หมวดหมู่: คอมพิวเตอร์เบื้องต้น

Fine Grained Password Policy

กำหนดนโยบายรหัสผ่าน ใช้สำหรับกำหนดนโยบายการตั้งรหัสผ่านและการล็อกยูสเซอร์แอคเคานต์ในแต่ละกรุ๊ป ซึ่งต่างจากการกำหนดนโยบายรหัสผ่านด้วย GPO โดยมีคุณสมบัติดังนี้

– Fine Grained Password Policy กำหนดนโยบายรหัสผ่านให้กับกลุ่มยูสเซอร์ แต่ใช้กับ OU ไม่ได้

– GPO กำหนดนโยบายรหัสผ่านให้กับคอนเทนเนอร์และ OU แต่ใช้กลุ่มไม่ได้

– กำหนดนโยบายรหัสผ่าน ด้วย Fine Grained Password Policy จะต้องกำหนดนโยบายให้กับ PSO (Password Setting Object) และบังคับใช้กับยูสเซอร์หรือกรุ๊ป

การกำหนดนโยบายรหัสผ่านให้กับ PSO (Password Setting Object)

1. ในหน้าต่าง Server Manager เลือกเมนู Tools > Active Directory Administrative Center
2. ปรากฏเครื่องมือ Active Directory Administrative Center จากนั้นเลือก Manage > Add Navigation Nodes
3. ปรากฏหน้าต่าง Add Navigation Nodes ให้เลือกชื่อโดเมน (ชื่อโดเมน) > System > Password Setting Container และคลิก [>>] จากนั้นคลิกปุ่ม OK
4. กลับไปที่เครื่องมือ Active Directory Administrative Center ให้เลือกโดเมน (ชื่อโดเมน) – System – Password
5. ที่กรอบ Tasks เลือกคำสั่ง New / Password – Settings
6. แสดงหน้า Create Password Settings ให้ตั้งชื่อนโยบายการกำหนดรหัสผ่านนี้และกำหนดค่านโยบายตามต้องการ จากนั้นคลิกปุ่ม OK

เนื้อหาแสดงนโยบายต่างๆ ของ Password Setting Object

(นโยบาย : ความหมาย : รูปแบบข้อมูล)

Name : กำหนดชื่อของ Password Setting Object : String (สตริง)

Precedence : ลำดับความสำคัญ : Integer (เลขจำนวนเต็ม)

Enforce minimum password length : ความยาวน้อยที่สุดของรหัสผ่าน : Integer (เลขจำนวนเต็ม)

Enforce password history : กำหนดไม่ให้รหัสผ่านใหม่ซ้ำกับรหัสผ่านเก่า โดยจะจำรหัสผ่านเก่าไว้ตามจำนวนที่ให้กำหนด : Integer (เลขจำนวนเต็ม) (ค่าดีฟอลต์ 24 ครั้ง)

Password must meet complexity requirements : รหัสผ่านต้องมีความซับซ้อน คือประกอบด้วยตัวเลข (0 – 9) ตัวอักษรพิมพ์ใหญ่ (A – Z) และพิมพ์เล็ก (a – z) รวมทั้งไม่ให้เหมือนกับชื่อแอคเคานต์ : Boolean (TRUE)

Store password using reversible encryption : กำหนดให้ระบบปฏิบัติการเก็บรหัสผ่านโดยเข้ารหัสแบบย้อนกลับ (ค่าดีฟอลต์ คือ Disabled) : Boolean (FALSE) 

Protect from accidental deletion : ป้องกันการลบโดยไม่ตั้งใจ : Boolean (TRUE)

Enforce minimum password age : อายุต่ำสุดของรหัสผ่านก่อนจะถูกบังคับให้เปลี่ยนรหัสผ่านครั้งต่อไป : Integer (เลขจำนวนเต็ม) (ค่าดีฟอลต์ 2 วัน)

Enforce maximum password age : อายุสูงสุดของรหัสผ่านก่อนจะถูกบังคับให้เปลี่ยนรหัสผ่านใหม่ : Integer (เลขจำนวนเต็ม) (ค่าดีฟอลต์ 30 วัน)

สนับสนุนโดย แทงบอลออนไลน์ ฝากขั้นต่ำ 100

Active Directory Domain Services จะประกอบด้วย 2 ส่วนใหญ่ๆ ซึ่งทั้ง 2 ส่วนจะมีการทำงานร่วมกัน คือ Identity และ Access

Identity คือ หลักฐานประจำตัวของบุคคลหรือหลักฐานของสิ่งใดสิ่งหนึ่ง

คอมพิวเตอร์เบื้องต้น ถ้านำมาใช้กับคอมพิวเตอร์จะเกี่ยวกับ User account และ Computer account คอมพิวเตอร์แต่เครื่องจะมีฐานข้อมูลเป็นของตัวเอง คือ SAM (Security Account Manager) Database เอาไว้เก็บ Identity ต่างๆ เหล่านี้ จึงเป็นการเก็บข้อมูลแบบกระจัดกระจายไม่เป็นระบบ ทำให้ไม่สะดวก และยากในการบริหารจัดการ ทำให้ประสิทธิภาพการทำงานไม่สมบูรณ์ ไมโครซอฟท์จึงออกแบบ Active Directory Database ขึ้นมาให้เป็นระบบฐานข้อมูลส่วนกลางบน Windows 2000 Server เพื่อมาช่วยจัดการข้อมูลต่างๆ ให้เป็นระบบ และสามารถใช้งานได้อย่างสะดวกรวดเร็วมากยิ่งขึ้น

Active Directory Domain Services ทำการเก็บ Identity ของยูสเซอร์และออบเจ็กต์ทั้งหมดไว้ใน Active Directory Database เพื่อความปลอดภัยและง่ายในการบริหารจัดการ ยูสเซอร์สามารถจะล็อกอินเข้าระบบจากคอมพิวเตอร์เครื่องไหนก็ได้ แต่จะต้องผ่านการพิสูจน์ตัวตน (Authentication) เสียก่อน

Access คือ การเข้าถึงข้อมูล

สำหรับบนคอมพิวเตอร์จะเกี่ยวกับการจับคู่ระหว่าง Identity กับสิทธิ์ในการเข้าถึงข้อมูลโดยจะใช้ ACL (Access Control List) เป็นขอบเขตการอนุญาตให้ผู้ใช้งานเข้าถึงและเรียกใช้งานข้อมูลหรือทรัพยากรได้ แต่สำหรับ Access บน Windows Server 2012 R2 จะใช้ DACLs (Dynamic Access Control Lists) เป็นตัวจัดการด้วยการจับคู่คุณสมบัติของ Identity กับทรัพยากรในระบบ เช่น ไฟล์ เครื่องพิมพ์

ส่วนประกอบของ Active Directory

Active Directory เป็นฐานข้อมูลอเนกประสงค์ที่ใช้เก็บรายละเอียดบัญชีรายชื่อ – คุณสมบัติยูสเซอร์, กรุ๊ปยูสเซอร์, คุณสมบัติของทรัพยากร และแอพพลิเคชัน ฯลฯ โดยจะมองทรัพยากรเป็นเหมือนกับวัตถุ (Object) มี OU (Organization Unit) สำหรับเก็บออบเจ็กต์ต่างๆ เอาไว้ มีการจัดลำดับชั้น (Hierarchy) คล้ายๆ โครงสร้างแบบป่า – ต้นไม้ (Forest – Tree) ที่ใช้เก็บไฟล์ – โฟลเดอร์ต่างๆ ฐานข้อมูลเหล่านี้จะอยู่บนเครื่อง Windows Server 2012 R2 ที่เป็นโดเมนคอนโทรลเลอร์ (Domain Controller)

ออบเจ็กต์ (Object) เป็นส่วนที่เล็กที่สุดของไดเรกทอรี

ออบเจ็กต์จะรวมไปถึงยูสเซอร์แอคเคานต์ เครื่องพิมพ์ แชร์โฟลเดอร์ กรุ๊ปยูสเซอร์ ซึ่งออบเจ็กต์แต่ละตัวจะมีแอตทริบิวต์ (Attribute) ในการแสดงคุณสมบัติของออบเจ็กต์นั้นๆ เช่น ออบเจ็กต์ยูสเซอร์แอคเคานต์จะมีแอตทริบิวต์เป็น FirstName, LastName และออบเจ็กต์ยังใช้เก็บข้อมูลของ Identity แต่ละตัวอีกด้วย คอมพิวเตอร์เบื้องต้น

เป็นการติดตั้งคุณสมบัติในการทำงานแบบสมบูรณ์ ที่มาพร้อมกับส่วนติดต่อผู้ใช้งานและเครื่องมือในการกำหนดค่าต่างๆ เป็นกราฟฟิก ทำงานได้ง่ายและสะดวก แต่ปลอดภัยน้อยกว่าแบบ Server Core เหมาะสำหรับผู้เริ่มต้นศึกษา

ติดตั้งแบบServer-with-a-GUI

การติดตั้ง Windows Server 2012 R2 สามารถติดตั้งบนเครื่องเก่าที่เคยติดตั้ง Windows Server  รุ่นก่อนหน้านี้ได้ หรือติดตั้งลงบนเครื่องเปล่าที่ยังไม่ได้ลง Windows Server ใดๆ ไว้เลยก็ได้ ซึ่งขอแบ่งประเภทการติดตั้งออกเป็น 2 แนวทาง ดังนี้

ติดตั้งแบบลงใหม่หมด (Clean install) วิธีนี้เหมาะสำหรับใช้กับเครื่องเปล่าที่ยังไม่เคยติดตั้ง Windows Server ใดๆ มาก่อน หรือต้องล้าง Windows Server รุ่นเดิมที่ไม่สามารถอัพเกรดได้ออกแล้วติดตั้งให้กลายเป็น Windows Server 2012 R2 เพียงอย่างเดียว

ติดตั้งแบบอัพเกรด (Upgrade) อัพเกรดจากเครื่องที่ใช้งาน Windows Server รุ่นเก่า เช่น Windows Server 2008/2008 R2/2012 โดย Windows Server แต่ละรุ่นจะสามารถอัพเกรดเป็น Windows Server 2012 R2 รุ่นต่างๆ กัน

ติดตั้ง Windows Server 2012 R2 ลงเครื่องใหม่

ในส่วนนี้เป็นการติดตั้งแบบ Clean Install ซึ่งเป็นการติดตั้งบนเครื่องใหม่ หรือหากเป็นเครื่องที่มีการติดตั้ง Windows Server เดิมอยู่แล้วจำเป็นต้องล้างเครื่องใหม่ การติดตั้งแบบนี้จะเริ่มต้นทุกอย่างใหม่หมด ทำให้ Windows Server ทำงานลื่นไหล เพราะไม่มีไฟล์ขยะใดๆ 

ติดตั้ง Windows Server 2012 R2 แบบอัพเกรด

เป็นการใช้ฮาร์ดแวร์และคุณสมบัติการทำงานหลักบนเซิร์ฟเวอร์ (Roles) ที่ได้กำหนดไว้ใน Windows Server รุ่นเก่า โดยจะย้ายไฟล์ระบบ การกำหนดค่า ไดรเวอร์และข้อมูลต่างๆ นำไปใช้งายอยู่ใน Windows Server 2012 R2 รุ่นใหม่ โดยที่ไม่ต้องล้างเครื่องแล้วมากำหมดค่าใหม่

ติดตั้งแบบ Server Core

การติดตั้งและใช้งาน Windows Server ในรูปแบบนี้จะมีความปลอดภัยต่อระบบสูง แต่การกำหนดค่าให้ระบบจะทำผ่าน Command Line ซึ่งเหมาะกับผู้ดูแลระบบที่มีประสบการณ์ ส่วนการติดตั้งนั้นสามารถทำได้ด้วยวิธีการลงเครื่องใหม่และวิธีการอัพเกรด

ติดตั้งแบบ Server Core ด้วยวิธีการลงเครื่องใหม่

เป็นการติดตั้งในเครื่องที่ยังไม่มี Windows Server หรือล้างฮาร์ดดิสก์ลง Windows Server ใหม่

ติดตั้งแบบ Server Core ด้วยวิธีการอัพเกรด

เนื้อหาในหัวข้อ ติดตั้งแบบServer-with-a-GUI ด้วยวิธีการอัพเกรด ได้กล่าวถึงรุ่นต่างๆ ของ Windows Server ที่รองรับการอัพเกรด ซึ่งหาก Windows Server ในเครื่องของเราเป็นแบบ Server Core ให้ดูรุ่นที่สามารถอัพเกรดเป็น 2012 R2 ได้ ซึ่งขั้นตอนการติดตั้งแบบอัพเกรดให้ทำเหมือนกับการติดตั้งแบบลงเครื่องใหม่ โดยต่างกันแค่ให้เลือกเป็นแบบอัพเกรด