ติดตามถามตอบปัญหาเพิ่มเติมกับผู้เชี่ยวชาญ Microsoft Platform ได้ที่ http://www.mvpskill.com/forums สามารถสมัครสมาชิกโดยใช้ Login ผ่าน Facebook Account ได้เลยครับ |
Windows Group Policy Processing Order
Group Policy Object หรือ GPO เป็นเรื่องที่ไม่ยาก และไม่ง่ายเลยครับ ประโยชน์ของการบังคับใช้ GPO ในการจัดการ Desktop Environment นั้นมีมากมากเหลือเกิน ซึ่ง Platform Unix ยังไม่สามารถเอาชนะจุดเด่นนี้ได้หากต้องการควบคุม Client Environment ที่เป็น Windows
มีสิ่งหนึ่งที่ต้องเข้าใจสำหรับ GPO คือลำดับการประมวลผลครับ เนื่องจาก GPO ในระดับ Domain Base นั้นสามารถบังคับใช้ได้ในหลายจุดพร้อมกัน มันเป็นรากเหง้าของปัญหาที่ถามบ่อยมาก ๆ คือทำไมผม Apply GPO แล้วมันไม่ได้ผลครับ T T”
ผมเลยทำ KB นี้ไว้ให้อ่านพลาง ๆ ก่อนจะถามผมนะครับ ว่าทำไมสั่ง GPO ที่ Domain Base ไปแล้วมันยังไม่ Work จะได้เอากลับไปออกแบบใหม่ครับ
เราสามารถเลือก New GPO เพื่อให้มีผลบังคับใช้ได้ในระบบ Domain Base ได้หลายจุด และการประมวลผลของมันก็เป็นลำดับขั้นตามหมายเลขครับ
ลำดับการประมวลผลของ Group Policy
1. Site Level
2. Domain
3. OU
ลำดับการประมวลผลของ GPO มีเคล็ดลับที่จำง่าย ๆ คือใครอ่านครั้งสุดท้าย คนนั้นจะชนะ (หมายความว่ามีผลบังคับใช้) นั่นเอง
ยกตัวอย่างเช่น User = [email protected] โดนบังคับใช้ GPO ระดับ Domain ว่าห้ามเข้าถึง Control Panel ของคอมพิวเตอร์
แต่ถ้ามี GPO ที่ระดับ OU เขียนไว้ว่าสามารถเข้าถึง Control Panel ได้ User = [email protected] ก็จะสามารถเข้าถึงได้ครับ เพราะ GPO ในระดับ OU ได้รับการประมวลผลหลังสุด จึงชนะ มาจากประโยคเทห์ ๆ จาก Microsoft Technet คือ “last writer wins model” ตาม Link นี้ครับ http://technet.microsoft.com/en-us/library/cc757050(v=ws.10).aspx
ดังนั้น ๆ ๆ GPO Processing หรือลำดับการประมวลผลของ GPO ถ้ามีหลาย ๆ OU ซ้อนกัน
ก็สบายใจได้ครับ เราสามารถใช้หลักการ Last Writer Wins Model ได้เสมอ (ใครเขียนครั้งสุดท้ายชนะ)
หลังจากเข้าใจหลักการของการประมวลผล GPO แล้ว คราวนี้ถ้าใครยังติดปัญหาค่อยมา Post ถามกันที่ Forums ได้เลยครับ ยินดีแลกเปลี่ยนความรู้กันเสมอครับ
อ้างอิงจาก
http://technet.microsoft.com/en-us/library/cc785665(v=ws.10).aspx
http://technet.microsoft.com/en-us/library/cc757050(v=ws.10).aspx
ติดตาม Knowledge Base เกี่ยวกับ Active Directory & Group Policy ได้ที่นี่ http://www.mvpskill.com/kb/category/active-directory-group-policy |