ความรู้เบื้องต้นเกี่ยวกับคอมพิวเตอร์

ลบยูสเซอร์แอคเคานต์

กรณีที่มีพนักงานในบริษัทลาออกไปหรือถูกไล่ออก ผู้ดูแลระบบจึงต้องลบยูสเซอร์แอคเคานต์นี้ออกไป โดยคลิกขวาตรงชื่อยูสเซอร์ที่ต้องการจะลบ และเลือกคำสั่ง Delete จะปรากฏหน้าต่าง Active Directory Domain Services ถามย้ำว่า ต้องการลบออบเจ็กต์ตัวนี้แน่หรือไม่ ถ้าพร้อมให้คลิกปุ่ม Yes เพื่อยืนยันการลบ

ยกเลิก / เปิดใช้งานยูสเซอร์แอคเคานต์

กรณีที่มีพนักงานในบริษัทถูกสั่งพักงาน ผู้ดูแลระบบจะไม่ลบยูสเซอร์นี้ออกไป เพราะการลบยูสเซอร์จะเป็นการลบค่า SID นี้ทิ้งไปด้วย เมื่อพนักงานคนนี้กลับมาทำงานอีกครั้ง และเราต้องสร้างยูสเซอร์ใหม่โดยใช้ชื่อเดิม แต่ค่า SID จะเปลี่ยนเป็นค่าใหม่ (ไม่สามารถเรียกคืนค่า SID เดิมได้) ทำให้สิทธิ์ต่างๆ ในการเข้าถึงทรัพยากรจะไม่เหมือนเดิม คือต้องมากำหนดสิทธิ์กันใหม่ จึงขอแนะนำให้ทำการ Disable Account เพื่อยกเลิกยูสเซอร์แอคเคานต์ไว้ชั่วคราว และเมื่อพนักงานคนนี้กลับมาทำงาน ผู้ดูแลระบบสามารถ Enable Account ให้ทำงานใหม่ได้อีกครั้ง

ยกเลิกยูสเซอร์แอคเคานต์ชั่วคราว

Disable Account จะทำให้ยูสเซอร์คนนั้นล็อกออนเข้าสู่ระบบไม่ได้ (แต่ยูสเซอร์แอคเคานต์และ SID ยังอยู่) ให้คลิกขวาที่ชื่อยูสเซอร์และเลือกคำสั่ง Disable Account จะแสดงหน้าต่างแจ้งให้ทราบว่า “Object < user name > has been disable” จากนั้นคลิกปุ่ม OK

เปิดใช้งานยูสเซอร์แอคเคานต์

Enable Account เป็นการสั่งให้ยูสเซอร์แอคเคานต์ทำงานได้ตามปกติ ให้คลิกขวาที่ชื่อยูสเซอร์ และเลือกคำสั่ง Enable Account จะแสดงหน้าต่างแจ้งให้ทราบว่า “Object < user name > has been Enable” จากนั้นคลิกปุ่ม OK

ปลดล็อกยูสเซอร์แอคเคานต์

หากมีพนักงานบริษทกำลังล็อกออนเข้าคอมพิวเตอร์ตามปกติ แต่กลับได้รับข้อความแจ้งว่า “บัญชีรายชื่อของคุณถูกห้ามเข้าใช้ กรุณาติดต่อผู้ดูแลระบบด่วน” ปัญหานี้อาจเกิดจากนโยบายด้านความปลอดภัย (Domain Security Policy) ของระบบ ซึ่งผู้ดูแลระบบจะกำหนด Account Lockout Policy เอาไว้ว่าถ้ายูสเซอร์ใส่รหัสผิดกี่ครั้งจะทำการ Locked out สาเหตุที่พนักงานคนดังกล่าวล็อกออนเข้าระบบไม่ได้ทั้งที่ใส่รหัสผ่านถูกต้อง

อาจเนื่องมาจากมีบุคคลอื่นพยายามใช้ยูสเซอร์ของพนักงานคนดังกล่าวในการล็อกออน แต่เดารหัสผ่านผิดหลายครั้ง จนทำให้ยูสเซอร์ถูกล็อก ซึ่งผู้ดูแลระบบสามารถช่วยปลดล็อกยูสเซอร์แอคเคานต์ได้ โดยทำตามขั้นตอนดังนี้

ที่เครื่องมือ Active Directory Users and Computers ให้มาที่คอนเทนเนอร์ Users จากนั้นดับเบิลคลิกตรงชื่อยูสเซอร์ที่ถูกล็อก จะปรากฏหน้าต่าง < ชื่อยูสเซอร์ > …..Properties คลิกแท็บ Account และให้เอาเครื่องหมายถูกออกที่ Unlock account จากนั้นคลิกปุ่ม OK ยูสเซอร์ของพนักงานรายนี้ก็จะสามารถทำงานได้ตามปกติ

Windows Server 2012 R2

โดเมนคอนโทรลเลอร์เครื่องแรกที่ถูกติดตั้งบนโดเมนเรียกว่า “Primary Domain Controller” จะมีฐานข้อมูล “Active Directory Database” สำหรับเก็บข้อมูลต่างๆ เช่น ยูสเซอร์, Certificates, COM+, Identity ฯลฯ

ส่วนโดเมนคอนโทรลเลอร์ตัวที่ 2 – 3 เรียกว่า “Additional Domain Controller”

มีไว้สำหรับแบ็กอัพข้อมูลที่สำคัญของ Primary Domain Controller เอาไว้ ซึ่งฐานข้อมูล Active Directory ที่เก็บอยู่บนโดเมนคอนโทรลเลอร์ทุกตัวจะเป็นแบบ Writeable สามารถแก้ไข – เปลี่ยนแปลงได้ โดเมนคอนโทรลเลอร์ทำงานแบบ Multi Master ทำให้สามารถจะแก้ไขอัพเดตที่โดเมนคอนโทรลเลอร์ตัวใดก็ได้

ปกติแล้วไฟล์ NTDS.DIT จะเก็บ Active Directory Database เอาไว้ เมื่อระบบจะทำการปรับปรุงข้อมูลระหว่างโดเมนคอนโทรลเลอร์ให้เหมือนกัน

ก็จะทำการเรพลิเคชัน (Replication หรือ สำเนา) ตัว Active Directory Database ทั้งก้อนไปยัง Additional Domain Controller ในระบบ

ทรี (Tree) และ ฟอเรสต์ (Forests)

ในการออกแบบโดเมนบนระบบ Windows Server จะใช้รูปแบบของทรี (Tree) และฟอเรสต์ (Forests) ร่วมกัน โดยมีการจัดลำดับชั้น (Hierarchy) คล้ายๆ โครงสร้างแบบป่า – ต้นไม้ (Forests – Tree)

ทรี (ต้นไม้)

หมายถึง กรุ๊ปของโดเมนบน Windows Server ซึ่งจะมี Name space ที่ต่อเนื่องกัน และอยู่ภายใต้ทรีเดียวกัน เช่น ในโครงสร้าง AD มีโดเมนชื่อ bandhit.com โดยมีโดเมนย่อยชื่อ cm.bandhit.com และ bkk.bandhit.com นอกจากนี้ยังมีแผนกย่อย sale.bkk.bandhit.com อีกด้วย แสดงให้เห็นว่าเป็นการจัดการโครงสร้างลำดับชั้น (Hierarchical) ภายใต้ Name space เดียวกัน เรียกว่า Single Domain tree

ฟอเรสต์ (ป่า)

หมายถึง การรวมกลุ่มของโดเมน (Active Directory Domain) หรือ ทรีหลายๆ ทรีเอาไว้ด้วยกัน ซึ่งแต่ละโดเมนจะอยู่ภายใต้ Name space ของตัวเองไม่เกี่ยวข้องกับโดเมนอื่น จากรูปจะเห็นได้ว่ามีอยู่ 2 โดเมนด้วยกัน คือ bandhit.com และ business.com ทั้งสองโดเมนสามารถจะเชื่อมโยงความสัมพันธ์ระหว่างโดเมนและใช้ระบบตรวจสอบร่วมกันได้ด้วยการทำ Trust Relationship โดยที่ระบบ Windows Server จะเป็นแบบ Transitive Trust (โดเมนแรกที่ถูกสร้างขึ้นจะอยู่บนสุด เรียกว่า Forest Root Domain)

Trust Relationship

Trust Relationship เป็นการสร้างความน่าเชื่อถือระหว่างโดเมน สำหรับองค์กรหรือหน่วยงานที่มีมากกว่า 1 โดเมน จะต้องมีการแลกเปลี่ยนทรัพยากรระหว่างกัน คือทำให้ยูสเซอร์สามารถเรียกใช้งานทรัพยากรที่อยู่คนละโดเมนกันได้ด้วยการ ล็อกออนเพียงครั้งเดียว หรือ Single Sign – on ปกติแล้ว Trust Relationship จะมีอยู่ 2 แบบคือ Transitive Trusts และ Non – Transitive Trusts