การสร้างยูสเซอร์แอคเคานต์

การสร้างยูสเซอร์แอคเคานต์

เราจะเริ่มต้นสร้าง การสร้างยูสเซอร์แอคเคานต์ กัน ซึ่งมีขั้นตอนดังนี้

  1. ที่เครื่องมือ Active Directory Users and Computers ให้คลิกเมาส์ขวาที่คอนเทนเนอร์ Users แล้วเลือกคำสั่ง New > User

  2. ปรากฏหน้าต่าง New Object User ให้พิมพ์ชื่อนามสกุลภาษาไทย หรืออังกฤษก็ได้ แต่ตรง User logon name ควรเป็นภาษาอังกฤษ จากนั้นคลิกปุ่ม Next เพื่อเข้าสู่ขั้นตอนต่อไป

  3. กำหนดรหัสผ่าน และคลิกเลือก User must change password at next logon ให้ยูสเซอร์เปลี่ยนรหัสผ่านเมื่อเข้าล็อกออน จากนั้นคลิกปุ่ม Next เพื่อเข้าสู่ขั้นตอนต่อไป

  4. ปรากฏหน้าต่างสรุปข้อมูลของยูสเซอร์ที่จะสร้างใหม่ ให้คลิกปุ่ม Finish

  5. ในคอนเทนเนอร์ Users จะแสดงออบเจ็กต์ของยูสเซอร์แอคเคานต์ที่สร้างขึ้นใหม่

User-account

กำหนดช่วงเวลาการล็อกออน

การสร้างยูสเซอร์แอคเคานต์ เพื่อความปลอดภัยของระบบ เราสามารถจะกำหนดช่วงเวลาการล็อกออนเข้าโดเมนของยูสเซอร์แต่ละคน ดังตัวอย่างเราจะกำหนดช่วงเวลานการล็อกออน ดังนี้

– วันจันทร์ – ศุกร์ สามารถจะล็อกออนเข้ามาได้ตั้งแต่เวลา 7:00 – 20:00 น.

– วันเสาร์ สามารถจะล็อกออนเข้ามาได้ตั้งแต่เวลา 8:00 – 16:00 น.

– วันอาทิตย์ ห้ามยูสเซอร์ทั่วไปล็อกออนเข้ามา ยกเว้นยูสเซอร์ระดับผู้บริหาร เช่น หัวหน้าแผนก ผู้จัดการ และ กรรมการผู้จัดการ เป็นต้น

  1. ที่เครื่องมือ Active Directory Users and Computers ให้ดับเบิลคลิกยูสเซอร์แอคเคานต์ที่ต้องการกำหนดช่วงเวลาการล็อกออนเพื่อเปิดหน้าต่าง Properties
  2. คลิกแท็บ Account และคลิกปุ่ม Logon Hours เพื่อกำหนดช่วงเวลาในการล็อกออน
  3. ปรากฏหน้าต่าง Logon Hours for < ชื่อแอคเคานต์ > ให้เริ่มจากการกำหนดช่วงเวลาห้ามล็อกออนก่อน โดยให้ชี้เมาส์ไปตรงช่องสี่เหลี่ยมวันจันทร์ (มุมซ้ายด้านบน) คลิกเมาส์ค้างไว้ แล้วลากเมาส์ลงมาถึงวันอาทิตย์ (มุมขวาด้านล่าง) ปล่อยเมาส์ จากนั้นคลิกปุ่ม Logon Denied จะเห็นพื้นที่ทุกช่องเป็นสีขาวหมด หมายความว่า เริ่มแรกยูสเซอร์นี้ไม่สามารถล็อกออนเวลาใดได้เลย
  4. คลิกเมาส์ค้างไว้ที่วันจันทร์ตรงช่วงเวลา 07:00 น. แล้วลากเมาส์ลงมาจนถึงวันศุกร์ตรงช่วงเวลา 20:00 น. แล้วปล่อยเมาส์ จากนั้นคลิกปุ่ม Logon Permitted จะเห็นว่าพื้นที่ที่กำหนดไว้เป็นสีน้ำเงิน หมายความว่ายูสเซอร์นี้จะล็อกออนได้ในช่วงเวลาดังกล่าว

ข้อมูลที่เกี่ยวข้องกับคอมพิวเตอร์

ข้อมูลที่เกี่ยวข้องกับคอมพิวเตอร์

ข้อมูลที่เกี่ยวข้องกับคอมพิวเตอร์

Domain functional Level หมายถึง การกำหนดระบบปฏิบัติการบนเซิร์ฟเวอร์ DC ทุกเครื่องในระดับ Active Directory Domain ให้ใช้งานระบบปฏิบัติการไม่ต่ำกว่าที่ได้กำหนดไว้ใน Domain functional Level

ข้อมูลที่เกี่ยวข้องกับคอมพิวเตอร์ หมายความว่า หลังจากที่เราได้ติดตั้งเครื่อง DC (Domain Controller) เรียบร้อยแล้ว Feature การใช้งานต่างๆ สามารถรองรับการทำงานของ Windows Server เวอร์ชันใดบ้าง เช่น ถ้าเลือก Forest Functional Level เป็น Windows Server 2003 จะทำให้ Windows Server 2000 ที่เป็น DC อยู่ในฟอเรสต์นี้ สามารถใช้งานบาง Feature และทำงานร่วมกันได้ แต่ถ้าหากเลือก Functional Level เป็น Windows Server 2008 จะสามารถทำงานร่วมกับ Windows Server 2003 ที่เป็น DC อยู่ในฟอเรสต์ได้ แต่ไม่สามารถทำงานร่วมกับ Windows Server 2000 ได้ สรุปคือ หากเลือก Forest Functional Level เป็นแบบใด จะสามารถทำงานรองรับกับ Windows Server เวอร์ชันที่ต่ำกว่านี้ได้เพียง 1 เวอร์ชัน

Computer

 

ตรวจสอบ Primary Domain Controller

ที่หน้าต่าง Server Manager โดยเลือกแท็บ Local Server ในกรอบ Properties จะเห็นชื่อโดเมนเป็น siam2019.com ให้คลิกที่ลิงก์ชื่อโดเมนนั้น จะแสดงหน้าจอ System Properties ที่แท็บ Computer Name แสดงรายละเอียดชื่อเครื่องและโดเมนให้ทราบ เช่น Capricorn.siam2019.com

ตรวจสอบ Event Viewer

เราสามารถตรวจสอบเหตุการณ์ต่างๆ ที่เกิดขึ้นในขณะติดตั้ง Active Directory ได้ว่ามีข้อผิดพลาดอะไรหรือไม่ ในหน้าต่าง Server Manager เลือกเมนู Tool>Event Viewer จะปรากฏหน้าต่างของ Event Viewer ที่ด้านซ้ายมือจะมีไอเท็มของ Server Role ให้ดับเบิลคลิกเหตุการณ์ในกรอบด้านขวาเพื่อแสดงรายละเอียด

รู้จักกับ Global Catalog

Windows Server ได้กำหนดให้โดเมนคอนโทรลเลอร์ (DC) เครื่องแรกที่ติดตั้งในฟอเรสต์นั้น เป็น Global Catalog Server และผู้ดูแลระบบสามารถจะติดตั้งโดเมนคอนโทรลเลอร์เครื่องอื่นให้เป็น Global Catalog Server เพื่อช่วยงานเครื่องแรกได้

Active Directory ได้ออกแบบให้ Global Catalog เป็นที่รวบรวมค่าแอตทริบิวต์ (Attribute) ของแต่ละออบเจ็กต์ที่มีการเรียกใช้งานถี่มาก เช่น แอตทริบิวต์ชื่อ นามสกุล เพศ อาชีพ ยูสเซอร์ ล็อกออน ชื่อเครื่องพิมพ์ ฯลฯ

โดยในแต่ละฟอเรสต์จะต้องมี Global Catalog Server อย่างน้อย 1 เครื่อง Global Catalog จึงเป็นเสมือนดัชนี (index) ที่ให้บริการแก่ยูสเซอร์ในการค้นหาออบเจ็กต์ต่างๆ ภายในโดเมนได้อย่างรวดเร็ว เครื่องโดเมนคอนโทรลเลอร์อื่นที่อยู่ในฟอเรสต์เดียวกันจะต้องส่งค่าแอตทริบิวต์ของออบเจ็กต์ที่ใช้งานถี่ไปให้เครื่อง Global Catalog Server เก็บค้นการายชื่อเครื่องพิมพ์สีบนโดเมนของตนว่ามีอยู่กี่เครื่องและมีความสามารถในการพิมพ์สองหน้าด้วยหรือไม่? คอมพิวเตอร์ที่เป็นไคลเอนต์จะเข้าไปค้นหาออบเจ็กต์นั้นในเครื่อง Global Catalog Server เพียงเครื่องเดียวเท่านั้น

Active Directory Domain Services

Active-Directory

Active-Directory เป็นเครื่องมือที่ติดมากับ Windows Server มีหน้าที่จัดการทรัพยากรในระบบจากจุดศูนย์กลาง องค์กรหรือหน่วยงานที่มียูสเซอร์จำนวนมากต้องใช้ Active Directory ทำงานเพื่อช่วยลดภาระค่าใช้จ่ายในการบริหารจัดการและเพิ่มความปลอดภัยให้กับระบบเครือข่ายในอดีต Windows Server 2000 / 2003 จะเรียกว่า Active Directory (AD) ตั้งแต่ Windows Server 2008 จะเรียกว่า Active Directory Domain Services (AD DS) ซึ่งมีหน้าที่เกี่ยวกับการพิสูจน์ตัวตน (Authentication & Authorization) และการเข้าถึงทรัพยากรต่างๆ บน Active Directory ซึ่งก็คือการ Identity and Access เป็นหลัก Active Directory ของ Windows Server 2012 / 2012 R2 มีบริการหลายแบบด้วยกัน คือ

 

Active Directory Domain Service (AD DS) เป็นระบบฐานข้อมูลอเนกประสงค์จะจัดเก็บรายชื่อยูสเซอร์

(Username+Password), รายชื่อทรัพยากรต่างๆ (Computer-Printer), คุณสมบัติ (Attributes) ของออบเจ็กต์ และรายชื่อ Share Folder เอาไว้ในฐานข้อมูลส่วนกลาง (Active Directory Database)

 

Active Directory Certificate Services (AD CS)

เป็นบริการที่เกี่ยวกับการออกกุญแจ (Key) ซึ่งมีวิธีการทำงานในรูปแบบ Public Key Infrastructure (PKI) มีหน้าที่ในการออก Digital Certificate ให้ยูสเซอร์เพื่อนำไปแสดงความมีตัวตนเหรือพิสูจน์ตนเอง เพื่อความปลอดภัยในการรับ-ส่งข้อมูล AD CS จึงเป็นเสมือน Certificate Server ที่เป็น Private ใช้งานภายในองค์กร สามารถจะเข้ารหัสลับใบ Certificate สำหรับส่งข้อมูล

Active-Directory

Active Directory Lightweight Directory Services (AD LDS)

สนับสนุนการทำงานสำหรับแอพพลิเคชันที่เป็น Directory-enabled โดยไม่ต้องขึ้นกับ AD DS และยังสามารถรันบนเซิร์ฟเวอร์สมาชิก หรือบนเซิร์ฟเวอร์เดียวได้ นอกจากนี้ยังสามารถเรียกใช้หลายอินสแตนซ์ของ (AD LDS) แต่ละตัว พร้อมด้วยการจัดการอย่างเป็นอิสระที่มีสกีมาไว้ในเซิร์ฟเวอร์เดียว

Active Directory Rights Management Services (AD RMS)

เป็นเทคโนโลยีด้านการรักษาความปลอดภัยซึ่งจะมีการเข้ารหัส การออกใบรับรอง และการพิสูจน์สิทธิ์ AD RMS จึงเป็นตัวช่วยจัดการวางแผนเพื่อควบคุม การเข้าถึงข้อมูลสำคัญต่างๆ ภายในองค์กร AD RMS ออกแบบมาเพื่อป้องกันข้อมูลของ Exchange Server และ Sharepoint รั่วไหล

 

Active Directory Federation Services (AD FS)

เป็นบริการที่รักษาความปลอดภัยข้อมูลส่วนตัว การลงชื่อเข้าเว็บในครั้งเดียว (Web single sign-on : SSO) และช่วยให้ง่ายขึ้นสำหรับผู้ใช้ที่ต้องการเข้าถึงแอพพลิเคชันภายในองค์กร (ที่รักษาความปลอดภัยด้วย AD FS), ในองค์กรภายนอก หรือในคลาวด์