กําหนดผู้ใช้ กลุ่ม และคอมพิวเตอร์
ใน AD DS คุณต้องให้ผู้ใช้ทั้งหมดที่จําเป็นต้องเข้าถึงทรัพยากรเครือข่ายด้วยบัญชีผู้ใช้ ด้วยบัญชีผู้ใช้นี้ ผู้ใช้สามารถรับรองความถูกต้องไปยังโดเมน AD DS และเข้าถึงทรัพยากรเครือข่าย
ใน Windows Server บัญชีผู้ใช้เป็นวัตถุที่ประกอบด้วยข้อมูลทั้งหมดที่กําหนดให้ผู้ใช้ บัญชีผู้ใช้ประกอบด้วย:
- ชื่อผู้ใช้
- รหัสผ่านของผู้ใช้
- สมาชิกกลุ่ม
บัญชีผู้ใช้ยังประกอบด้วยการตั้งค่าที่คุณสามารถกําหนดค่าตามข้อกําหนดขององค์กรของคุณ
ชื่อผู้ใช้และรหัสผ่านของบัญชีผู้ใช้ทําหน้าที่เป็นข้อมูลประจําตัวการลงชื่อเข้าใช้ของผู้ใช้ วัตถุผู้ใช้ยังมีแอตทริบิวต์อื่น ๆ อีกมากมายที่อธิบายและจัดการผู้ใช้ คุณสามารถใช้เครื่องมือต่อไปนี้เพื่อสร้างและจัดการออบเจ็กต์ผู้ใช้ใน AD DS:
- ศูนย์การจัดการ Active Directory
- ผู้ใช้ Active Directory และคอมพิวเตอร์
- ศูนย์การจัดการ Windows
- Windows PowerShell
- เครื่องมือบรรทัดคําสั่ง dsadd
บัญชีบริการที่มีการจัดการคืออะไร
แอปจํานวนมากประกอบด้วยบริการที่คุณติดตั้งบนเซิร์ฟเวอร์ที่โฮสต์โปรแกรม บริการเหล่านี้โดยทั่วไปจะทํางานเมื่อเริ่มต้นเซิร์ฟเวอร์ หรือถูกทริกเกอร์ โดยเหตุการณ์อื่น ๆ บริการมักจะทํางานในพื้นหลัง และไม่จําเป็นต้องมีการโต้ตอบกับผู้ใช้ สําหรับบริการที่จะเริ่มต้นและรับรองความถูกต้อง คุณใช้บัญชีบริการ บัญชีผู้ใช้บริการอาจเป็นบัญชีผู้ใช้ภายในเครื่องคอมพิวเตอร์ เช่น บริการภายในเครื่อง บริการเครือข่าย หรือบัญชีระบบภายในเครื่อง คุณยังสามารถกําหนดค่าบัญชีบริการเพื่อใช้บัญชีตามโดเมนที่อยู่ใน AD DS ได้
เพื่อช่วยในการดูแลระบบแบบรวมศูนย์และเพื่อให้เป็นไปตามข้อกําหนดของโปรแกรม หลายองค์กรเลือกใช้บัญชีโดเมนเพื่อเรียกใช้บริการของโปรแกรม แม้ว่าการดําเนินการนี้จะมีประโยชน์มากกว่าการใช้บัญชีภายในเครื่อง แต่ก็มีความท้าทายที่เกี่ยวข้องอยู่จํานวนหนึ่ง เช่นรายการต่อไปนี้:
- คุณอาจต้องใช้ความพยายามในการดูแลระบบเพิ่มเติมเพื่อจัดการรหัสผ่านบัญชีบริการได้อย่างปลอดภัย
- อาจเป็นเรื่องยากที่จะกําหนดว่าบัญชีที่ใช้โดเมนถูกใช้เป็นบัญชีบริการที่ใด
- คุณอาจต้องใช้ความพยายามในการดูแลระบบเพิ่มเติมในการจัดการชื่อบริการหลัก (SPN)
Windows Server สนับสนุนวัตถุ AD DS ที่ชื่อว่าบัญชีบริการที่มีการจัดการ ซึ่งคุณใช้เพื่ออํานวยความสะดวกในการจัดการบัญชีบริการ บัญชีบริการที่มีการจัดการคือคลาสออบเจ็กต์ AD DS ที่เปิดใช้งาน:
- การจัดการรหัสผ่านที่ง่ายดาย
- การจัดการ SPN แบบง่าย
กลุ่มบัญชีบริการที่มีการจัดการคืออะไร
บัญชีบริการที่มีการจัดการกลุ่มช่วยให้คุณสามารถขยายความสามารถของบัญชีบริการที่มีการจัดการมาตรฐานไปยังเซิร์ฟเวอร์มากกว่าหนึ่งรายการในโดเมนของคุณ ในสถานการณ์เซิร์ฟเวอร์ฟาร์มที่มีคลัสเตอร์ Network Load Balancing (NLB) หรือเซิร์ฟเวอร์ IIS มักจําเป็นต้องเรียกใช้ระบบหรือบริการโปรแกรมภายใต้บัญชีบริการเดียวกัน บัญชีบริการที่มีการจัดการมาตรฐานไม่สามารถให้ฟังก์ชันการทํางานของบัญชีบริการที่มีการจัดการไปยังบริการที่ทํางานบนเซิร์ฟเวอร์มากกว่าหนึ่งเซิร์ฟเวอร์ ด้วยการใช้บัญชีบริการที่ได้รับการจัดการแบบกลุ่ม คุณสามารถกําหนดค่าหลายเซิร์ฟเวอร์เพื่อใช้บัญชีบริการที่มีการจัดการเดียวกันและยังคงรักษาสิทธิประโยชน์ที่บัญชีบริการที่มีการจัดการ เช่น การบํารุงรักษารหัสผ่านอัตโนมัติและการจัดการ SPN ที่ง่ายดาย
เพื่อสนับสนุนฟังก์ชันการทํางานของบัญชีบริการที่มีการจัดการของกลุ่ม สภาพแวดล้อมของคุณต้องเป็นไปตามข้อกําหนดต่อไปนี้:
- คุณต้องสร้างคีย์ราก KDS บนตัวควบคุมโดเมนในโดเมน
หากต้องการสร้างคีย์ราก KDS ให้เรียกใช้คําสั่งต่อไปนี้จากโมดูล Active Directory สําหรับ Windows PowerShell บนตัวควบคุมโดเมนของ Windows Server
Add-KdsRootKey –EffectiveImmediately
คุณสร้างบัญชีผู้ใช้บริการที่มีการจัดการกลุ่มโดยใช้ New-ADServiceAccount cmdlet ของ Windows PowerShell ด้วยพารามิเตอร์ –PrinicipalsAllowedToRetrieveManagedPassword
เช่น:
New-ADServiceAccount -Name LondonSQLFarm -PrincipalsAllowedToRetrieveManagedPassword SEA-SQL1, SEA-SQL2, SEA-SQL3
ออบเจ็กต์กลุ่มคืออะไร
แม้ว่าจะเป็นไปได้ดีที่จะกําหนดสิทธิ์และสิทธิ์ให้กับบัญชีผู้ใช้แต่ละรายในเครือข่ายขนาดเล็ก แต่การดําเนินการนี้จะไม่เป็นประโยชน์และไม่มีประสิทธิภาพในเครือข่ายองค์กรขนาดใหญ่
ตัวอย่างเช่น ถ้าผู้ใช้หลายคนจําเป็นต้องมีการเข้าถึงโฟลเดอร์ในระดับเดียวกัน การสร้างกลุ่มที่มีบัญชีผู้ใช้ที่จําเป็นจะมีประสิทธิภาพมากกว่า และจากนั้นกําหนดสิทธิ์ที่จําเป็นให้กับกลุ่ม
ปลาย
อีกประโยชน์เพิ่มเติมคือ คุณสามารถเปลี่ยนสิทธิ์ของไฟล์ของผู้ใช้ โดยการเพิ่มหรือลบออกจากกลุ่มแทนที่จะแก้ไขการอนุญาตของไฟล์โดยตรง
ก่อนที่คุณจะใช้กลุ่มในองค์กรของคุณ คุณต้องทําความเข้าใจขอบเขตของกลุ่ม AD DS ต่าง ๆ นอกจากนี้ คุณต้องเข้าใจวิธีการใช้ชนิดของกลุ่มเพื่อจัดการการเข้าถึงแหล่งข้อมูล หรือเพื่อกําหนดสิทธิ์และความรับผิดชอบของการจัดการ
ชนิดของกลุ่ม
ในเครือข่ายองค์กรของ Windows Server มีกลุ่มสองชนิดตามที่อธิบายไว้ในตารางต่อไปนี้
| ชนิดกลุ่ม | คําอธิบาย |
|---|---|
| ความปลอดภัย | กลุ่มความปลอดภัยจะเปิดใช้งานความปลอดภัย และคุณใช้กลุ่มดังกล่าวเพื่อกําหนดสิทธิ์ไปยังทรัพยากรต่าง ๆ คุณสามารถใช้กลุ่มความปลอดภัยในรายการสิทธิ์ในรายการควบคุมการเข้าถึง (ACL) เพื่อช่วยในการควบคุมความปลอดภัยสําหรับการเข้าถึงทรัพยากร ถ้าคุณต้องการใช้กลุ่มเพื่อจัดการความปลอดภัย กลุ่มนั้นต้องเป็นกลุ่มความปลอดภัย |
| การกระจาย | แอปพลิเคชันอีเมลมักใช้กลุ่มการแจกจ่ายที่ไม่ได้เปิดใช้งานความปลอดภัย คุณยังสามารถใช้กลุ่มความปลอดภัยเป็นวิธีการแจกจ่ายสําหรับแอปพลิเคชันอีเมลได้ |
ขอบเขตกลุ่ม
Windows Server สนับสนุนการกําหนดขอบเขตกลุ่ม ขอบเขตของกลุ่มจะกําหนดทั้งช่วงของความสามารถหรือสิทธิ์ของกลุ่มและการเป็นสมาชิกของกลุ่ม มีขอบเขตกลุ่มสี่รายการ
ภายในเครื่อง คุณใช้กลุ่มประเภทนี้สําหรับเซิร์ฟเวอร์หรือเวิร์กสเตชันแบบสแตนด์อโลน บนเซิร์ฟเวอร์สมาชิกโดเมนที่ไม่ใช่ตัวควบคุมโดเมนหรือบนเวิร์กสเตชันที่เป็นสมาชิกโดเมน กลุ่มภายในจะพร้อมใช้งานบนคอมพิวเตอร์ที่มีกลุ่มอยู่เท่านั้น คุณลักษณะที่สําคัญของกลุ่มท้องถิ่นคือ:
- คุณสามารถกําหนดความสามารถและสิทธิ์บนทรัพยากรเฉพาะที่เท่านั้น ซึ่งหมายถึงคอมพิวเตอร์เฉพาะที่
- สมาชิกสามารถมาจากที่ใดก็ได้ในฟอเรสต์ AD DS
domain-local คุณใช้กลุ่มประเภทนี้เพื่อจัดการการเข้าถึงแหล่งข้อมูลหรือเพื่อกําหนดสิทธิ์และความรับผิดชอบของการจัดการเป็นหลัก กลุ่มภายในเครื่องของโดเมนมีอยู่บนตัวควบคุมโดเมนในโดเมน AD DS ดังนั้น ขอบเขตของกลุ่มจะอยู่ภายในโดเมนที่อยู่ในโดเมนนั้น ลักษณะสําคัญของกลุ่มโดเมนภายในเครื่องคือ:
- คุณสามารถกําหนดความสามารถและสิทธิ์ในทรัพยากรภายในโดเมนเฉพาะที่เท่านั้น ซึ่งหมายความว่าบนคอมพิวเตอร์ทั้งหมดในโดเมนภายในเครื่องเท่านั้น
- สมาชิกสามารถมาจากที่ใดก็ได้ในฟอเรสต์ AD DS
ส่วนกลาง คุณใช้กลุ่มชนิดนี้เพื่อรวมผู้ใช้ที่มีลักษณะคล้ายกันเป็นหลัก ตัวอย่างเช่น คุณอาจใช้กลุ่มส่วนกลางเพื่อเข้าร่วมผู้ใช้ที่เป็นส่วนหนึ่งของแผนกหรือตําแหน่งที่ตั้งทางภูมิศาสตร์ คุณลักษณะที่สําคัญของกลุ่มส่วนกลางคือ:
- คุณสามารถกําหนดความสามารถและสิทธิ์ที่ใดก็ได้ในฟอเรสต์
- สมาชิกสามารถมาจากโดเมนภายในเครื่องเท่านั้น และสามารถรวมผู้ใช้ คอมพิวเตอร์ และกลุ่มส่วนกลางจากโดเมนภายในเครื่องได้
สากล คุณใช้กลุ่มประเภทนี้บ่อยที่สุดในเครือข่ายแบบหลายโดเมนเนื่องจากรวมลักษณะของทั้งกลุ่มภายในโดเมนและกลุ่มส่วนกลาง โดยเฉพาะลักษณะที่สําคัญของกลุ่มสากลคือ:
- คุณสามารถกําหนดความสามารถและสิทธิ์ที่ใดก็ได้ในฟอเรสต์คล้ายกับวิธีที่คุณกําหนดไว้สําหรับกลุ่มส่วนกลาง
- สมาชิกสามารถมาจากที่ใดก็ได้ในฟอเรสต์ AD DS
วัตถุคอมพิวเตอร์คืออะไร
คอมพิวเตอร์ เช่น ผู้ใช้ จะเป็นผู้รักษาความปลอดภัยที่:
- พวกเขามีบัญชีที่มีชื่อและรหัสผ่านที่ Windows เปลี่ยนแปลงโดยอัตโนมัติเป็นระยะ ๆ
- ผู้ใช้จะรับรองความถูกต้องกับโดเมน
- พวกเขาสามารถเป็นสมาชิกของกลุ่มและมีการเข้าถึงทรัพยากร และคุณสามารถกําหนดค่าได้โดยใช้นโยบายกลุ่ม
บัญชีคอมพิวเตอร์จะเริ่มต้นวงจรชีวิตเมื่อคุณสร้างวัตถุคอมพิวเตอร์และเข้าร่วมกับโดเมนของคุณ หลังจากคุณรวมบัญชีคอมพิวเตอร์เข้ากับโดเมนของคุณแล้ว งานดูแลระบบแบบวันต่อวันประกอบด้วย:
- การกําหนดค่าคุณสมบัติคอมพิวเตอร์
- การย้ายคอมพิวเตอร์ระหว่าง OUs
- การจัดการคอมพิวเตอร์ด้วยตัวเอง
- การเปลี่ยนชื่อ การรีเซ็ต การปิดใช้งาน การเปิดใช้งาน และการลบวัตถุคอมพิวเตอร์ในที่สุด
คอนเทนเนอร์คอมพิวเตอร์
ก่อนที่คุณจะสร้างวัตถุคอมพิวเตอร์ใน AD DS คุณต้องมีสถานที่วาง คอนเทนเนอร์คอมพิวเตอร์เป็นคอนเทนเนอร์ที่มีอยู่แล้วภายในโดเมน AD DS คอนเทนเนอร์นี้เป็นตําแหน่งที่ตั้งเริ่มต้นสําหรับบัญชีคอมพิวเตอร์เมื่อคอมพิวเตอร์เข้าร่วมโดเมน
คอนเทนเนอร์นี้ไม่ใช่ OU แต่เป็นวัตถุของคลาส คอนเทนเนอร์ ชื่อทั่วไปคือ CN = Computers มีความแตกต่างที่ละเอียดแต่สําคัญระหว่างคอนเทนเนอร์และ OU คุณไม่สามารถสร้าง OU ภายในคอนเทนเนอร์ ได้ ดังนั้นคุณจึงไม่สามารถแบ่งย่อยคอนเทนเนอร์ของคอมพิวเตอร์ได้ คุณยังไม่สามารถเชื่อมโยงวัตถุนโยบายกลุ่มไปยังคอนเทนเนอร์ได้ ดังนั้น เราขอแนะนําให้คุณสร้าง OU แบบกําหนดเองเพื่อโฮสต์วัตถุของคอมพิวเตอร์ แทนที่จะใช้คอนเทนเนอร์คอมพิวเตอร์