การ Raise Domain & Forest Functional Level อ้างอิงจาก http://technet.microsoft.com/en-us/library/cc787290(v=ws.10).aspx Domain / Forest Functional Level คือการระบุความสามารถโดยรวมของ Active Directory ทุกตัว ใน Domain หรือใน Forest ว่าจะมาความสามารถสุงสุดในแบบไหนบ้าง ตัวอย่างเช่น Domain Functional Level มีให้เลือกปรับแต่งได้ 6 ระดับดังต่อไปนี้ (ในแต่ละระดับก็มีความสามารถแตกต่างกัน)   Domain functional level. 1. Windows 2000 mixed (the default in Windows Server 2003) 2. Windows 2000 native 3. Windows Server 2003 interim 4. Windows Server 2003 5. Windows Server 2008 6. Windows Server 2008 R2 ส่วน Forest Functional...

ภาพรวม ของ Active Directory Data Store อ้างอิงจาก http://technet.microsoft.com/en-us/library/cc772829(WS.10).aspx Directory Partition ส่วนประกอบ และข้อควรจำ: อ้างอิงจาก http://technet.microsoft.com/en-us/library/cc961591.aspx http://www.tech-faq.com/directory-partitions.html AD Database จัดเก็บไว้ที่  c:windowsNTDS ซึ่งแยกข้อมูเป็น Logical ดังนี้   1. Domain Partition เป็น Partition ที่ใช้เก็บข้อมูลเกี่ยวกับ users, computers, groups, และมีอยู่ได้ในหลาย Domain ใน Forest เดียวกันมีการ replicate ไปยัง Domain Controller ทุกตัวใน Domain เดียวกัน 2. Configuration Partition มีแค่หนึ่งเดียวใน Forest เก็บข้อมูลเกี่ยวกับ โครงสร้างของ Forest เช่น Domains, Sites ถูกผูกไว้กับ Domain Controller ตัวไหน หรือ ข้อมูลเช่น Domain Controller ตัวไหนมีอยู่ใน Forest นั้น ๆ บ้าง มีการ replicate...

รู้จักประเภทของ โดเมนและการเลือกใช้งานกันครับ จากรูปด้านล่างแสดงถึง Enterprise Admins Group ที่สมาชิกใน Groups นี้สามารถเข้าไปบริหารจัดการได้ทุก Domain ใน Forest เดียวกัน · Additional Domain Controller เป็นการเพิ่ม Domain Controller เข้าไปใน Domain ที่มีอยู่แล้ว เพื่อแบ่งเบาภาระการทำงานของ Domain Controller ที่มีอยู่ก่อนหน้านี้และเพิ่มการรองรับการทำงานในกรณีที่ Domain Controller ทีมีอยู่ก่อนหน้านี้อาจไม่สามารถทำงานได้ชั่วคราว (เรียกการทำงานแบบนี้ว่า Multi – Master) คือสามารถทำงานทดแทนกันได้ จากรูปด้านบน dc01.demo.local เป็น Domain Controller ตัวแรกที่เราได้สร้างขึ้นจาก LAB ที่ผ่านมา และ dc02.demo.local เป็น Additional Domain Controller ของ Domain demo.local · Child Domain เป็นการสร้าง Domain ไว้ในกรณีที่ เราต้องการบริหารจัดการแบบรวมศูนย์ แต่ ….. ต้องการแยกขอบเขตการบริหารจัดการกัน ยกตัวอย่างเช่น สำนักงานใหญ่อยู่กรุงเทพ ต้องการตั้งสำนักงานสาขาที่เชียงใหม่ จึงตั้งระบบ Child...

การออกแบบและใช้งาน Read Only Domain Controller (RODC) สำหรับการออกแบบ Branch Office Read Only Domain Controller มีข้อดีคือ   1. ช่วยให้การ Authentication เร็วขึ้น 2. RODC ไม่เก็บ Password ใน AD Database แต่ทำ Caching 3. การ Replication เป็นแบบ One Way 4. สามารถออกแบบได้ว่าใครจะต้อง Login โดยผ่าน RODC 5. RODC ใช้ในสถานการณ์ที่ มี User สาขาน้อย (15 – 30 User ในสาขานั้น) 6. RODC ใช้ในสถานการณ์ที่ พื้นที่วาง Server ในสาขาไม่ค่อยปลอดภัย 7. มี Network ระหว่าง Main Link กับ Branch Offices ในระดับที่ช้า 8. ใน Branch...

ความเข้าใจเรื่อง DNS Caching DNS Caching ช่วยลดภาระในการ Query และทำให้การ Query เร็วขึ้น การ Caching Record มีทั้งฝั่ง Client และ Server ซึ่งสามารถ Clear ได้โดยใช้คำสั่ง Ipcofig /FulshDNS หรือ DNSCmd.exe /Clearcache การดู Cache ที่เก็บไว้ใน Server สามารถใช้คำสั่ง Ipconfig /DisplayDNS รูปภาพแสดงการ Clear Cache ด้วย GUI   TIP: เนื้อหาที่ต้องทำความเข้าใจเกี่ยวกับ DNS / WINS · ถ้า DNS อยู่บน Domain Controller ควร Remove Root Hint ออกจาก DNS Console ให้หมดเพื่อป้องกันการ Iterative Query ออกไปข้างนอก · ปิดการ Allow Transfer DNS หรือเลือกปิด...

ผู้ดูแลระบบ Active Directory จะเจอปัญหานี้บ่อยครับ ว่าในแต่ละ Groups ที่เราสร้างขึ้นมา มีสามาชิก Members เป็นใครบ้าง ยังถูกต้องอยู่เป็นปัจจุบันหรือเปล่า จึงเป็นเรื่องที่ต้องเรียนรู้หลากหลายวิธีการสร้าง Report ออกมาครับ   การ Export Group member ของ Active Directory มาเป็นรายงาน ที่ผมใช้เป็นประจำมีดังนี้ 1. ใช้เครื่องมือ Dumpsec.exe Dompsec.exe เป็นเครื่องมือ Free Download ครับ สามารถเปิดใช้งานได้เลย ง่ายและสะดวกในการ Export Data ต่าง ๆ ในระบบ วิธีใช้ก็เปิดขึ้นมาแล้วเลือก Dump user as column จากนั้นเลือก Focus ในข้อมูลที่ต้องการ Export ออกมาได้เลยครับ Save เป็นไฟล์ .csv แล้วเอาไปใช้งานต่อได้หลากหลายครับ 2. ใช้ DSQUERY ส่วนใหญ่ผมจะใช้ในกรณีที่สนใจ Group นั้นเป็นพิเศษ แล้วทำเป็น Batch Run ไว้ครับ เช่น ผมต้องการตรวจสอบเป็นประจำว่า Group = G-Finance มีสมาชิกเป็นใครบ้าง ก็ใช้คำสั่งดังนี้ครับ dsquery...

ใช้งาน คำสั่ง dsadd เพื่อ Create User ต่อไปนี้เป็นการเรียนรู้สารพัดรูปแบบในการสร้าง Object ใน Active Diretory นะครับ ตัวอย่างต่าง ๆ เหล่านี้มีไว้เผื่อนำไปประยุกต์ใช้กับการสร้างระบบ Active Directory ที่ต้องการสร้าง Object จำนวน มาก ๆ พร้อมกันครับ การสร้าง User / Computer / Groups ด้วย GUI (เครื่องมือ Active Directory users and computers) การใช้ Command Line สร้างและจัดการ User Dsadd เป็น command-line ที่ใช้สร้าง User โดยที่รูปแบบคำสั่งเป็นประมาณนี้ dsadd user "cn=suttipan,ou=Management,dc=demo,dc=local" -upn [email protected] -fn suttipan -ln passorn -pwd password@1 -mustchpwd no  -pwdneverexpires no -disabled no ค่าที่ใช้บ่อยของ...

วิธีการ สร้าง Saved Queries อ้างอิงจาก http://technet.microsoft.com/en-us/library/cc771131(WS.10).aspx ในการบริหารจัดการระบบ การค้นหา Object ที่มีปริมานมากในระบบเป็นภาระอย่างหนึ่งของผู้ดูแลระบบ ทั้งนี้ได้รวบรวม Query ประจำที่ใช้ในการบริหารจัดการ Object ดังนี้ เรียกการทำงานแบบนี้ว่า Save Queries นะครับ สถานการณ์จริงที่ผู้เขียนประสบมาแล้วจำเป็นต้องใช้ Function Save Query บ่อย ๆ คือการที่ระบบตั้งค่าให้พิมพ์รหัสผ่านผิดเกิน 5 ครั้งแล้ว User จะถูก Lock ไม่สามารถเข้าระบบได้ แต่ดันเกิดเจอ Worm / Virus ระบาดในระบบ Network ทำให้สร้าง Authentication ผิด ๆ ส่งมาที่ Server จำนวนมาก เป็นผลให้ User ทั้งระบบเกิดการเข้าใช้งานไม่ได้   การตั้งค่า Save Query ในการหา User Account ที่ถูก Lock ช่วยให้ทราบได้ว่าระบบมีการระบาดของ Worm / Virus ชนิดนี้หรือไม่ แลยังช่วยให้สามารถปลด Lock...

dsmove: Moves objects to another container within the domain ตัวอย่างการใช้งาน รูปแบบคำสั่ง dsmove UserDN -newparent TargetOUDN ย้าย User = itsupport02 ไปอยู่ OU = management ครับ dsmove "CN=itsupport02,OU=IT,DC=demo,DC=local" -newparent "OU=Management,DC=demo,DC=local" dsmod: Modifies objects ใช้คำสั่งเพื่อหา User ชื่อ suttipan แล้วทำการเพิ่มรายละเอียดว่าอยู่ Office = Bangkok dsquery user -name "*suttipan" | dsmod user -office "Bangkok" Tip: การใช้ตัวแปร username สำหรับ DS commands ใช้คำว่า $username$ แทนการเรียกใช้ %username%.

คำสั่งนี้ผมใช้บ่อยในการค้นหา User ที่ไม่ได้ใช้งานเพื่อทำการลบออกจากระบบครับ dsquery user -inactive 10 -limit 0 เลข 10 หมายถึงจำนวนอาทิตย์นะครับ การนำไปประยุกต์ใช้ค้นหา User และ Computer Object ที่ไม่มีการใช้งานแล้วย้ายไปอยู่ใน OU พิเศษเพื่อเตรียมลบออกจากระบบครับ ทำ Batch Script เพื่อใช้งานตรวจสอบ user ที่ไม่ค่อยได้ใช้งาน 12 อาทิตย์ for /f "Tokens=*" %%s in ('dsquery user -inactive 12 -limit 0') do ( DSMOVE %%s -newparent "OU=Quarantine,DC=demo,DC=local" ) ทำ Batch Script เพื่อใช้งานตรวจสอบ user ที่ไม่ค่อยได้ใช้งาน 12 อาทิตย์ for /f "Tokens=*" %%s in ('dsquery computer -inactive 12 -limit...