· ที่ Domain Controller โดยปกติ จะทำการอัพเดทค่า Settings ที่เปลี่ยนแปลงบน DC ทุก ๆ 5 นาที
· สำหรับเครื่อง Workstation จะทำการอัพเดทค่าที่เปลี่ยนแปลงบน GPO ทุก ๆ 90-120 นาที (โดยพื้นฐานจะ 90 นาที แต่อาจจะมีค่า Delay เพื่อลดความคับคั่งบนเครือข่ายอีกประมาณ 30 นาที โดยรวมแล้วค่าของ GPO ที่จะถูกอัพเดทโดยอัตโนมัติ จะไม่เกิน 120 นาที
การบังคับรอบของการอัพเดท GPO สามารถปรับแต่งเพิ่มเติมได้ที่ “Group Policy refresh interval”
หากตั้งค่าต่ำเกินไปจะทำให้มีผลถึงประสิทธิภาพของ Server และ Network ควรมีการประเมิณให้เหมาะสมกับการใช้งานจริงในองค์กร
หาก ปรับค่าเป็น 0 จะทำให้เครื่องมีการโหลด Policies ใหม่ ทุก ๆ 7 วินาทีซึ่งเป็นอันตรายต่อระบบอย่างมากควรระวังจุดนี้ไว้ด้วยครับ
อ้างอิงจาก http://support.microsoft.com/kb/203607
การปรับแต่งค่าในการอัพเดท Policy
TIP: ”Group Policy (GPO) เป็นเครื่องมือที่ช่วยให้ผู้ดูแลระบบสามารถบริหารจัดการ Computers / Users / Object จากจุดศูนย์กลางที่เดียวได้อย่างสะดวกสบาย” |
LAB Exercise 1: เตรียมระบบเพิ่มเติม
- เตรียมเครื่อง Windows XP 1 เครื่อง โดยการ Join Domain
- New SID
- BackInfo.exe
1.1 การนำ GPO ไปใช้งานจริงกับระบบ Enterprise.
Group Policy สามารถนำไปบริหารจัดการระบบที่เป็น Windows 2000 ขึ้นไป โดยที่หากจะนำ GPO มาใช้งานในระบบ Network ขนาดใหญ่นั้น จำเป็นจะต้อง Implement ระบบ Active Directory และ ระบบ DNS ขึ้นมาก่อน
ผลของการบังคับใช้
LGPO = Local Group Policy Object เป็น Policy ที่อยู่บนเครื่องคอมพิวเตอร์เครื่องนั้น ๆ เป็น GPO ที่อยู่ใน Level ต่ำที่สุด สามารถถูกเขียนทับโดย GPO ที่อยู่เหนือกว่าเสมอ
การบังคับใช้ Policy นั้นมีโหมดให้เลือกปรับอยู่ 3 โหมดด้วยกันดังต่อไปนี้
§ ENABLE: เป็นการเปิดใช้ Option นั้นๆ ให้ Active ขึ้นมา
§ DISABLE: เป็นการปิดการใช้งานของ Option นั้น ๆ
§ Not Configured: ค่าและความหมายนั้น ๆ ไม่ถูกนำมาใช้งาน (ต่างจาก Disable คือ อาจถูกบังคับ Enforce จากค่าที่อยู่ด้านบนได้)
TIP: ค่าใน Default ใน Sysvol Folder Default Domain Policy = 31B Default DC Policy = 6AC |
หน้าตาของการเลือกบังคับใช้ Not Configured | Enable | Disable
1.2 ลำดับการบังคับใช้ GPO ในระบบ Active Directory
GPO LINK สามารถนำไปสั่งการควบคุมได้ดังต่อไปนี้
§ Local Computer
§ Site บังคับที่ระดับ Site จะมีผลทั้ง Computer และ Users ที่อยู่ใน Site นั้น
§ Domain บังคับที่ระดับ Domain จะมีผลทั้ง Computer และ Users ที่อยู่ใน Domain นั้น
§ Organizational บังคับที่ระดับ OU จะมีผลทั้ง Computer และ Users ที่อยู่ใน OU นั้น
LAB Exercise 2: ความแตกต่างในการบังคับใช้ GPO ระหว่าง Users Policy และ Computer Policy
1. สร้าง OU ดังต่อไปนี้ Sale / IT / HR
2. สร้าง Users แล้วนำไปใส่ประจำ OU ไว้ Sale01, Sale02, IT01, IT02
3. บังคับใช้ GPO Firewall ที่ OU Sale / สังเกตุการเปลี่ยนแปลง Firewall ที่ Client
4. ย้ายเครื่อง XP01 ให้มาอยู่ใน OU Sale / สังเกตุการเปลี่ยนแปลง Firewall ที่ Client
5. Pre-stage Join Domain XP02 ที่ OU Sale
1.3 ทำความรู้จักกับ GPO Default Domain Controllers Policy
เพื่อให้เกิดความมั่นใจว่า Security ต่าง ๆ ของ DC ทุกตัวจะมีค่าเท่ากัน และไม่ควรย้าย DC ออกมาจาก OU Domain Controller เป็นอันขาด
หมายเหตุสำคัญ
Default Domain Controller Policy GPO ค่าที่ควรตั้งใน GPO นี้คือ
1. Local Policy
§ Audit Policy
§ User Right Assignment
§ Security Options
2. Event Log Setting
§ Maximum Log Size for DC
§ Preventing guest access of domain controller Logs
§ Whether logs are retained and the retention method used
Microsoft แนะนำให้แก้ไขค่า Default DC Policy เฉพาะ Users Right กับ Audit Policy เท่านั้น
1.4 ทำความรู้จักกับ GPO Default Domain Policy
หมายเหตุสำคัญ
Default Domain Policy ควรมีไว้เพื่อทำการแก้ไขค่าดังกล่าวนี้เท่านั้น
1. Password Policy
2. Account Lockout Policy
3. Kerberos Policy
หากต้องการปรับแต่งค่าอย่างอื่น MS แนะนำว่าควรสร้าง GPO ขึ้นมาใหม่ไม่ควรปรับแต่งค่า Default GPO มากเกินไป
ค่าของ Default Domain Policy ไม่สามารถบังคับใช้
1. Accounts: Rename Administrator Account
2. Accounts: Rename Guest Account
3. Network Security: Force Logoff When Logon Hours Expire
4. Network Access: Allow Anonymous SID/NAME Translation
1.5 ทำความรู้จักกับ เครื่องมือบริหารจัดการ GPO
LAB Exercise 3: ติดตั้ง GPMC ลงไปในเครื่อง WS2003.DEMO.COM
– เปรียบเทียบก่อนและหลังการติดตั้งลงไป
– GPMC สามารถลงได้ทั้งที่ WS2003 และ XP
– วิธีการเข้าถึง GPMC ผ่านทาง gpmc.msc
PDC Emulator (Primary Domain Controller) จะทำหน้าที่เป็นตัวหลักในการอัพเดท GPO
PDC Emulator เป็นตัวสำคัญมากในการติดต่อเพื่อ Create / Update / Delete GPO ดังนั้นการเปลี่ยนแปลง GPO ควรแน่ใจว่าจัดการอยู่บนตัว PDC เราสามารถเช็คได้จาก “Change Domain Controller”
Group Policy Management Console (GPMC)
– install
– create GPO
– link GPO
– Delegating Privilege for GPO / Security Permission / Read / Edit Settings / Deleted, Modify Security
ตัวอย่างการเปลี่ยน Domain Controller สำหรับใช้งาน GPO.
แสดงวิธีการสมมุติ Create and Link GPO ที่
– Site
– Domain
– OUs
การบริหารจัดการเรื่อง Delegate
GPO สามารถ Assign Security Permission ได้ เหมือนกับการ Delegation อย่างหนึ่ง
ไอเดียของการ Assign Security และ Delegation คือ ?
– เช่นการ Deploy ที่ไม่รู้ปลายทาง
– และการแบ่งงานทำเช่น NWS / Security Role
การ Remove และ Delete GPO
แสดงความแตกต่างของการ Link / Create / Remove / Deleted GPO
Local Group Policy (GPEDIT.MSC)
เราสามารถบริหารจัดการ Local GPO ผ่านท่าง Remote ได้ด้วยจาก 2 ทาง
Gpedit.msc /gpcomputer:”Remote computer”
ตัวอย่าง gpedit.msc /gpcomputer: xp01.demo.com
และจากทาง MMC > Add Snap-in GPO Editor > เลือกคอมพิวเตอร์ปลายทาง
ตัวอย่างการเรียก Local GPO ผ่านทาง Remote
LAB Exercise 4: ลองเรียก LGPO ของเครื่อง XP01 มาเพื่อแก้ไข
1. Disable Run Notepad
2. ทดสอบการใช้งาน Notepad
Resultant Set of Policy (RSoP)
Gpupdate
เป็นคำสั่งที่เอาไว้ใช้บังคับให้เครื่องปลายทางที่สั่งคำสั่งนี้มีผลในการโหลด Policy มาใหม่จาก Server
/target:computer or /target:user เป็นการเลือกบังคับให้มีผลในระดับ Users หรือ Computer เท่านั้น
/wait:{Value} สั่งให้รอรอบในการอัพเดทจำนวนตัวเลขเป็นเวลาหน่วยเป็นวินาที
/logoff ใช้เพื่อสั่งให้ทำการ Reload Policy มาเก็บและทำให้มีผลใช้งานเมื่อ Users ทำการ Log In ครั้งใหม่เท่านั้น
/boot สั่งให้ทำการโหลด Policy ใหม่พร้อมกับทำการ Reboot เครื่อง
/force ทำการโหลด Policy ใหม่ทั้งหมดพร้อมบังคับใช้ทันที
1.6 การค้นหาและเลือกบังคับใช้ Search and Filter GPO.
ปัญหาประจำที่เกิดขึ้นในการบังคับใช้ GPO คือการค้นหาว่า GPO บังคับใช้ไปที่ไดบ้าง และ หากต้องการบังคับใช้ GPO นี้เฉพาะส่วนโดยยกเว้น Users บางคน ????
เทคนิคการค้นหา GPO, Link และค่าที่ใช้งานอยู่
เทคนิคการ Filter ด้วย Security Settings.
การ Filter ด้วย WMI
WMI Filter – ตัวอย่างที่ 1
เป็นคำสั่งเช็ค Disk Space C: และ D: drives ก่อนการ Deploy GPO
SELECT * FROM Win32_LogicalDisk WHERE (Name = ” C:” OR Name = ” D:” ) AND
DriveType = 3 AND FreeSpace > 20000000 AND FileSystem = ” NTFS”
Note 1: DriveType value = 3 means a local disk
Note 2: 20000000 = 20MB.
Note 3: Your Keyword – Win32_LogicalDisk
WMI Filter – ตัวอย่างที่ 2
Select * from Win32_OperatingSystem where Caption = ” Microsoft Windows XP
Professional”
Note 1: The Keyword is Win32_OperatingSystem
1.7 การใช้งาน Group Policy Inheritance.
- Change Link Order
อันที่มีเลขน้อยจะโหลดทีหลังสุด !
- Override Inheritance
- Block Inheritance
- Enforce Inheritance
- Changing The Default refresh interval
- Enabling / Disabling policy object Processing completely or by setting category
- Changing the processing preference for user and computer settings