ข้อควรจำของ GPO คือ

0
7696

· ที่ Domain Controller โดยปกติ จะทำการอัพเดทค่า Settings ที่เปลี่ยนแปลงบน DC ทุก ๆ 5 นาที

· สำหรับเครื่อง Workstation จะทำการอัพเดทค่าที่เปลี่ยนแปลงบน GPO ทุก ๆ 90-120 นาที (โดยพื้นฐานจะ 90 นาที แต่อาจจะมีค่า Delay เพื่อลดความคับคั่งบนเครือข่ายอีกประมาณ 30 นาที โดยรวมแล้วค่าของ GPO ที่จะถูกอัพเดทโดยอัตโนมัติ จะไม่เกิน 120 นาที

การบังคับรอบของการอัพเดท GPO สามารถปรับแต่งเพิ่มเติมได้ที่ “Group Policy refresh interval”
หากตั้งค่าต่ำเกินไปจะทำให้มีผลถึงประสิทธิภาพของ Server และ Network ควรมีการประเมิณให้เหมาะสมกับการใช้งานจริงในองค์กร

หาก ปรับค่าเป็น 0 จะทำให้เครื่องมีการโหลด Policies ใหม่ ทุก ๆ 7 วินาทีซึ่งเป็นอันตรายต่อระบบอย่างมากควรระวังจุดนี้ไว้ด้วยครับ

อ้างอิงจาก http://support.microsoft.com/kb/203607

การปรับแต่งค่าในการอัพเดท Policy
clip_image002

TIP:
”Group Policy (GPO) เป็นเครื่องมือที่ช่วยให้ผู้ดูแลระบบสามารถบริหารจัดการ Computers / Users / Object จากจุดศูนย์กลางที่เดียวได้อย่างสะดวกสบาย”

LAB Exercise 1: เตรียมระบบเพิ่มเติม

  1. เตรียมเครื่อง Windows XP 1 เครื่อง โดยการ Join Domain
  2. New SID
  3. BackInfo.exe

1.1 การนำ GPO ไปใช้งานจริงกับระบบ Enterprise.

Group Policy สามารถนำไปบริหารจัดการระบบที่เป็น Windows 2000 ขึ้นไป โดยที่หากจะนำ GPO มาใช้งานในระบบ Network ขนาดใหญ่นั้น จำเป็นจะต้อง Implement ระบบ Active Directory และ ระบบ DNS ขึ้นมาก่อน

ผลของการบังคับใช้

LGPO = Local Group Policy Object เป็น Policy ที่อยู่บนเครื่องคอมพิวเตอร์เครื่องนั้น ๆ เป็น GPO ที่อยู่ใน Level ต่ำที่สุด สามารถถูกเขียนทับโดย GPO ที่อยู่เหนือกว่าเสมอ

การบังคับใช้ Policy นั้นมีโหมดให้เลือกปรับอยู่ 3 โหมดด้วยกันดังต่อไปนี้

§ ENABLE: เป็นการเปิดใช้ Option นั้นๆ ให้ Active ขึ้นมา

§ DISABLE: เป็นการปิดการใช้งานของ Option นั้น ๆ

§ Not Configured: ค่าและความหมายนั้น ๆ ไม่ถูกนำมาใช้งาน (ต่างจาก Disable คือ อาจถูกบังคับ Enforce จากค่าที่อยู่ด้านบนได้)

clip_image004TIP: ค่าใน Default ใน Sysvol Folder
Default Domain Policy = 31B
Default DC Policy = 6AC 

หน้าตาของการเลือกบังคับใช้ Not Configured | Enable | Disable

clip_image006

1.2 ลำดับการบังคับใช้ GPO ในระบบ Active Directory

GPO LINK สามารถนำไปสั่งการควบคุมได้ดังต่อไปนี้

§ Local Computer

§ Site บังคับที่ระดับ Site จะมีผลทั้ง Computer และ Users ที่อยู่ใน Site นั้น

§ Domain บังคับที่ระดับ Domain จะมีผลทั้ง Computer และ Users ที่อยู่ใน Domain นั้น

§ Organizational บังคับที่ระดับ OU จะมีผลทั้ง Computer และ Users ที่อยู่ใน OU นั้น

LAB Exercise 2: ความแตกต่างในการบังคับใช้ GPO ระหว่าง Users Policy และ Computer Policy

1. สร้าง OU ดังต่อไปนี้ Sale / IT / HR

2. สร้าง Users แล้วนำไปใส่ประจำ OU ไว้ Sale01, Sale02, IT01, IT02

3. บังคับใช้ GPO Firewall ที่ OU Sale / สังเกตุการเปลี่ยนแปลง Firewall ที่ Client

4. ย้ายเครื่อง XP01 ให้มาอยู่ใน OU Sale / สังเกตุการเปลี่ยนแปลง Firewall ที่ Client

5. Pre-stage Join Domain XP02 ที่ OU Sale

1.3 ทำความรู้จักกับ GPO Default Domain Controllers Policy

เพื่อให้เกิดความมั่นใจว่า Security ต่าง ๆ ของ DC ทุกตัวจะมีค่าเท่ากัน และไม่ควรย้าย DC ออกมาจาก OU Domain Controller เป็นอันขาด

หมายเหตุสำคัญ

Default Domain Controller Policy GPO ค่าที่ควรตั้งใน GPO นี้คือ

1. Local Policy

§ Audit Policy

§ User Right Assignment

§ Security Options

2. Event Log Setting

§ Maximum Log Size for DC

§ Preventing guest access of domain controller Logs

§ Whether logs are retained and the retention method used

Microsoft แนะนำให้แก้ไขค่า Default DC Policy เฉพาะ Users Right กับ Audit Policy เท่านั้น

clip_image008

1.4 ทำความรู้จักกับ GPO Default Domain Policy

หมายเหตุสำคัญ

Default Domain Policy ควรมีไว้เพื่อทำการแก้ไขค่าดังกล่าวนี้เท่านั้น

1. Password Policy

2. Account Lockout Policy

3. Kerberos Policy

หากต้องการปรับแต่งค่าอย่างอื่น MS แนะนำว่าควรสร้าง GPO ขึ้นมาใหม่ไม่ควรปรับแต่งค่า Default GPO มากเกินไป

ค่าของ Default Domain Policy ไม่สามารถบังคับใช้

1. Accounts: Rename Administrator Account

2. Accounts: Rename Guest Account

3. Network Security: Force Logoff When Logon Hours Expire

4. Network Access: Allow Anonymous SID/NAME Translation

1.5 ทำความรู้จักกับ เครื่องมือบริหารจัดการ GPO

LAB Exercise 3: ติดตั้ง GPMC ลงไปในเครื่อง WS2003.DEMO.COM

– เปรียบเทียบก่อนและหลังการติดตั้งลงไป

– GPMC สามารถลงได้ทั้งที่ WS2003 และ XP

– วิธีการเข้าถึง GPMC ผ่านทาง gpmc.msc

PDC Emulator (Primary Domain Controller) จะทำหน้าที่เป็นตัวหลักในการอัพเดท GPO

PDC Emulator เป็นตัวสำคัญมากในการติดต่อเพื่อ Create / Update / Delete GPO ดังนั้นการเปลี่ยนแปลง GPO ควรแน่ใจว่าจัดการอยู่บนตัว PDC เราสามารถเช็คได้จาก “Change Domain Controller”

clip_image010

Group Policy Management Console (GPMC)

– install

– create GPO

– link GPO

– Delegating Privilege for GPO / Security Permission / Read / Edit Settings / Deleted, Modify Security

ตัวอย่างการเปลี่ยน Domain Controller สำหรับใช้งาน GPO.

clip_image012

แสดงวิธีการสมมุติ Create and Link GPO ที่

– Site

– Domain

– OUs

การบริหารจัดการเรื่อง Delegate

clip_image014

GPO สามารถ Assign Security Permission ได้ เหมือนกับการ Delegation อย่างหนึ่ง

clip_image016

ไอเดียของการ Assign Security และ Delegation คือ ?

– เช่นการ Deploy ที่ไม่รู้ปลายทาง

– และการแบ่งงานทำเช่น NWS / Security Role

การ Remove และ Delete GPO

แสดงความแตกต่างของการ Link / Create / Remove / Deleted GPO

Local Group Policy (GPEDIT.MSC)

เราสามารถบริหารจัดการ Local GPO ผ่านท่าง Remote ได้ด้วยจาก 2 ทาง

Gpedit.msc /gpcomputer:”Remote computer”
ตัวอย่าง gpedit.msc /gpcomputer: xp01.demo.com
และจากทาง MMC > Add Snap-in GPO Editor > เลือกคอมพิวเตอร์ปลายทาง

ตัวอย่างการเรียก Local GPO ผ่านทาง Remote
clip_image018
LAB Exercise 4: ลองเรียก LGPO ของเครื่อง XP01 มาเพื่อแก้ไข
1. Disable Run Notepad

2. ทดสอบการใช้งาน Notepad

Resultant Set of Policy (RSoP)

 

 

 

 

Gpupdate
เป็นคำสั่งที่เอาไว้ใช้บังคับให้เครื่องปลายทางที่สั่งคำสั่งนี้มีผลในการโหลด Policy มาใหม่จาก Server
/target:computer or /target:user เป็นการเลือกบังคับให้มีผลในระดับ Users หรือ Computer เท่านั้น

/wait:{Value} สั่งให้รอรอบในการอัพเดทจำนวนตัวเลขเป็นเวลาหน่วยเป็นวินาที

/logoff ใช้เพื่อสั่งให้ทำการ Reload Policy มาเก็บและทำให้มีผลใช้งานเมื่อ Users ทำการ Log In ครั้งใหม่เท่านั้น

/boot สั่งให้ทำการโหลด Policy ใหม่พร้อมกับทำการ Reboot เครื่อง

/force ทำการโหลด Policy ใหม่ทั้งหมดพร้อมบังคับใช้ทันที

1.6 การค้นหาและเลือกบังคับใช้ Search and Filter GPO.

ปัญหาประจำที่เกิดขึ้นในการบังคับใช้ GPO คือการค้นหาว่า GPO บังคับใช้ไปที่ไดบ้าง และ หากต้องการบังคับใช้ GPO นี้เฉพาะส่วนโดยยกเว้น Users บางคน ????

เทคนิคการใช้งาน FILTER GPO
clip_image020

clip_image022
เทคนิคการค้นหา GPO, Link และค่าที่ใช้งานอยู่

clip_image024
เทคนิคการ Filter ด้วย Security Settings.

clip_image026
การ Filter ด้วย WMI
WMI Filter – ตัวอย่างที่ 1

เป็นคำสั่งเช็ค Disk Space C: และ D: drives ก่อนการ Deploy GPO

SELECT * FROM Win32_LogicalDisk WHERE (Name = ” C:” OR Name = ” D:” ) AND

DriveType = 3 AND FreeSpace > 20000000 AND FileSystem = ” NTFS”

Note 1: DriveType value = 3 means a local disk

Note 2: 20000000 = 20MB.

Note 3: Your Keyword – Win32_LogicalDisk

WMI Filter – ตัวอย่างที่ 2
Select * from Win32_OperatingSystem where Caption = ” Microsoft Windows XP

Professional”

Note 1: The Keyword is Win32_OperatingSystem

1.7 การใช้งาน Group Policy Inheritance.

  • Change Link Order

อันที่มีเลขน้อยจะโหลดทีหลังสุด !

  • Override Inheritance
  • Block Inheritance

clip_image028

  • Enforce Inheritance

clip_image030

  • Changing The Default refresh interval

clip_image032

  • Enabling / Disabling policy object Processing completely or by setting category

clip_image034

  • Changing the processing preference for user and computer settings

clip_image036