Wednesday, April 2, 2008

ยูสเซอร์, กรุ๊ป และ ออร์เกไนเซชั่นยูนิต ของเเอ็กทีฟไดเร็กตอรี

ยูสเซอร์, กรุ๊ป และ ออร์เกไนเซชั่นยูนิต ของเเอ็กทีฟไดเร็กตอรี
ออบเจ็กต์บนเเอ็กทีฟไดเร็กตอรี ที่แอดมินต้องทำการจัดการบ่อยๆ ได้แก่ ยูสเซอร์, กรุ๊ป และ ออร์เกไนเซชั่นยูนิต โดยแต่ละออบเจ็กต์มีรายละเอียด ดังนี้

User
คุณสมบัติยูสเซอร์บนวินโดวส์เซิร์ฟเวอร์ 2003 เเอ็กทีฟไดเร็กตอรีโดเมนนั้น จะมีลักษณะคุณสมบัติคล้ายกันกับยูสเซอร์แบบวินโดวส์เซิร์ฟเวอร์ 2003 แบบสแตนอะโลน แต่จะมีแอททริบิวท์ต่างๆ มากกว่า โดยจะมี 13 แถบ ในขณะที่มี 7 แถบในแบบสแตนอะโลน
สำหรับวิธีการดู User Properties ทำได้โดยการคลิกขวาที่ยูสเซอร์ที่ต้องการแล้วเลือก Properties จากชอร์ตคัทเมนู
1. General เป็นรายละเอียดทั่วไป คือ Full name, Initial, Last name, Display name, Description, Office, Telephone number, E-mail, Web page
2. Address เป็นรายละเอียดที่อยู่ของยูสเซอร์ เช่น บ้านเลขที่ ถนน เมือง จังหวัด และ รหัสไปรษณีย์
3. Account เก็บรายละเอียดต่างๆ ดังนี้
- User logon name เป็นชื่อที่ยูสเซอร์ใช้สำหรับล็อกออน
- User logon name (pre-Windows 2000) เป็นชื่อที่ยูสเซอร์ใช้สำหรับล็อกออนในระบบวินโดวส์ 98/ME
- Logon Hours ช่วงเวลาที่อนุญาตให้ยูสเซอร์ใช้งาน
- Log On To เครื่องคอมพิวเตอร์ที่อนุญาตให้ยูสเซอร์ใช้ในการล็อกออน
- Account is locked out ยูสเซอร์ถูกระงับการใช้งานเนื่องจากใส่รหัสผ่านผิดเกินค่าที่กำหนด
- Account Options ข้อกำหนดเพิ่มเติมต่างๆ เช่น ยูสเซอร์ต้องทำการเปลี่ยนรหัสผ่านในการล็อกออนครั้งถัดไป หรือไม่อนุญาตให้ยูสเซอร์เปลี่ยนรหัสผ่าน รหัสผ่านไม่มีวันหมดอายุ ยูสเซอร์ถูกดิสเอเบิล เป็นต้น
- Account expires กำหนดวันหมดอายุการใช้งาน ค่าเริ่มต้นเป็น Never คือ ไม่มีวันหมดอายุ
4. Profile เก็บประวัติการใช้งานของยูสเซอร์ มี 2 ส่วน คือ User Profile ซึ่งเป็นการกำหนด Profiles path และ Logon script และ Home Folder ซึ่งให้เลือกว่าจะเป็นแบบ Local path หรือ เป็นไดร์ฟบนเครือข่าย
5. Telephones เก็บหมายเลขโทรศัพท์ต่างๆ ของยูสเซอร์ เช่น หมายเลขโทรศัพท์ที่ทำงาน หมายเลขโทรสาร และ หมายเลขโทรศัพท์มือถือ เป็นต้น
6. Organization เก็บรายละเอียดของหน่วยงานของยูสเซอร์ เช่น Title, Department, Company เป็นต้น
7. Remote Control เป็นการตั้งค่าการควบคุมระยะไกล เช่น การเปิดการใช้งาน (Enable remote control), การใช้งานต้องให้ยูสเซอร์ที่ใช้งานหน้าเครื่องอนุญาตก่อนหรือไม่ (Require user’s permission) เป็นต้น
8. Terminal Services Profile เก็บประวัติการใช้งานระบบเทอร์มินอลเซิร์ฟเวอร์ของยูสเซอร์ เหมือนกับยูสเซอร์โพรไฟล์ แต่จะมีผลเฉพาะกับการใช้งานผ่านระบบเทอร์มินอลเซิร์ฟเวอร์เท่านั้น
9. COM+ เก็บรายละเอียดเกี่ยวกับส่วนประกอบเพิ่มเติม
10. Member Of แสดงรายละเอียดการเป็นสมาชิกของยูสเซอร์ ว่ายูสเซอร์เป็นสมาชิกกลุ่มใดบ้าง
11. Dial-in เป็นรายละเอียดการตั้งค่าการใช้งานระยะไกล (Remote access) ผ่านทางโมเด็ม
2. Environment เป็นรายละเอียดการใช้งานเทอร์มินอลเซิร์ฟเวอร์ของยูสเซอร์ เช่น กำหนดให้ทำการเปิดโปรแกรมเมื่อทำการล็อกออน (Start the following program at logon), ให้ทำการเชื่อมต่อไดร์ฟหรือเครื่องพิมพ์เมื่อทำการล็อกออน
13. Sessions เป็นการตั้งค่ารายละเอียดเซสซั่นการใช้งานเทอร์มินอลเซิร์ฟเวอร์ เช่น ปิดเซสซั่นที่ขาดการติดต่อ (End disconnected session), จำกัดจำนวนเซสซั่น (Active session limit), จำกัดเวลาว่าง (Idle session limit), ในกรณีที่ขาดการติดต่อไปอนุญาตให้ทำการติดต่อใหม่จากเครื่องใดได้บ้าง เป็นต้น ดังรูปที่ 8.20

Group
กรุ๊ปของยูสเซอร์บนวินโดวส์เซิร์ฟเวอร์ 2003 เอ็กทีฟไดเร็กตอรีโดเมนนั้น จะมีแอตทริบิวท์จำนวน 4 ค่า โดยวิธีการดู Group Properties ทำได้โดยการคลิกขวาที่กรุ๊ปที่ต้องการ แล้วเลือกคำสั่ง Properties จากชอร์ตคัทเมนู
1. General เก็บรายละเอียดทั่วไปของกลุ่ม คือ Group name (pre-Windows 2000), Description, E-mail, Group scope และ Notes
2. Members แสดงรายละเอียดว่ามียูสเซอร์ใดบ้างที่เป็นสมาชิกของกลุ่ม
3. Member Of แสดงรายละเอียดว่ากลุ่มนี้แป็นสมาชิกของกลุ่มใดบ้าง
4. Managed By แสดงรายละเอียดของยูสเซอร์ที่ทำหน้าเป็นผู้ดูแลกลุ่ม วิธีการกำหนดค่าผู้ดูแลทำด็โดยการคลิก Change แล้วเลือกยูสเซอร์ที่ต้องการ เสร็จแล้วจะแสดงชื่อผู้ดูแลในหน้า Manage By


Organization Unit
ออร์เกไนเซชั่นยูนิต (Oganizational Unit หรือ OU) นั้น จะคล้ายกับโฟลเดอร์ในระบบไฟล์ของวินโดวส์ คือจะใช้สำหรับเก็บออบเจ็กต์ต่างๆ เช่น ยูสเซอร์, คอมพิวเตอร์ เป็นต้น ออร์เกไนเซชั่นยูนิตนั้นจะมีแอททริบิวท์จำนวน 4 ค่า วิธีการดู OU Properties ทำได้โดยการคลิกขวาที่ OU ที่ต้องการแล้วเลือก Properties จากชอร์ตคัทเมนู
1. General เก็บรายละเอียดต่างๆ คือ Description, และที่อยู่
2. Managed By เก็บรายละเอียดของยูสเซอร์ที่เป็นผู้ดูแล OU
3. COM+ เก็บรายละเอียดเกี่ยวกับส่วนประกอบเพิ่มเติม
4. Group Policy เก็บรายละเอียดของนโยบายต่างๆ ที่บังคับใช้กับ OU

Security Identifiers(SID)
ภายใต้ระบบปฏิบัติการวินโดวส์ตระกูล NT นั้น แต่ละออบเจ็กต์จะมีหมายเลขประจำตัวที่ไม่ซ้ำกันภายในเครื่องและระหว่างเครื่องคอมพิวเตอร์ เรียกว่า Security Identifiers หรือเรียกสั้นๆ ว่า SID ซึ่งกระบวนการทำงานภายในระบบวินโดวส์นั้นจะอ้างอิงค่า SID ของยูสเซอร์ในการระบุตัวตนเป็นส่วนมาก เช่น Access control list (ACL) ซึ่งควบคุมการใช้งานไฟล์และโฟลเดอร์ เป็นต้น

Security Identifiers หรือ SID นี้จะมีขนาด 48 บิต และจะขึ้นด้วยตัวอักษร S และตามด้วยชุดตัวเลขที่แบ่งออกเป็น 7 ส่วนด้วยกัน ซึ่งแต่ละส่วนจะแยกจากกันด้วยเครื่องหมายขีด (-) ตัวเลขชุดที่หนึ่งมี 1 ตัว จะเป็นค่าหมายเลขเวอร์ชันซึ่งในปัจจุบันเป็น 1 ตัวเลขชุดที่สองจะเป็นค่า Identifier Authority ซึ่งมีค่าจะเป็น 5 เสมอ ตัวเลขชุดที่สามถึงชุดที่หก จะเป็นค่า Sub-authority โดยตัวเลขชุดที่สามเป็น 21 ตัวเลขชุดที่สี่ถึงชุดที่หกจะมีตัวเลขชุดละ 10 ตัว ตัวเลขชุดที่ 7 จะเป็นค่า Relative Identifier (RID)

ตังอย่างค่า SID
S-1-5-21-2025429265-884357618-682003330-500
S-1-5-21-2025429265-884357618-682003330-1003

วิธีการดูค่า Security Identifiers
1. ใช้โปรแกรม Whoami ซึ่งเป็นเครื่องมือที่มาพร้อมกับ Windows Server 2003 โดยจะรันจากคอมมานด์พรอมพ์สามารถทำงานในระบบปฏิบัติการวินโดวส์ตระกูล NT
2. user2sid พัฒนาขึ้นโดย Evgenii Rudyii เป็นเครื่องมือที่รันจากคอมมานด์พรอมพ์เช่นกัน

หมายเหตุ:
ค่า SID ของผู้ดูแลระบบ (Administrator) นั้นจะมีตัวเลข 3 ตัวหลังเป็น 500 เสมอ
ค่า SID ของยูสเซอร์ที่สร้างขึ้นก่อนจะมีตัวเลข 4 ตัวหลังน้อยกว่าของยูสเซอร์ที่สร้างขึ้นหลังเสมอ

Keywords: Windows Server 2003 User Group OU SID

© 2008 dtplertkrai. All Rights Reserved

0 Comment: