บทความนี้เป็นการสาธิตวิธีการสร้างนโยบายกลุ่ม (Group Policy) บนแอคทีฟไดเร็กตอรีโดเมนเซอร์วิส (Active Directory Domain Services) และวิธีการเชื่อมโยงนโยบายกลุ่มกับออร์แกไนเซชันยูนิตหรือโอยู (Organization Unit หรือ OU) ที่ต้องการ ให้ผู้อ่านได้ทราบกันครับ
Group Policy คืออะไร
Group Policy หรือนโยบายกลุ่ม เป็นโครงสร้างพื้นฐานสำหรับผู้ดูแลระบบใช้จัดการผู้ใช้และคอมพิวเตอร์ในสภาพแวดล้อมหรือระบบแอคทีฟไดเร็กตอรี่โดเมนผ่านทางการ Group Policy settings และ Group Policy Preferences
นโยบายกลุ่มมี 2 ระดับ คือ
1. นโยบายกลุ่มระดับเครื่อง (Local Group Policy) หรือ Local Security Policy ซึ่งจะบังคับใช้ได้กับเครื่องคอมพิวเตอร์และผู้ใช้บนเครื่อง การจัดการจะทำผ่านทางเครื่องมือ Local Group Policy Editor (บางครั้งเรียกว่า Group Policy Editor)
2. นโยบายกลุ่มระดับแอคทีฟไดเร็กตอรี่โดเมนซึ่งจะบังคับใช้ได้กับเครื่องคอมพิวเตอร์และผู้ใช้ที่เป็นสมาชิกโดเมน การจัดการจะทำผ่านทางเครื่องมือ Group Policy Management Console (GPMC)
Group Policy Object (GPO)
Group Policy Object (GPO) คือ ชุดของการตั้งค่านโยบายสำหรับบังคับใช้เพื่อควบคุมการทำงานของเครื่องคอมพิวเตอร์และผู้ใช้ ในสภาพแวดล้อมแบบ GPO แต่ละตัวจะมีชื่อไม่ซ้ำกันและจะถูกเก็บอยู่ในฐานข้อมูลขอล AD และสามารถนำไปบังคับใช้กับแม่ข่ายคอมพิวเตอร์ ลูกข่ายคอมพิวเตอร์ และผู้ใช้ที่อยู่ในไซต์ (Site), โดเมน (Domain) และออร์แกไนเซชันยูนิตหรือโอยู (Organizational Unit)
Group Policy Management Console (GPMC)
GPMC เป็นเครื่องมือสำหรับใช้จัดการเกี่ยวกับนโยบายกลุ่มบนแอคทีฟไดเร็กตอรี่โดเมน GPMC ซึ่งจะได้รับการติดตั้งโดยอัตโนมัติหลังจากทำการติดตั้ง Windows Server เป็นโดเมนคอนโทรลเลอร์ โดย GPMC ยังรวมอยู่ใน Remote Server Administration Tools (RSAT) สำหรับใช้จัดการนโยบายกลุ่มจากเครื่องคอมพิวเตอร์ลูกข่าย
ข้อมูลระบบ
ระบบที่ผมใช้อ้างอิงเป็น Active Directory Domain Services ซึ่งเซิร์ฟเวอร์โดเมนคอนโทรลเลอร์เป็นระบบ Windows Server 2012 R2
การสร้างและเชื่อมโยง Group Policy บน Active Directory
การสร้าง Group Policy บน AD ทำได้โดยใช้ GPMC ตามขั้นตอนดังนี้
1. ลงชื่อเข้าเครื่องเซิร์ฟเวอร์ที่เป็นโดเมนคอนโทรลเลอร์ จากนั้นเปิด GPMC โดยคลิก Start คลิก Administrative Tools จากนั้นคลิก Group Policy Management
ทิป: สามารถเปิด GPMC โดยใช้ File Explorer เปิดไป Control Panel\All Control Panel Items\Administrative Tools จากนั้นคลิก Group Policy Management
รูปที่ 1
2. บนหน้าต่าง Group Policy Management ในคอลัมน์ Console tree ด้านซ้ายให้คลิกขยาย Forest คลิกขยาย Domains คลิกขยายโดเมนที่ต้องการ แล้วคลิกโฟลเดอร์ Group Policy Objects จากนั้นในคอลัมน์ Group Policy Objects ให้คลิกขวาบริเวณพื้นที่ว่างแล้วเลือก New
รูปที่ 2
3. บนหน้า New GPO ให้ตั้งชื่อป้อนชื่อโนโยบายกลุม่ที่สร้างในช่อง Name เช่น Clients Control ส่วนช่อง Source Starter GPO ให้ใช้ค่าที่กำหนดให้ เสร็จแล้วคลิก OK
รูปที่ 3
4. บนหน้าต่าง Group Policy Management ในคอลัมน์ Console tree ด้านซ้ายให้คลิกขวาโอยูที่ต้องการเชื่อมต่อกับนโยบายกลุ่มที่สร้างขึ้นในขั้นตอนที่ 3 (ในตัวอย่างนี้คือโอยู Computers) จากนั้นเลือก Link an Existing GPO
รูปที่ 4
5. บนหน้า Select GPO ในช่อง Look in this domain ให้เลือกโดเมนที่ต้องการ จากนั้นคลิกเลือกนโยบายกลุ่มที่ต้องการจากรายชื่อใน Group Policy objects (ในตัวอย่างนี้คือ Clients Control) เสร็จแล้วคลิก OK
รูปที่ 5
เสร็จแล้วจะได้ผลการทำงานดังรูปด้านล่าง ซึ่งจะมีนโยบายกลุ่มชื่อ Clients Control เชื่อมโยงกับโอยู Computers
รูปที่ 6
การแก้ไข Group Policy
การแก้ไข Group Policy ทำได้จากหน้าต่าง Group Policy Management โดยในคอลัมน์ Console tree ด้านซ้ายให้คลิกขยายโฟลเดอร์ Group Policy Objects จากนั้นคลิกขวาบนนโยบายกลุ่มที่ต้องการแล้วเลือก Edit ซึ่งจะได้หน้า Group Policy Management ดังรูปที่ 8
รูปที่ 7
จากนั้นให้ทำการแก้ไขนโยบายกลุ่มตามความต้องการ ข้อควรระวังคือ GPMC จะทำการบันทึกการเปลี่ยนแปลงการแก้ไขนโยบายกลุ่มโดยอัตโนมัติในทันทีที่ทำการปิดโปรแกรม ดังนั้นให้ตรวจสอบการตั้งค่าต่างๆ ให้ถูกต้องก่อนปิดโปรแกรม GPMC
สามารถดูตัวอย่างการตั้งค่านโยบายกลุ่มได้จากเรื่อง การตั้งค่า Windows 10 ให้อัปเดตผ่านทาง WSUS Server
รูปที่ 8
ข้อมูลอ้างอิง
Microsoft: Group Policy Overview
