Active Directory คืออะไร? ระบบจัดการ Identity ที่ทุกองค์กรต้องมี
Active Directory (AD) คือ ระบบ Directory Service ของ Microsoft ที่ใช้จัดการ User, Computer, Group Policy และทรัพยากรทั้งหมดในองค์กรจากศูนย์กลาง Active Directory Domain Services (AD DS) เป็นหัวใจของ Windows Server Environment ทำให้พนักงานใช้ Username/Password เดียว Login เข้าคอมพิวเตอร์ทุกเครื่องในองค์กร (Single Sign-On) ผู้ดูแลระบบสามารถควบคุม Security Policy, Software Deployment, Access Control จากจุดเดียวผ่าน Group Policy สำหรับองค์กรที่มีคอมพิวเตอร์ตั้งแต่ 10 เครื่องขึ้นไป Active Directory เป็นสิ่งจำเป็น
ส่วนประกอบของ Active Directory
| ส่วนประกอบ | หน้าที่ | ตัวอย่าง |
|---|---|---|
| Domain | ขอบเขตการบริหารจัดการ เป็นหน่วยหลักของ AD | company.local, siamlancard.com |
| Domain Controller (DC) | Server ที่รัน AD DS เก็บฐานข้อมูล AD ทั้งหมด | DC01.company.local |
| Organizational Unit (OU) | โฟลเดอร์สำหรับจัดกลุ่ม Object (User, Computer, Group) | OU=IT, OU=Finance, OU=Servers |
| Group Policy Object (GPO) | นโยบายที่ใช้ควบคุม Setting ของ User/Computer | Password Policy, Desktop Wallpaper, Software Install |
| DNS | AD ต้องใช้ DNS ในการทำงาน DC จะเป็น DNS Server ด้วย | Integrated DNS Zone: company.local |
| LDAP | Protocol ที่ใช้ Query ข้อมูลจาก AD | LDAP://DC01.company.local |
| Kerberos | Protocol Authentication หลักของ AD | Ticket-based Authentication |
ขั้นตอนติดตั้ง Active Directory บน Windows Server 2022
Step 1: เตรียม Server
- Hardware: CPU 2+ Core, RAM 4+ GB, Disk 80+ GB (SSD แนะนำ)
- OS: Windows Server 2022 Standard หรือ Datacenter
- ตั้ง Static IP: DC ต้องใช้ IP คงที่ เช่น 10.0.20.10/24
- ตั้ง Hostname: ตั้งชื่อ Server เช่น DC01
- DNS: ตั้ง Preferred DNS เป็น 127.0.0.1 (ตัวเอง)
Step 2: ติดตั้ง AD DS Role
# PowerShell: ติดตั้ง AD DS Role
Install-WindowsFeature AD-Domain-Services -IncludeManagementTools
# Promote เป็น Domain Controller (สร้าง Forest ใหม่)
Install-ADDSForest `
-DomainName "company.local" `
-DomainNetbiosName "COMPANY" `
-ForestMode "WinThreshold" `
-DomainMode "WinThreshold" `
-InstallDns:$true `
-SafeModeAdministratorPassword (ConvertTo-SecureString "P@ssw0rd!2026" -AsPlainText -Force) `
-Force:$trueStep 3: ตรวจสอบหลังติดตั้ง
# ตรวจสอบ AD DS ทำงานปกติ
Get-ADDomainController -Filter *
Get-ADDomain
Get-ADForest
# ตรวจสอบ DNS
Resolve-DnsName company.local
Resolve-DnsName _ldap._tcp.dc._msdcs.company.local -Type SRV
# ตรวจสอบ Replication (ถ้ามี DC หลายตัว)
repadmin /replsummaryสร้าง OU, User, Group
สร้าง Organizational Unit (OU)
# สร้าง OU หลัก
New-ADOrganizationalUnit -Name "SiamLanCard" -Path "DC=company,DC=local"
# สร้าง OU ย่อย
New-ADOrganizationalUnit -Name "Users" -Path "OU=SiamLanCard,DC=company,DC=local"
New-ADOrganizationalUnit -Name "Computers" -Path "OU=SiamLanCard,DC=company,DC=local"
New-ADOrganizationalUnit -Name "Groups" -Path "OU=SiamLanCard,DC=company,DC=local"
New-ADOrganizationalUnit -Name "IT" -Path "OU=Users,OU=SiamLanCard,DC=company,DC=local"
New-ADOrganizationalUnit -Name "Finance" -Path "OU=Users,OU=SiamLanCard,DC=company,DC=local"สร้าง User
# สร้าง User ทีละคน
New-ADUser -Name "สมชาย ใจดี" `
-GivenName "สมชาย" -Surname "ใจดี" `
-SamAccountName "somchai.j" `
-UserPrincipalName "[email protected]" `
-Path "OU=IT,OU=Users,OU=SiamLanCard,DC=company,DC=local" `
-AccountPassword (ConvertTo-SecureString "Welcome@2026" -AsPlainText -Force) `
-Enabled $true `
-ChangePasswordAtLogon $trueสร้าง Group
# สร้าง Security Group
New-ADGroup -Name "GRP-IT-Staff" `
-GroupScope Global -GroupCategory Security `
-Path "OU=Groups,OU=SiamLanCard,DC=company,DC=local"
# เพิ่ม User เข้า Group
Add-ADGroupMember -Identity "GRP-IT-Staff" -Members "somchai.j"Group Policy (GPO) — ควบคุมทุกอย่างจากศูนย์กลาง
GPO ที่ควรตั้งค่าสำหรับทุกองค์กร
| GPO | Setting | ค่าแนะนำ |
|---|---|---|
| Password Policy | Minimum Length, Complexity, Max Age | 12+ chars, Complexity On, 90 days |
| Account Lockout | Lockout Threshold, Duration | 5 attempts, 30 min lockout |
| Audit Policy | Logon Events, Object Access | Success + Failure |
| Windows Update | WSUS Server, Schedule | Auto Download, Install Weekly |
| Desktop Restrictions | Control Panel, CMD, Registry | Disable สำหรับ User ทั่วไป |
| Drive Mapping | Map Network Drive อัตโนมัติ | H: = Home, S: = Shared |
AD Backup และ Disaster Recovery
- DC อย่างน้อย 2 ตัว: มี DC สำรองเสมอ ถ้า DC หลักพัง DC สำรองทำงานต่อได้ทันที
- System State Backup: Backup AD Database (NTDS.dit) ด้วย Windows Server Backup ทุกวัน
- Authoritative Restore: กู้ Object ที่ถูกลบด้วย Authoritative Restore จาก Backup
- AD Recycle Bin: เปิด AD Recycle Bin เพื่อกู้ Object ที่ถูกลบได้ง่ายๆ ภายใน 180 วัน
- DVFS Replication: ถ้ามี DC หลายตัว ให้ตั้ง Replication ให้ถูกต้อง ตรวจสอบด้วย repadmin
# เปิด AD Recycle Bin
Enable-ADOptionalFeature -Identity "Recycle Bin Feature" `
-Scope ForestOrConfigurationSet `
-Target "company.local" -Confirm:$falseBest Practices สำหรับ Active Directory
- ใช้ชื่อ Domain ที่เป็นเจ้าของ: ใช้ subdomain ของ Domain จริง เช่น ad.company.com แทน company.local
- Separate Admin Accounts: Admin ต้องมี Account แยก ไม่ใช้ Account เดียวกับการทำงานทั่วไป
- Tiered Administration: แยก Admin ออกเป็น Tier 0 (DC), Tier 1 (Server), Tier 2 (Workstation)
- Fine-Grained Password Policy: ตั้ง Password Policy ต่างกันสำหรับ Admin (เข้มงวดกว่า) และ User ทั่วไป
- Monitor AD Health: ตรวจสอบ DC Health, Replication, DNS อย่างสม่ำเสมอ
- ลบ Stale Objects: ลบ Computer/User Account ที่ไม่ได้ใช้งาน 90+ วัน
สรุป Active Directory — ระบบจัดการที่ทุกองค์กรต้องมี
Active Directory เป็นระบบพื้นฐานที่สำคัญที่สุดสำหรับองค์กรที่ใช้ Windows Server ช่วยจัดการ User, Computer, Security Policy จากศูนย์กลาง การติดตั้งและตั้งค่าที่ถูกต้องตั้งแต่แรกจะช่วยลดปัญหาและเพิ่มความปลอดภัยอย่างมาก หากต้องการข้อมูลเพิ่มเติม ติดตามได้ที่ SiamLanCard.com
