ... 117

หัวข้อที่ต้องทําความเข้าใจเกี่ยวกับ

ประเภทของ

GPO... 119

ลําดับการประมวลผลของ

GPO

ในระบบ

GPO Link ... 120

การจัดการ

Group PolicyProcessing ... 122

GPO Link Order ... 122

GPO Inheritance ... 122

การบังคับให้

GPO

ต้องถูกประมวลผลเสมอ (

Enforcing Inheritance) ... 123

การควบคุม

Refresh Time ... 124

การปรับแต่ง

Refresh Interval ... 124

การปรับแต่ง

Slow-Link Detection ... 125

GPO Loopback Processing ... 126

การวางแผน

GPO Modeling

และ

GPO Result ... 126

การบริหารจัดการ

การ

Delegating Control

สําหรับ

GPOs ... 128

ทําความเข้าใจกับ

Starter GPOs ... 129

การ

Enable / Disable GPO ... 129

(9)

การใช้งาน

Search And Filtering GPO ... 130

การใช้งาน

WMI Filter

หรือ

WMI Query ... 132

เริ่มต้นด้วย

Default Policies ... 133

การตั้งค่า

Default Domain Policy ... 133

การตั้งค่าเพิ่มเติมจาก

Default Domain Policy ... 134

การตั้งค่า

Default Domain Controller Policy ... 134

การใช้งาน

Top 10 GPO Settings

ที่ใช้งานประจํา

... 135

การแก้ไขปัญหาเกี่ยวกับ

การจัดการ

GPO Storage ... 135

Protocol

ที่จําเป็นสําหรับการ

Process GPO ... 137

การ

Import, Migration GPO ... 138

การ

Backup / Restore GPO ... 138

การบริหารจัดการ

SYSVOL ... 139

แนวทางการแก้ปัญหา

Replication

ของ

Sysvol ... 139

Lab12: Implement Group Policy Create, Edit and Link GPOs ... 140

Lab13: Manage Group Policy Scope ... 140

Lab15: Troubleshoot Policy Application ... 140

Module 7: Managing User Desktop with Group Policy ... 147

Lab16: Manage Administrative Templates ... 147

Lab17: Manage Group Policy Preferences ... 149

เริ่มต้นกับ

GPO Preferences ... 149

(10)

การใช้

GPO-Preferences

สร้าง

Folder

ใหม่ที่เครื่องปลายทาง

... 154

การใช้

GPO-Preferences

ทําการ

MAP Network Drive ... 154

LAB18: Manage Software With GPSI ... 156

การติดตั้ง

Software

ด้วย

Group Policy (GPSI) ... 156

Lab: Manage Security Settings With Security Template ... 160

Lab: Audit Active Directory Changes ... 161

Lab: Link VS Unlink ... 163

Module 8: Managing Enterprise Security and Configuration with Group Policy Settings ... 165

Lab19: Use Group Policy to Manage Group Membership ... 165

Lab20: Manage Security Settings ... 167

การใช้งาน

Security Template ... 168

การใช้งาน

Security configuration Wizard ... 169

Lab21: Audit File System Access ... 172

Lab: Audit Active Directory Changes ... 173

Lab: Audit Authentication ... 175

Lab22: Configure Application Control Policies ... 176

Module 9: Securing Administration ... 180

Lab23: Delegate Administration ... 180

Lab24: Audit Active Directory Changes ... 182

Module 10: Improving the Security of Authentication in an AD DS Domain ... 183

Lab25: Configure Password and Account Lockout Policies ... 183

ใช้งาน

Fine Grained Password Objects ... 183

Lab26: Audit Authentication ... 193

Lab27: Configure Read-Only Domain Controller ... 193

(11)

Module 11: Configuring Domain Name System ... 196

การออกแบบ

DNS Namespace Option ... 197

ชนิดของ

DNS Zone ... 197

ความเข้าใจเรื่อง

DNS ZoneTransfer

กับ

Replication ... 198

ความเข้าใจเรื่อง

DNS Caching ... 199

TIP:

เนื้อหาที่ต้องทําความเข้าใจเกี่ยวกับ

DNS / WINS ... 200

Lab28: Install DNS Service ... 200

Lab29: Advance Configuration DNS ... 201

การใช้

DNS Stub Zone... 203

Module 12: Administering AD DS Domain Controllers ... 204

Lab30: Install Domain Controller ... 204

Lab31: Install Server Core Domain Controller ... 208

Lab32: Transfer Operation Master Roles ... 210

ทําความเข้าใจ

Operation Master Roles

ของ

การ

Seize Operations Master ... 214

Lab33: Configure Global Catalog and Universal Group Membership Caching ... 216

Global Catalog, Universal Group Membership ... 216

Lab34: Configure DFS-R Replication of SYSVOL ... 217

Module 13: Managing Sites and Active Directory Replication ... 220

Lab35: Configure Site and Subnet ... 220

Lab36: Configure Replication ... 220

Module 14: Directory Service Continuity ... 222

Lab36: Monitor Active Directory Events and Performance ... 222

(12)

Lab39: Backup and Restore Active Directory ... 230

Module 15: Managing Multiple Domains and Forests ... 235

Lab40: Configure Name Resolution Between Forest ... 235

(13)

Module 1: Introducing Active Directory Domain Services (AD DS)

เบื้องต้นเกี่ยวกับ ADDS

Active Directory เป็นเครื่องมือ ที่มีมากับ Windows Server Operating System โดยทําหน้าที่ช่วยจัดการทรัพยากรในระบบ จากจุดศูนย์กลางโดยเครื่องมือของ Server Domain Controller ถ้าองค์กรที่มี User มาก ๆ นํา Active Directory มาใช้งาน จะช่วยลด ภาระค่าใช้จ่ายในการบริหารจัดการ User Environment อีกทั้งยังเพิ่มความปลอดภัยให้กับระบบโดยรวมโดยที่ไม่ต้องซื้อเครื่องมือเพิ่มเติม (มีมากับ Windows อยู่แล้ว ถ้าใช้ให้เป็น ปรับแต่งให้ดี ระบบก็จะมีประสิทธิภาพเป็นประโยชน์ต่อองค์กร)

สมัย Windows 2000 – Windows 2003 เค้าเรียกกันแค่ AD หรือ Active Directory แต่ใน Windows 2008 เรียกเพิ่มว่า Active Directory Domain Services (ADDS) ขอให้เข้าใจว่าเป็นเรื่องเดียวกัน

ADDS เป็นพื้นฐานที่สําคัญสําหรับผู้ดูแลระบบสาย IT Pro ของ Microsoft ที่จําเป็นจะต้องเรียนรู้ไว้เป็นพื้นฐานในการนําไป เรียนรู้ต่อยอด หรือติดตั้งปรับแต่งระบบที่เกี่ยวกับ Microsoft Server Platform หรือในหน่วยงานที่ใช้งาน Microsoft Platform เป็นหลัก

Active Directory Domain Services (ADDS) เป็น Roles บน Windows Server ที่มีไว้เพื่อใช้งานเกี่ยวกับการ ระบุตัวตน (ช่วย Authentication & Authorization & Audit) และการเข้าถึงทรัพยากรต่าง ๆ บนขอบเขตของ Active Directory ซึ่ง Windows Server 2008 เน้นใช้คําว่า (identity and access) หรือ IDA

ประโยชน์ของ Active Directory

Active Director คือชื่อเรียกของเทคโนโลยี Microsoft Directory Service ซึ่งนําข้อดีหลาย ๆ อย่างในการบริหารจัดการ Client / Server มาให้ผู้ดูแลระบบทํางานได้ง่ายขึ้น เช่น

• ฟรี ! (หมายถึงคุณจ่ายค่า License เฉพาะ Windows OS) • รวมศูนย์การบริหารจัดการเรื่อง Username / Password

• เพิ่มความสะดวกให้กับผู้ดูแลระบบในการควบคุมมาตรฐานของ Client Environment (ผ่าน Group Policy)

• เพิ่มความสะดวกให้กับผู้ดูแลระบบในการควบคุมมาตรฐานของการใช้งาน Software Deployment (ผ่าน Group Policy) • เพิ่มความสะดวกให้กับผู้ดูแลระบบในการควบคุม Security Parameter (ผ่าน Group Policy)

• สามารถจัดการควบคุมการเข้าถึง ข้อมูล, User Data และทรัพยากรในขอบเขตของสมาชิกที่อยู่ใน Active Directory ได้ • Active Directory เป็นพื้นฐานที่จําเป็นหากต้องนํามาใช้งาน Exchange / Sharepoint / SQL

(14)

ภา

ก่อน Activ เป็นชื เข้าใจ Auth Dom ใช้เรี Activ หลังจ Data Iden

พรวมของ

• ใน M อื่น มาทําความ ve Directory ชื่อเรียก Roles จว่าเป็นเรื่องเดี horization, Aud main Controlle ยกเครื่อง Serv ve Directory จากติดตั้ง Rol abase ขึ้นมาเพื tities โดยที่อยู่

วางแ

1. Windows 2. เครื่อง Se (เพื่อป้องก 3. วางแผนชื 4. จะต้องมี 5. IP Addre 6. Password recovery 7. Network ด้านล่าง ห http://tec 8. Configura ครับ

ง Module

Module นี้คุณจ มรู้จักศัพท์ที่ใช้ Domain Serv s ในการทํางาน ดียวกัน) ADD diting อีกทั้งยัง er (DC) = ver ที่สั่งให้ทําง Database = es ของ Active พื่อเก็บ Object ยู่ของ AD data

แผน Pre Ins

s 2008 R2 รอง erver ที่มี OS กัน SID ซํ้าซ้อ ชื่อ (Namespac DNS Server เ ess ของเครื่อง d Restore Mo ทีหลัง Firewall การใ หรือใช้ Keywo hnet.microsof ation Time-Zo

e1

ะได้เรียนรู้ส่วน ช้เรียกในระหว่า vices (ADDS) นบน Windows DS ช่วยเป็นศูน งสามารถใช้บริ งานใน Roles ข e Directory Do t ไว้สําหรับเรีย base จะเก็บไว

stall Active D

งรับ CPU แบบ อยู่แล้วก่อนจะ อนกัน) ce & DNS) ให เพื่อรองรับการ Server Doma ode ระหว่างกา ใช้งาน Active ord “Active Dir

ft.com/en-us/li one ตั้งค่า OS นประกอบที่สําค างการเรียนรู้ดัง ) = s Server 2008 นย์กลางในการบ รหารจัดการ Cl ของ Active Di omain Service กใช้งาน เช่น U ว้ที่ Folder %S

Directory: ก่อ

บ x64 และ Ita ทําเป็น Active ห้เรียบร้อย (ชื่อ รทํางานของ AD ain Controller ารติดตั้งจะมีกา Directory ระห rectory and A ibrary/dd7727 S ที่ติดตั้งเสร็จแ คัญของ Active ังนี้ 8 (สมัย Windo บริหารจัดการก lients Environ irectory Doma es (ADDS) ลง Users, Compu Systemroot%\

อนการติดตั้ง

anium เท่านั้น e Directory Se อ Server และ DDS ซึ่งตาม B ต้องเป็น Stati ารให้ตั้งค่า Pas หว่าง Clients / Active Director 723(WS.10).as แล้วระหว่าง cl e Directory แล ws Server 20 การเข้าถึงทรัพ ment ด้วย Gr ain Services ( งบนเครื่อง Win uter Accounts ntds\ntds.dit

Active Dire

erver ต้องแน่ใจ ชื่อ domain) Best Practice ic IP Address ssword Resto Servers จําเป็ ry Domain Se spx lient / server ก ละการติดตั้งเพื่ 03 เรียก Activ ยากร โดยที่ช่ว oup Policy ADDS) ndows Server s, Printer, Sha

ectory Serve

จว่า SID ใหม่จ ควรใช้ DNS S re Mode ควรบ ปนต้อง Allow P rvices Port R การตั้งค่า Time พื่อใช้งานอย่างถู ve Directory เ วยจัดการเรื่อง r เรียบร้อยแล้ว ared Folder, ข้

er Role

จริง ๆ ไม่ใช่กา Server ของ M บันทึกจดไว้ด้ว Port ที่ Firewa Requirements” e Zone เป็นเรื ถูกวิธี ฉย ๆ ซึ่งขอให้ Authenticatio ว ระบบจะสร้าง ข้อมูลเกี่ยวกับ ร Clone มาใช้ Microsoft Wind วยจะได้ไม่ลําบา all ตามข้อมูล L ในการค้นหา รื่องสําคัญมาก ห้ on, ง ช้งาน ows าก Link ๆ

(15)

Lab1: ติดตั้ง Active Directory Domain Service ซึ่งเป็น Domain Controller ตัวแรกในระบบ

สามารถดู VDO Step By Step ประกอบหนังสือเล่มนี้ได้ที่

http://www.mvpskill.com/kb/%E0%B8%A7%E0%B8%B4%E0%B8%98%E0%B8%B5%E0%B8%95%E0%B8%B4%E0%B8%94% E0%B8%95%E0%B8%B1%E0%B9%89%E0%B8%87-active-directory-windows-2008r2.html

เริ่มต้นสร้าง Domain Controller ตัวแรกในระบบกันดูครับ

Objective:

เรียนรู้ที่จะติดตั้ง ADDS Roles (การสร้าง Domain Controller เครื่องแรกในระบบ) นัดหมายการทํา LAB ดังนี้คือ

Server Name = dc01 Domain Name = demo.local IP Address = 192.168.1.10 Primary DNS = 192.168.1.10

ภาพรวมของขั้นตอนสร้าง Domain Controller ตัวแรกในระบบ Forest

1. Add Roles “Active Directory Domain Service” โดยเครื่องมือ Server Manager 2. ใช้คําสั่ง dcpromo.exe เพื่อติดตั้ง Active Directory ตาม Wizard

Step By Step: ทําการสร้าง Domain Controller ตัวแรกขึ้นมาในระบบโดยใช้ชื่อ dc01.demo.local

Step: 1 ที่เครื่อง Server dc01 ตรวจเช็ค IP Address / Primary DNS ให้เรียบร้อย จากนั้นเข้าไปที่ Server Manager แล้วทําการเลือก

Add Roles

(16)

Step: 3 กด Next ไปเรื่อย ๆ จนกว่าจะเสร็จ (ก่อนจะกด Next หากมีเวลาเหลือผมแนะนําให้ลองอ่าน Help ที่ Microsoft จัดทํามาครับ ผมลองอ่านแล้ว พบว่ามีวิธีทํามากมายที่เป็น KB บรรจุไว้ อ่านไม่ยากครับ)

Step: 4 หลังจากติดตั้ง AD DS Role เสร็จแล้วให้ใช้คําสั่ง Dcpromo.exe เพื่อเข้าสู่ Wizard การเลือกติดตั้ง Active Directory ซึ่งจะใช้คําสั่ง Run > Dcpromo.exe หรือทําการเลือกคลิ๊กจาก Wizard ในหน้าจอ Server Roles ก็ได้

(17)

Step: 5 กด Next โล้ด

Step: 6 กด Next โล้ด จนถึงหน้าจอให้เลือก ประเภทของ Domain / Forest ซึ่งในที่นี้เป็น Domain Controller ตัวแรกของระบบจึงต้อง เลือก Create a new domain in a new forest

(18)

Step: 7 ทําการตั้งชื่อ Domain namespace ตามที่ออกแบบไว้ ในที่นี้ใช้ .local เนื่องจากจะได้ไม่ซํ้ากับ domain ทีมีอยุ่จริงในระบบ

Step: 8 ทําการเลือก Forest Functional Level ในที่นี้ผมสมมุติว่าเราทํา Domain Controller กับระบบที่มีแต่ Windows Server 2008R2 จึงเลือกระดับ สูงสุด “Forest Functional Level = Windows 2008 R2”

(19)

อ่านเกี่ยวกับ Functional Level เพิ่มเติมได้ที่ http://technet.microsoft.com/en-us/library/understanding-active-directory-functional-levels(WS.10).aspx

Step: 9 ทําการเลือกติดตั้ง DNS Server โดยอัตโนมัติพร้อมไปด้วยเลย

(20)

Step: 11 ตั้งรหัสผ่านของการใช้งาน Active Directory Restore Mode

(21)

1. ตร even 2. ตร 3. ตร 4. ตร 5. ทด Serv 6. Re

ติดตั้ง D

Che

Best รวจสอบ Even ntvwr รวจสอบ AD D รวจสอบ SYSV รวจสอบ DNS ดสอบเข้าถึงเค vice? eview Default

Domain

ecklist เพื่อต

Practice การ nt Viewer ดู E Database ว่าถู VOL / Net log Record (ถ้าอ ครื่องมือ Defau t Configuratio

n Contr

ตรวจสอบหลัง

ตรวจสอบหลัง rror (ไม่ควรมี กสร้างมาเรียบ gon ต้องถูกสร้า อยู่เครื่องเดียวกั ult ต่าง ๆ ให้คร n เช่น Built-in

rller ตัว

งการติดตั้ง D

จากติดตั้ง Do Error ระดับรุน บร้อย ? าง Share มาโ กับ Domain Co รบ เครื่องมือที่ Container. /

วแรกใน

Domain Con

main Controll นแรงหรือแจ้งเตื ดยอัตโนมัติแล ontroller) ? ที่อยู่ใน Admini Computers C

นระบบเส

ntroller

ler เสร็จเรียบร้ ตือนจากระบบ ละเข้าถึงได้ ? strative Tools Container. / Do

สร็จเรีย

ร้อยแล้ว การใช้งานหลัก s เช่น AD Use omain Contro

บร้อยแ

ัก) สามารถเปิด

ers & Compute ollers Containe

แล้วครับ

ดโดยใช้คําสั่ง er / AD Site & er.

บ

&

(22)

Active Directory Schema

เครื่องมือ Active Directory Schema โดยปกติแล้วถูกซ่อนไว้ จะไม่แสดงใน Administrative Tools หากจําเป็นต้องใช้งานจะต้อง ใช้คําสั่งพิเศษทําการ Register .dll ขึ้นมาใช้งาน หากคุณเป็นคนสร้าง Domain Controller ขึ้นมา ควรจะทําการ Register .dll ตัวนี้ไว้เพื่อ เตรียมพร้อมสําหรับการปรับแต่งขั้น Advance (เตรียมไว้ก่อนดีกว่าทําฉุกเฉินทีหลัง)

Active Directory Schema คือเครื่องมือในการบริหารจัดการ Object ขั้น Advance ซึ่งสามารถเรียกดูเพื่อปรับแต่งรายละเอียด ต่าง ๆ ที่เรียกว่า Class และ Attributes ได้

คําสั่งสําหรับการเพิ่มเครื่องมือ Active Directory Schema พิมพ์คําสั่งด้านล่างลงบนช่อง RUN ครับ

regsvr32 schmmgmt.dll

ข้อความแจ้งหลังจากที่พิมพ์คําสั่งถูกต้อง

หลังจากที่ Register .dll ได้แล้วก็ไปที่ mmc.exe เพื่อ Add Snap-in เอาไว้ใช้งานครับ Start > Run > MMC > Add / Remove Snap-in

(23)

ลองดูตัวอย่างของการเข้าไปดู Active Directory Schema ตามรูปด้านล่างครับ

อ่านต่อเรื่อง Advance การปรับแต่ง Active Directory Schema ที่ใช้บ่อยได้ที่

http://support.microsoft.com/kb/300427/en-us http://support.microsoft.com/kb/250455

(24)

ส่วนประกอบที่สําคัญของ Domain Controller

หลังจากที่เราสร้าง Domain Controller ตัวแรกขึ้นมาในระบบเรียบร้อยแล้ว เครื่อง Windows Server ธรรมดาของเรา ก็จะถูกเรียกว่า

Domain Controller หรือ Windows Server ที่ run ADDS Roles

เรามาดูส่วนประกอบที่สําคัญของ Domain Controller ในเครื่องกันครับ ว่ามีส่วนประกอบอะไรบ้าง? และแต่ละส่วนประกอบนั้นอยู่ตรงไหน ในเครื่อง? ต้องดูแลอย่างไร? และมีข้อระวังอย่างไรบ้าง?

(25)

http:

ส่วน

แหล่ง //technet.micr 1. SYSVOL เครื่องที่เป็ Logon สํา พิมพ์คําสั ลองเปิดเข จดบันทึก Server 2. DNS Ser Active Di ติดตั้งให้แ เรียบร้อย

นประกอบสําคั

งอ้างอิง http://t rosoft.com/en L / NETLOGO ป็น Domain C าหรับเครื่องที่ สั่ง net share ที ข้าไปดูเพื่อสังเ ไว้ด้วยตัวเองดู rver irectory จะทําง แบบอัตโนมัติค

คัญของ Dom

technet.micro -us/library/cc7 ON Controller จะมี Join Domain ที่เครื่อง Doma เกตุ / ทําความ ดูนะครับ ว่า SY งานได้ก็ต่อเมื่อ รับ จะเห็นได้ว

main Controll

osoft.com/en-u 754663(WS.1 Default Share เข้ามาใช้งาน แ ain Controller รู้จักกับ Defau YSVOL และ N อมี DNS สนับส ว่ามีการระบุ Po

ler

us/library/cc77 0).aspx re แบบนี้ครับ ซ และจัดเก็บ Gr แล้วสังเกตราย ult Configurati NETLOGON จ สนุนจากรูปให้ ort ที่จําเป็นใช้ 72829(WS.10 ซึ่ง Sysvol และ roup Policy ใน ยการที่เปิด Sh on ของ ADDS จริง ๆ แล้วเป็น ้เปิดดูและสังเก ้งานสําหรับ Se ).aspx ะ Netlogon เป็ นการใช้งาน De are ดูครับ S ดูครับ น Share Folde กตุ DNS Serve ervice ต่าง ๆ ข ป็นพื้นที่ ที่มีไว้ eploy Group P er ที่มาจาก Pa er ที่ Active D ของ Active D ้จัดเก็บ Script Policy Object ath ไหนบนเครื irectory ทํากา irectory ไว้ รื่อง าร

(26)

จากรูปด้านบนจะเห็นได้ว่า _gc เป็นตัวแทนของ Service Global Catalog โดยที่ทํางานอยู่ Port 3268 บนเครื่อง dc01.demo.local (ตัวอย่างการอ่านค่า ให้ลองคลิ๊กเข้าไปศึกษาทําความเข้าใจทีละอัน)

3. AD Database หรือ Active Directory Data store

ไฟล์ต่าง ๆ และความสําคัญ

EDB.LOG เป็นไฟล์ Transaction เอาไว้เก็บ Primary Transaction ของ Log File EDB.CHK เป็น Checkpoint ของตัวชี้ตําแหน่ง Transaction ล่าสุดของไฟล์ EDB.LOG

Edbres0001.jrs / Edbres0002.jrs เป็นไฟล์สํารองไว้กันพื้นที่ประมาณ 20 MB เพื่อไม่ให้เกิดเหตการณ์ Hard disk เต็มแล้ว ระบบล่ม

4. Flexible Single Master Operations (FSMO)

(27)

5. Global Catalog (CG)

เป็นตัวช่วยที่จัดเก็บข้อมูลบางส่วนของ Object ใน Active Directory เช่น Attribuet ที่สําคัญและถูกค้นหาบ่อย ๆ เพื่อเพิ่มความ รวดเร็วในการค้นหาข้อมูล ลดภาระในการค้นหาข้อมูลจากหลาย ๆ Domain

Global Catalog มีความสําคัญมาก ๆ เลยครับ เพราะเวลาที่ Client จะ Log On เข้าสู่ Domain จะต้องมีการติดต่อกับ Global Catalog ให้ได้ เพื่อตรวจสอบเรื่อง Membership ของ User นั้น ๆ

วิธีเปิดดู Global Catalog ว่าได้ตั้งค่าไว้หรือเปล่า ให้เปิด Active Directory Sites and Service เข้าไปที่ Server Name ที่ต้องการตรวจเช็ค > NTDS Settings > Properties > ดูตามรูปด้านล่าง

(28)

ประเภทของ Active Directory Domain และการนําไปใช้งาน

คําอธิบายรูปแรกบนหน้าปกของวิชานี้ (แบบสั้น ๆ ) ถึงการใช้งานตามสถานการณ์ของแต่ละประเภท • Additional Domain Controller

เป็นการเพิ่ม Domain Controller เข้าไปใน Domain ที่มีอยู่แล้ว เพื่อแบ่งเบาภาระการทํางานของ Domain Controller ที่มีอยู่ ก่อนหน้านี้และเพิ่มการรองรับการทํางานในกรณีที่ Domain Controller ทีมีอยู่ก่อนหน้านี้อาจไม่สามารถทํางานได้ชั่วคราว (เรียก การทํางานแบบนี้ว่า Multi – Master) คือสามารถทํางานทดแทนกันได้

จากรูปด้านบน dc01.demo.local เป็น Domain Controller ตัวแรกที่เราได้สร้างขึ้นจาก LAB ที่ผ่านมา และ dc02.demo.local เป็น Additional Domain Controller ของ Domain demo.local

• Child Domain

เป็นการสร้าง Domain ไว้ในกรณีที่ เราต้องการบริหารจัดการแบบรวมศูนย์ แต่ ….. ต้องการแยกขอบเขตการบริหารจัดการกัน ยกตัวอย่างเช่น

สํานักงานใหญ่อยู่กรุงเทพ ต้องการตั้งสํานักงานสาขาที่เชียงใหม่ จึงตั้งระบบ Child Domain ขึ้นมาโดยใช้ชือ cm.demo.local และมี Server 2 ตัวสําหรับ Domain cm.demo.local คือ dc03 และ dc04 การตั้งค่าแบบนี้จะทําให้การปรับแต่งได ๆ ที่ demo.local ไม่มีผลกระทบมายัง cm.demo.local และเช่นกันครับ การปรับแต่งค่าได ๆ ที่ cm.demo.local ก็จะไม่มีผลกระทบ

(29)

กับ demo.local แต่……ผู้ดูแลระบบที่ demo.local ถือว่าเป็น Administrator Account ในระดับ Enterprise Admin Groups จะ สามารถเข้ามาปรับแต่ง Child Domain และ Domain Tree ได้เช่นกัน

• Domain Tree

เป็นการสร้าง Domain ไว้ในกรณีที่ เราต้องการบริหารจัดการแบบรวมศูนย์ แต่ใช้ชือ Domain ที่แตกต่างกัน เช่นตามรูปตัวอย่าง เรามี Root Domain ชื่อ demo.local แต่เราขยายกิจการใหม่ จําเป็นต้องตั้งสาขาใหม่และชื่อของกิจการไม่เหมือนเดิม จึงทําการ ตั้ง Domain สําหรับกิจการใหม่นี้ว่า abc.com โดยที่เลือกตั้งค่าเป็น Domain Tree

วิธีการตั้งค่าแบบนี้จะมีประโยชน์คือช่วยให้การบริหารจัดการยังเป็นแบบรวมศูนย์อยู่เหมือนเดิม โดยที่ ผู้ดูแลระบบที่

demo.local ถือว่าเป็น Administrator Account ในระดับ Enterprise Admin Groups จะสามารถเข้ามาปรับแต่ง Child Domain และ Domain Tree ได้เช่นกัน

จากรูปด้านล่างแสดงถึง Enterprise Admins Group ที่สมาชิกใน Groups นี้สามารถเข้าไปบริหารจัดการได้ทุก Domain ใน Forest เดียวกัน

(30)

ภาพ

อ้างอิ 1. Do เป็น ยัง D 2. Co มีแค่ ข้อมู 3. Sc มีแค่

พรวม ของ Ac

อิงจาก http://te Direc อ้างอิ http:/ omain Partiti Partition ที่ใช้ Domain Contro onfiguration หนึ่งเดียวใน F ลเช่น Domain chema Partit หนึ่งเดียวใน F

ctive Directo

echnet.micros ctory Partition อิงจาก http://te //www.tech-fa ion ้เก็บข้อมูลเกี่ยว oller ทุกตัวใน Partition Forest เก็บข้อมู n Controller ตัว ion Forest เก็บข้อมู

ory Data Sto

soft.com/en-us ส่วนประกอบ echnet.microso aq.com/directo วกับ users, co Domain เดียว มูลเกี่ยวกับ โค ัวไหนมีอยู่ใน F มูลเกี่ยวกับการ

ore

s/library/cc772 และข้อควรจํา oft.com/en-us ory-partitions.h omputers, gro วกัน รงสร้างของ Fo Forest นั้น ๆ บ รควบคุมเปลี่ยน 2829(WS.10). า: s/library/cc961 html oups, และมีอยู่ orest เช่น Do บ้าง มีการ rep นแปลงข้อมูลข aspx 1591.aspx ยูได้ในหลาย Do mains, Sites ถ plicate ไปยัง D ของ Schema มี omain ใน Fore ถูกผูกไว้กับ D Domain Contro มีการ replicate rest เดียวกันมี omain Contro oller ทุกตัวใน e ไปยัง Doma การ replicate oller ตัวไหน ห Forest เดียวกั in Controller ท ไป หรือ กัน ทุก

(31)

ตัวใน Forest เดียวกัน

4. Application Partition

เป็น Partition พิเศษที่สามารถบังคับให้ replicate ไปยัง Domain Controller ที่ต้องการได้ เพื่อให้ Application และ Service บางอย่างที่ ต้องากรอาศัยการ Replicate สามารถใช้จัดเก็บข้อมูลได้ โดยช่วยให้โปรแกรมบางอย่างที่ต้องการปรับแต่งเฉพาะ อาศัยความสามารถของ Active Directory ทํางานโดยได้ความสามารถเพิ่มเหมือนกับ Active Directory (redundancy, availability, fault tolerance)

การ Raise Domain & Forest Functional Level

อ้างอิงจาก http://technet.microsoft.com/en-us/library/cc787290(v=ws.10).aspx

Domain / Forest Functional Level คือการระบุความสามารถโดยรวมของ Active Directory ทุกตัว ใน Domain หรือใน Forest ว่าจะมา ความสามารถสุงสุดในแบบไหนบ้าง

ตัวอย่างเช่น Domain Functional Level มีให้เลือกปรับแต่งได้ 6 ระดับดังต่อไปนี้ (ในแต่ละระดับก็มีความสามารถแตกต่างกัน)

Domain functional level.

1. Windows 2000 mixed (the default in Windows Server 2003) 2. Windows 2000 native

3. Windows Server 2003 interim 4. Windows Server 2003 5. Windows Server 2008 6. Windows Server 2008 R2

ส่วน Forest Functional Level มีให้เลือกปรับแต่งได้ดังต่อไปนี้

1. Windows 2000 (the default in Windows Server 2003 and Windows Server 2008) 2. Windows Server 2003 interim

3. Windows Server 2003 (the default in Windows Server 2008 R2) 4. Windows Server 2008

5. Windows Server 2008 R2

ส่วน Feature ในแต่ละ Level มีให้อ่านตาม Link นี้ครับ

http://technet.microsoft.com/en-us/library/understanding-active-directory-functional-levels(v=ws.10).aspx

(32)

เปิดเครื่องมือ Active Directory Domains and Trusts

เลือก Domain เป้าหมายจากนั้นทําการ Raise Domain Functional Level ให้เป็น Windows Server 2008 R2

การ Raise Forest Functional Level

ทําการ Logon ด้วย Domain Administrator

(33)

Lab1.1 Advance: ติดตั้ง ADDS Role บน Server Core

Objective:

ใน LAB นี้เป็นการเรียนรู้ขั้น Advance ซึ่งเป็นการทดสอบเฉย ๆ นะครับ ทํา LAB นี้จบก็สามารถลบ Virtual Machine นี้ทิ้งไปได้เลย โดย ไม่ต้องเกี่ยวกับ LAB ที่ผ่านมา

Windows Server Core เป็นระบบปฏิบัติการรูปแบบใหม่ที่มีมากับ Windows Server 2008 คุณสามารถเลือกติดตั้งระบบปฏิบัติการใน รูปแบบ Server Core เพื่อใช้ในองค์กรที่เน้นความปลอดภัยสูงมาก

เนื่องจาก Windows Server Core ไม่ติดตั้งระบบ Component, Binary, Services ต่าง ๆ ที่ไม่จําเป็นใช้งาน คุณต้องเลือกติดตั้งเองแบบ Manual ทั้งหมด ทําให้ Windows Server Core มี Attack Surface ที่น้อยมาก อีกทั้งไม่มี Graphic Mode ที่เป็นภาระการประมวลผล ทําให้การภาระของเครื่องน้อยลง โดยเฉพาะการต้องอัพเดท Patch ต่าง ๆ ที่ไม่เกี่ยวข้องกับการใช้งานจริง

(34)

Windows Server 2008 R2 Server Core มีข้อจํากัดในการนําไปใช้งานคือไม่สามารถทํางานได้ทุก Roles เหมือน Windows ที่มี GUI Mode นะครับ ผมได้ List รายการ Roles / Feature ที่ Server Core ทําการสนับสนุนมาได้ดังต่อไปนี้

Roles ที่สามารถเรียกใช้งานได้ในระบบ Windows Server Core 1. Active Directory Certificate Services

2. Active Directory Domain Services

3. Active Directory Lightweight Directory Services (AD LDS) 4. BranchCache Hosted Cache

5. DNS Server

6. Dynamic Host Configuration Protocol (DHCP) Server 7. File Services

8. Hyper-V

9. Print and Media Services 10. Streaming Media Services

11. Web Server (IIS) (including a subset of ASP.NET)

Feature ที่สามารถเรียกใช้ได้ในระบบ Windows Server Core

1. Failover Clustering 2. Multipath I/O

3. Network Load Balancing 4. Quality of Service (QoS)

5. Removable Storage Management

6. Simple Network Management Protocol (SNMP) 7. Subsystem for UNIX-based applications 8. Telnet client

9. Windows Bitlocker Drive Encryption 10. Windows Internet Name Service (WINS) 11. Windows-on-Windows 64-bit (WoW64) 12. Windows PowerShell

13. Windows Server Backup

(35)

ส่วน Windows Server 2012 ก็มีรองรับ Roles / Feature ต่าง ๆ ดังนี้ครับ

http://technet.microsoft.com/en-us/library/jj574158.aspx

สิ่งที่ต้องเตรียมตัวสําหรับ LAB Advance ดังนี้คือ

• ติดตั้ง Windows Server Core ให้เรียบร้อย • Server Name = dc01

• Domain Name = demo.local

Step By Step: ทําการสร้าง Domain Controller ตัวแรกขึ้นมาในระบบโดยใช้ชื่อ dc01.demo.local โดย Windows Server Core Step: 1 ที่ Server Core ให้ใช้เครื่องมือในการตั้งค่าพื้นฐาน sconfig.cmd โดยสามารถพิมพ์คําสั่งนี้ได้ที่ Command line ได้เลย

เครื่องมือ sconfig.cmd รวบรวมคําสั่งที่สําคัญพื้นฐานในการปรับแต่งคอมพิวเตอร์เบื้องต้นมาไว้ให้เรียบร้อยแล้ว

ในที่นี่เราต้องการตั้งค่า Comuter Name ให้กดเลข 2 จากนั้นเลือก Enter

ให้ทําการตั้งค่า Computer Name ตามนัดหมาย ในที่นี้ใช้ว่า core01 จากนั้นทําการ Restart Server ตามที่ได้รับแจ้งเตือน เพื่อให้การ เปลี่ยนชื่อ Server มีผล

(36)

หลังจากที่เครื่อง Server reboot กลับมาเรียบร้อยแล้วให้ทําการตั้งค่า IP Address โดยเลือกตัวเลข 8 จากนั้นกด Enter เลือก Network Interface ที่จะตั้งค่า แล้วเลือก Option 1: Set Network Adapter IP Address เลือก Static IP แล้ว

ทําการตั้งค่า IP Address 192.168.1.10 และ DNS Server = 192.168.1.10 ด้วยเช่นกัน

หลังจากตั้งค่า IP Address เสร็จแล้วระบบจะจากนั้นตั้งค่า DNS Server โดยเลือกตัวเลข 2 แล้วใส่ IP Address 192.168.1.10 (ตัวเอง) เข้าไป

(37)

จากนั้นให้กลับสู่เมนูหลักโดยเลือกเลข 4 และที่เมนูหลักให้ออกจาก Sconfig.cmd โดยเลือกเลข 13

ที่ Command line menu ให้ทําการติดตั้ง DNS Server roles โดยใช้คําสั่ง ocsetup DNS-Server-Core-Role

คําสั่ง DNS-Server-Core-Role เป็น Case Sensitive นะครับ

หมายเหตุ เราสามารถใช้คําสั่ง oclist ในการหาชื่อ Role ที่จะพิมพ์เพื่อสั่งให้ติดตั้งได้ด้วย

ตัวอย่างเช่น oclist >oclist.txt จากนั้นไปตามเปิดไฟล์ oclist.txt ดูครับ จะเป็น role ที่สามารถติดตั้งเลือกใช้งานได้ และพิมพ์คําสั่งของ role ต่าง ๆ ตามนั้นได้เลย

จากนั้นให้พิมพ์คําสั่ง dcpromo เพื่อทําการสร้าง Domain Controller ขึ้นมาตามรูปแบบคําสั่งนี้ครับ

รูปแบบคําสั่งหากต้องการใช้งาน Unattened file แทนที่พิมพ์คําสั่งยาว ๆ ให้พิมพ์ตามด้านล่างนี้แล้ว Save เป็น .txt ไฟล์

[DCINSTALL] AutoConfigDNS=Yes DomainNetBiosName=demo NewDomainDNSName=demo.local ReplicaOrNewDomain=Domain NewDomain=Forest ForestLevel=4 DomainLevel=4 SafeModeAdminPassword=password@1 RebootOnSuccess=Yes

(38)

ตัวอย่างรูปแบบคําสั่ง

dcpromo /unattend:c:\unattend.txt

สรุปสําหรับ บทเรียนที่ 1 Introducing Active Directory Domain Services (AD DS)

ให้ประเมิน และทบทวน LAB ด้วยตัวเองว่าเข้าใจเรื่องต่าง ๆ เหล่านี้ให้ครบถ้วน

1. รู้จักประโยชน์ของการใช้ ADDS

2. สามารถสร้าง ADDS หรือ Domain Controller ตัวแรกในระบบได้ 3. สามารถติดตั้งและปรับแต่ง Server Core ด้วยคําสั่งพื้นฐานได้ 4. สามารถสร้าง Server Core ให้เป็น Domain Controller ได้ 5. รู้จักส่วนประกอบที่สําคัญของ Domain Controller

(39)

Module 2: Administering Active Directory Securely and Efficiently

เป้าหมายการเรียนรู้สําหรับ Module นี้

1. สามารถเข้าใจการใช้งาน Active Directory Administration Tools 2. รู้จักการใช้งาน Least Privilege

3. รู้จักการสร้างและค้นหา Object ใน Active Directory

4. สามารถใช้ PowerShell ขั้นพื้นฐานสําหรับ Active Directory ได้

หลังจากที่เรามี Domain Controller ตัวแรกในระบบแล้ว สิ่งที่ผู้ดูแลระบบต้องรับมือต่อไปคือการบริหารจัดการเพื่อให้ User สามารถ เข้าใช้งานได้ครับ

ใน Module นี้จึงเป็นการเรียนรู้เพื่อใช้งานเครื่องมือต่าง ๆ ที่ ผู้ดูแลระบบจําเป็นจะต้องหัดใช้ ทําความรู้จักไว้

(40)

• Active Directory Users and Computers

เป็นเครื่องมือสําหรับผู้ดูแลระบบ Active Directory ที่จําเป็นใช้บ่อยที่สุด เพื่อใช้จัดการ Function ต่าง ๆ ของทรัพยากรบน Domain เช่น User, Groups, Computers, Printers, และ Share Folder

• Active Directory Sites and Services

เป็นเครื่องมือสําหรับบริหารจัดการ Replication, Network Topology, และบริการต่าง ๆ ที่เชื่อมต่อกันในระดับ Domain , Forest ซึ่งเราจะ เรียนรู้วิธีใช้งานกันใน Module ที่เหลือถัดไป

• Active Directory Domains And Trusts

ใช้ทํางานสําหรับปรับแต่งการเชื่อมต่อ Trust Relationship การจัดการความสัมพันธ์ระหว่างโดเมนที่อยู่ใน Tree เดียวกัน ใช้ปรับแต่งค่า ระดับของ Domain / Forest Functional Level ซึ่งเราจะเรียนรู้วิธีใช้งานกันใน Module ที่เหลือถัดไป

• Active Directory Schema

มีไว้สําหรับการปรับแต่งขั้น Advance เพื่อปรับค่า หรือตรวจสอบค่าของ Object ใน Schema สามารถปรับแต่ง Attributes และ Object class ได้จากเครื่องมือนี้ (ปกติที่ใช้งานบ่อยสุดคือการปรับแต่งเรื่องการตั้งค่ชื่อผู้ใช้งาน ให้เป็น Format ที่เราต้องการ)

Lab2: Administering Active Directory by Using Administrative Tools

ใน LAB นี้เป็นการทําความเข้าใจเรื่องการใช้เครื่องมือพื้นฐานสําหรับสร้าง User / Groups / Computer Object ด้วยเครื่องมือ ต่าง ๆ ที่มีมากับ Windows Server โดย Default

• การสร้าง Administrative Console ขึ้นใช้งานเอง • การใช้งาน User Account Control

หมายเหตุ: ก่อนจะทํา LAB ใน Module 2 ให้เกิดความเข้าใจมากขึ้น ผมได้สร้าง Script ในการ Add User จํานวนมากเข้าไปใน

ระบบ ชื่อว่า module2-add-user.bat อยู่ในไฟล์แนบของเอกสาร pdf นี้ ขอให้ผู้ที่เรียนรู้นําไฟล์ดังกล่าวเข้าไปรันใน Server เพื่อสร้าง User จํานวนมาก และเรียนรู้ในลําดับต่อไป

“อย่าลืม Run “module2-add-user.bat” บนเครื่อง Server dc01.demo.local ก่อนนะครับ ”

(41)

ทําการ Copy ไปวางไว้บน Server แล้วเข้า Command Line โดย Run > Cmd.exe แล้วค่อย Run Script นะครับ อย่า Run โดยการ Double Click (ผู้เขียนต้องการให้เห็นว่า Script Run อะไรไปบ้างทีละช้า ๆ ครับ)

ระหว่าง RUN สังเกตดูต้องไม่มี Error นะครับ ถ้า Error แสดงว่าชื่อ Domain ที่สร้างไม่ตรงกับที่นัดแนะไว้

(42)

เริ่มต้นทํา LAB ดูครับ “การสร้าง Administrative Console ขึ้นใช้งานเอง”

โดยปกติแล้ว หากผู้ดูแลระบบจะใช้งานเครื่องมือต่าง ๆ จะต้องเปิดเข้าไปโดยเลือกที่

(43)

แต่ในสถานการณ์จริง ที่ผู้ดูแลระบบเป็นประจําต้องใช้งานเครื่องมือต่าง ๆ และบ่อย ๆ

ผู้ดูแลระบบ สามารถสร้างเครื่องมือที่ใช้เป็นประจําส่วนตัวได้เอง เราเรียกการใช้งานแบบนี้ว่า Custom Administrative Console ครับ

เราสามารถสร้าง Custom MMC เอาไว้ใช้งานของตัวเองได้ด้วย

และการใช้งาน MMC ต่าง ๆ นั้นเราสามารถใช้เครื่องมือทุกอันด้วย Alternate Credentials

การใช้งาน MMC

MMC หรือ Microsoft Management Console เป็นเครื่องมือหลักที่ดึงเอา Tools ต่าง ๆ ของ Microsoft ออกมาใช้งานในรูปแบบ Shotcut การเรียกใช้งาน MMC สามารถพิมพ์ได้จากคําสั่งที่ menu Run ได้เลยครับตามรูป

(44)

(45)

จากรูปด้านล่าง ผมสร้าง Custom Administrative Console แล้วทําการ Save ไว้ที่ Desktop โดยตั้งชื่อว่า

(46)

(47)

รู้จักเครื่องมือ Active Directory Users & Computers (ADUC) เบื้องต้น

เครื่องมือ Active Directory Users and Computers ต่อไปนี้จะขอเรียกว่า ADUC เป็นเครื่องมือพื้นฐานที่จําเป็นจะต้องใช้งานบ่อยที่สุด ในการจัดการ Object ของ Active Directory และสามารถปรับแต่งให้แสดงผลข้อมูลอื่น ๆ ได้มากกว่า Default ดังนี้

(48)

(49)

เครื่องมือ Active Director Users and Computers เป็นเครื่องมือที่อํานวยความสะดวกในการสร้าง Object ใน Active Directory ต่าง ๆ เหล่านี้ในรูป (แต่ไม่เหมาะกับในกรณีที่ต้องการสร้าง Object พร้อม ๆ กันจํานวนมาก)

ตัวอย่างการสร้าง Object ตามรูปด้านบนคือ Wizard ในการสร้าง User โดยใช้เครื่องมือ GUI Base

Active Directory Administrative Center

(50)

คําสั่งสําหรับเรียกใช้งานผ่าน Command Line = dsac.exe

เป็นเครื่องมือที่มีมาใหม่พร้อมกับ Windows 2008 R2 ซึ่งสร้างมาจากพื้นฐานของคําสั่งจาก PowerShell ซึ่งเป็นอีกทางเลือกนึงในการ เลือกใช้ทํางานกับระบบ Active Directory

การทํางานที่รองรับสําหรับเครื่องมือนี้คือ

• เครื่องมือการสร้าง User ที่ละเอียดกว่า ADUC • Template การ Query ข้อมูลที่ใช้บ่อยดีกว่า ADUC

(51)

ตัวช่วยในการ Query ตามรูปด้านล่าง เหมาะกับการค้นหา Object ในรูปแบบ GUI

(52)

ทดลองใช้งาน Administrative Center ดังต่อไปนี้

ทําการสร้าง User และ Review Properties ทั้งหมด จะเห็นได้ว่าเครื่องมือ Administrative Center มี Properties ที่สามารถมองเห็นได้ จากหน้าจอเดียวได้สวยงามขึ้น

การค้นหา Object ใน Active Directory

สําหรับผู้ดูแลระบบที่มีจํานวน Users / Computers มาก ๆ การค้นหา Object ใน Active Directory เป็นเรื่องสําคัญ สิ่งที่เจอเป็นประจําเช่น

1. พนักงานลาออก จําเป็นต้อง Disable หรือ Deleted User Account นั้น ๆ 2. ต้องการ Assign Network Map Drive ใหม่

3. ต้องการย้าย OU หรือมีพนักงานย้ายฝ่าย ย้ายแผนก 4. มีพนักงานเปลี่ยนชื่อ

5. ต้องการเปลี่ยนชั่วโมงการทํางานของพนักงานนั้น ๆ 6. ต้องการเปลี่ยน Group Member ของพนักงานนั้น ๆ

งานประจําเหล่านี้หากมี User จํานวนไม่มากอยู่ในระบบ Active Directory เราก็สามารถทําได้โดยใช้เครื่องมือ ADUC

แต่จากประสพการณ์การดูแลระบบที่มีจํานวน User มากกว่า 20000 คนขึ้นไป การใช้เครื่องมือแบบ GUI ทําให้การค้นหา Object ใน Active Directory เป็นเรื่องล่าช้าอย่างยิ่ง (ต้องรอจนกว่าเครื่องมือจะ Refresh ครบทุก Object)