Active Directory คืออะไร? ทำไมทุกองค์กรต้องมี AD
Active Directory (AD) คือ บริการจัดการ Identity และ Access ของ Microsoft ที่ช่วยจัดการ User Account, Computer, Group และ Policy ทั้งหมดในองค์กรจากศูนย์กลาง AD เป็นพื้นฐานของระบบ IT องค์กรที่ใช้ Windows ทำให้พนักงาน Login ครั้งเดียว (Single Sign-On) เข้าใช้ทุกระบบ ควบคุม Security ผ่าน Group Policy จัดการ Permission ไฟล์และ Printer และบังคับ Password Policy ทั้งองค์กร ถ้าไม่มี AD IT ต้องจัดการ User ทีละเครื่อง ซึ่งเป็นไปไม่ได้สำหรับองค์กรที่มีพนักงาน 20 คนขึ้นไป
องค์ประกอบสำคัญของ Active Directory
| องค์ประกอบ | คำอธิบาย |
|---|---|
| Domain | ขอบเขตการจัดการ AD เช่น company.local หรือ company.co.th |
| Domain Controller (DC) | Server ที่รัน AD DS ให้บริการ Authentication และ Directory |
| Organizational Unit (OU) | โฟลเดอร์สำหรับจัดกลุ่ม User/Computer เช่น OU ตามแผนก |
| User Account | บัญชีผู้ใช้แต่ละคนในองค์กร |
| Group | กลุ่มของ User สำหรับกำหนด Permission เช่น IT-Admins, Finance-Users |
| Group Policy (GPO) | นโยบายที่บังคับใช้กับ User/Computer เช่น Password Policy, Software Restriction |
| DNS | AD ต้องใช้ DNS ในการทำงาน (AD-Integrated DNS) |
| LDAP | Protocol สำหรับ Query ข้อมูลจาก AD |
ขั้นตอนติดตั้ง Active Directory
Step 1: เตรียม Windows Server
- ติดตั้ง Windows Server 2022 (Standard หรือ Datacenter)
- ตั้ง Static IP Address เช่น 10.0.20.10/24 Gateway 10.0.20.1
- ตั้งชื่อ Server เช่น DC01
- อัปเดต Windows Update ให้ล่าสุด
Step 2: ติดตั้ง AD DS Role
- เปิด Server Manager → Add Roles and Features
- เลือก Active Directory Domain Services
- ติดตั้ง Role และ Feature ที่เกี่ยวข้อง
- หลังติดตั้ง คลิก “Promote this server to a domain controller”
Step 3: สร้าง Domain ใหม่
- เลือก “Add a new forest” ถ้าเป็น Domain แรก
- ตั้งชื่อ Domain เช่น company.local (แนะนำ .local สำหรับ Internal)
- ตั้ง Forest/Domain Functional Level เป็น Windows Server 2016 ขึ้นไป
- ตั้ง DSRM Password (สำคัญ เก็บไว้อย่างปลอดภัย)
- ระบบจะติดตั้ง DNS Server อัตโนมัติ
- Restart Server เมื่อเสร็จ
Step 4: สร้าง OU และ User
- เปิด Active Directory Users and Computers (ADUC)
- สร้าง OU ตามแผนก เช่น IT, Finance, HR, Marketing, Management
- สร้าง User Account ใน OU ที่เหมาะสม
- สร้าง Security Group เช่น IT-Admins, All-Staff, Finance-Team
- เพิ่ม User เข้า Group ตามแผนก/สิทธิ์
Step 5: Join PC เข้า Domain
- ตั้ง DNS ของ PC ชี้ไปที่ Domain Controller (10.0.20.10)
- System Properties → Computer Name → Change → เลือก Domain → ใส่ชื่อ Domain
- ใส่ Credential ของ Domain Admin
- Restart PC → Login ด้วย Domain Account
Group Policy (GPO) ที่ต้องตั้ง
| GPO | รายละเอียด | ตั้งค่าที่ไหน |
|---|---|---|
| Password Policy | ขั้นต่ำ 8 ตัว ซับซ้อน เปลี่ยนทุก 90 วัน | Default Domain Policy |
| Account Lockout | ล็อค Account หลัง Login ผิด 5 ครั้ง นาน 30 นาที | Default Domain Policy |
| Screen Lock | ล็อคหน้าจอหลัง Idle 10 นาที | OU ทั้งหมด |
| Software Restriction | ห้ามรัน .exe จาก Download/Temp | OU ที่ต้องการ |
| Drive Mapping | Map Network Drive อัตโนมัติ \\server\share | OU ตามแผนก |
| Windows Update | บังคับ Update ผ่าน WSUS | OU ทั้งหมด |
| Disable USB | ปิดการใช้ USB Storage ป้องกันข้อมูลรั่ว | OU ที่ต้องการ |
AD Best Practices
- DC อย่างน้อย 2 ตัว: ถ้า DC ตัวเดียวพังทั้ง Domain จะล่ม มี DC 2 ตัว Replicate กัน
- แยก Admin Account: ใช้ Account ปกติสำหรับงานประจำ ใช้ Admin Account เฉพาะเมื่อจำเป็น
- ตั้งชื่อ OU ให้เป็นระเบียบ: OU ตามแผนก ใน OU มี Sub-OU สำหรับ Users, Computers, Groups
- Backup AD: Backup System State ของ DC อย่างน้อยสัปดาห์ละครั้ง
- Monitor AD: ตรวจสอบ Replication, Event Log, Account Lockout อย่างสม่ำเสมอ
- Disable ไม่ใช่ Delete: เมื่อพนักงานลาออก Disable Account ก่อน รอ 30-90 วัน แล้วค่อย Delete
- Document ทุกอย่าง: บันทึก OU Structure, GPO, Group, Permission ไว้เป็นเอกสาร
สรุป Active Directory — รากฐานของ IT องค์กร
Active Directory เป็นระบบพื้นฐานที่สำคัญที่สุดสำหรับองค์กรที่ใช้ Windows ช่วยจัดการ User, Computer และ Policy จากศูนย์กลาง ลดภาระ IT และเพิ่ม Security หากต้องการข้อมูลเพิ่มเติม ติดตามได้ที่ SiamLanCard.com
