Active Directory GPO คืออะไร? ควบคุมคอมพิวเตอร์ทั้งองค์กร
Group Policy Object (GPO) คือ เครื่องมือใน Active Directory ที่ให้ IT ควบคุมการตั้งค่าคอมพิวเตอร์และผู้ใช้ทั้งองค์กรจากจุดเดียว แทนที่จะตั้งค่าทีละเครื่อง GPO ให้ตั้งค่าครั้งเดียวแล้วบังคับใช้กับทุกเครื่อง เช่น ตั้ง Password Policy บังคับ Windows Update ปิด USB Block เว็บ ตั้งค่า Desktop Background หรือ Deploy Software GPO เป็นพื้นฐานที่ IT ทุกองค์กรต้องรู้
GPO ทำงานอย่างไร
- สร้าง GPO: สร้างใน Group Policy Management Console (GPMC)
- Link ไปยัง OU: Link GPO ไปยัง Organizational Unit (OU) ที่ต้องการบังคับใช้
- Computer/User: GPO มี 2 ส่วน Computer Configuration (บังคับใช้กับเครื่อง) และ User Configuration (บังคับใช้กับผู้ใช้)
- gpupdate: Client ดึง GPO มาใช้ทุก 90 นาที หรือรัน gpupdate /force
- ลำดับ: Local → Site → Domain → OU (LSDOU) GPO ที่ใกล้ที่สุดมีผลสูงสุด
GPO สำคัญที่ต้องตั้ง
| GPO | การตั้งค่า | ทำไมสำคัญ |
|---|---|---|
| Password Policy | ขั้นต่ำ 12 ตัว มีความซับซ้อน หมดอายุ 90 วัน | ป้องกัน Brute Force |
| Account Lockout | ล็อคหลัง 5 ครั้งที่ผิด ล็อค 30 นาที | ป้องกัน Brute Force |
| Windows Update | ชี้ไป WSUS ตั้งเวลาติดตั้ง | Patch สม่ำเสมอ |
| USB Block | บล็อก USB Storage ยกเว้นที่อนุญาต | ป้องกันข้อมูลรั่วไหล |
| Screen Lock | ล็อคหน้าจอหลังไม่ใช้งาน 10 นาที | ป้องกันคนอื่นใช้เครื่อง |
| Firewall | เปิด Windows Firewall ทุกเครื่อง | ป้องกัน Network Attack |
| BitLocker | เข้ารหัส Disk ด้วย BitLocker | ป้องกันข้อมูลถ้า Laptop หาย |
| Audit Policy | เปิด Audit Logon, Object Access, Policy Change | เก็บ Log สำหรับ Investigation |
Security Baseline
- คืออะไร: ชุด GPO ที่ Microsoft แนะนำเป็นมาตรฐาน Security ขั้นต่ำ
- Microsoft Security Baseline: ดาวน์โหลดจาก Microsoft Security Compliance Toolkit
- CIS Benchmark: มาตรฐานจาก Center for Internet Security ละเอียดกว่า
- วิธีใช้: Import Baseline เข้า GPMC ปรับแต่งตามความต้องการ Link ไปยัง OU
GPO Best Practices
- ตั้งชื่อให้ชัด: ตั้งชื่อ GPO ให้บอกว่าทำอะไร เช่น “SEC-PasswordPolicy” “CFG-WindowsUpdate”
- ไม่แก้ Default Domain Policy: สร้าง GPO ใหม่แทนการแก้ Default Domain Policy
- OU Structure: จัด OU ให้เป็นระบบ แยก Computer/User Link GPO ไปยัง OU ที่เหมาะสม
- ทดสอบก่อน: ทดสอบ GPO ใน Test OU ก่อน Deploy ทั้งองค์กร
- Security Filtering: ใช้ Security Filtering จำกัดว่า GPO บังคับใช้กับ Group ไหน
- Document: Document GPO ทุกตัว ทำอะไร ทำไม Link ที่ไหน
- ลด GPO: ไม่สร้าง GPO เยอะเกินไป รวม Setting ที่เกี่ยวข้องใน GPO เดียว
- Backup: Backup GPO สม่ำเสมอ กรณีลบหรือแก้ไขผิด
- gpresult: ใช้ gpresult /r ตรวจสอบว่า GPO ถูก Apply กับเครื่อง/User หรือไม่
Troubleshoot GPO
- gpresult /r: ดูว่า GPO ไหนถูก Apply กับเครื่อง/User
- gpupdate /force: บังคับ Update GPO ทันที ไม่ต้องรอ 90 นาที
- RSOP: Resultant Set of Policy ดู GPO ผลลัพธ์สุดท้ายที่บังคับใช้
- Event Log: ดู Event Log > Application > Group Policy สำหรับ Error
- Replication: ตรวจสอบว่า DC Replicate GPO ถูกต้อง ใช้ repadmin
สรุป GPO — ควบคุมคอมพิวเตอร์ทั้งองค์กรจากจุดเดียว
GPO เป็นเครื่องมือที่ทรงพลังสำหรับ IT ตั้ง Password Policy Account Lockout Windows Update USB Block และ Security Baseline ทดสอบก่อน Deploy Document ทุกตัว หากต้องการข้อมูลเพิ่มเติม ติดตามได้ที่ SiamLanCard.com
