เคยไหมครับ เวลาพนักงานใหม่เข้าออฟฟิศวันแรก แล้วเราในฐานะ IT Support ต้องรีบวิ่งวุ่นเตรียมคอมพิวเตอร์และ Account ให้พร้อมใช้งาน? หนึ่งในงานสำคัญที่สุดก็คือการ สร้าง User Active Directory เพื่อให้เขาสามารถล็อกอินเข้าระบบและเข้าถึงไฟล์งานที่จำเป็นได้
หัวใจหลักของการจัดการเรื่องนี้ก็คือ Active Directory (AD) ซึ่งเปรียบเสมือนศูนย์กลางในการเก็บข้อมูล User, Computer, และสิทธิ์การเข้าถึงต่างๆ (หากใครยังไม่คุ้นเคย สามารถอ่านบทความเต็มๆ ของเราเพื่อทำความเข้าใจพื้นฐานก่อนได้เลยครับ) การจัดการ AD ได้อย่างถูกต้องและมีประสิทธิภาพจึงเป็นทักษะพื้นฐานที่ IT Support ทุกคนต้องมี วันนี้ NONGIT จะมาสรุปขั้นตอนการสร้าง User และ Group แบบจับมือทำ พร้อมอธิบาย “เหตุผล” เบื้องหลังแต่ละขั้นตอนในสไตล์รุ่นพี่ใจดีครับ
เตรียมตัวก่อนสร้าง User: Organizational Unit (OU) คืออะไร?
ก่อนที่เราจะสร้าง User ดื้อๆ เลย ผมอยากให้รู้จักกับ Organizational Unit (OU) กันก่อนครับ คิดง่ายๆ ว่า OU คือ “โฟลเดอร์” ที่เราสร้างขึ้นใน AD เพื่อจัดระเบียบ User, Computer, หรือ Group ต่างๆ ให้เป็นหมวดหมู่ตามแผนก เช่น ‘Sales', ‘Marketing', ‘IT' เป็นต้น
ทำไมต้องสร้าง OU?
- จัดระเบียบ: ทำให้ AD ของเราสะอาดตา หาของเจอง่าย
- กำหนดนโยบาย (Group Policy): เราสามารถใช้สิ่งที่เรียกว่า กำหนดนโยบาย (Group Policy) เพื่อสั่ง Block USB หรือตั้งค่า Wallpaper เฉพาะกับ User ในแผนก Sales ได้ โดยไม่กระทบแผนกอื่น นี่คือความสามารถหลักของ OU เลยครับ
ขั้นตอนการสร้าง OU:
- เปิดเครื่องมือ
Active Directory Users and Computers(หรือกดWin+Rแล้วพิมพ์dsa.msc) - คลิกขวาที่ชื่อ Domain ของคุณ แล้วเลือก New > Organizational Unit
- ตั้งชื่อ OU (เช่น IT) แล้วกด OK (แนะนำให้ติ๊ก “Protect container from accidental deletion” ไว้ด้วยครับ)
ขั้นตอนการสร้าง User บน Active Directory (Step-by-Step)
เมื่อเรามี “บ้าน” หรือ OU ให้ User อยู่แล้ว ก็ถึงเวลาสร้าง User จริงๆ กันครับ ผมจะสร้าง User ใน OU ที่ชื่อว่า ‘IT' เป็นตัวอย่างนะครับ
- คลิกขวาที่ OU ‘IT' ที่เราสร้างไว้ จากนั้นเลือก New > User
- กรอกข้อมูล User:
- First name/Last name: ชื่อ-นามสกุลจริงของพนักงาน
- Full name: จะถูกสร้างให้อัตโนมัติ
- User logon name: นี่คือ Username ที่พนักงานจะใช้ล็อกอินครับ ควรตั้งเป็นมาตรฐานเดียวกันทั้งองค์กร เช่น
firstname.l(nongit.a) หรือfirstinitial.lastname(n.admin)
- ตั้งค่ารหัสผ่าน (Password Settings):
- Password/Confirm password: ตั้งรหัสผ่านเริ่มต้นให้ User
- User must change password at next logon: ควรติ๊กเสมอ! เพื่อความปลอดภัย ให้ User เปลี่ยนเป็นรหัสผ่านที่เขารู้คนเดียวในครั้งแรกที่ล็อกอิน
- User cannot change password: สำหรับ User พิเศษ เช่น Service Account
- Password never expires: สำหรับ Service Account หรือ User ที่มีเหตุผลจำเป็นจริงๆ เพราะลดความปลอดภัยลง
- Account is disabled: สร้าง Account ไว้ก่อน แต่ยังไม่ให้ใช้งาน
- คลิก Next และ Finish ก็เป็นอันเรียบร้อย เราได้ User ใหม่ 1 คนแล้วครับ!
สร้าง Group ไว้จัดการสิทธิ์ ทำยังไง?
สมมติว่าแผนก IT ทุกคนต้องเข้าถึงโฟลเดอร์ ‘IT-Share' ได้ การที่เราจะไป Add สิทธิ์ให้ User ทีละคน (สมมติมี 50 คน) คงไม่สนุกแน่ๆ ครับ เราจึงต้อง สร้าง Group Active Directory ขึ้นมาชื่อว่า ‘IT_Access_Share' แล้ว Add User ทั้ง 50 คนเข้า Group นี้ จากนั้นเราก็ให้สิทธิ์ที่โฟลเดอร์ ‘IT-Share' กับ Group นี้แค่ครั้งเดียวพอ จบเลย!
ประเภทของ Group ที่ควรรู้จัก:
- Group type: เลือก Security เสมอถ้าต้องการใช้จัดการเรื่องสิทธิ์ (ส่วน Distribution ใช้กับอีเมล)
- Group scope: เป็นการกำหนดขอบเขตของกรุ๊ป ซึ่งมีรายละเอียดทางเทคนิคค่อนข้างลึก (สามารถอ่านเพิ่มเติมได้จาก เอกสารของ Microsoft เรื่อง Group Scopes) แต่สำหรับมือใหม่ ให้จำว่าใช้ Global เป็นหลักครับ
ขั้นตอนการสร้าง Group:
- ใน OU ที่ต้องการ (อาจจะสร้าง OU ชื่อ Groups มาเก็บโดยเฉพาะ) คลิกขวาแล้วเลือก New > Group
- ตั้ง Group name (เช่น IT_Access_Share), เลือก Group scope เป็น Global และ Group type เป็น Security
- คลิก OK
เพิ่ม User เข้า Group ทำได้กี่วิธี?
หลังจากมีทั้ง User และ Group แล้ว เราก็ต้องจับพวกเขามารวมกัน ซึ่งทำได้ 2 วิธีหลักๆ ครับ
- วิธีที่ 1: เพิ่มจากฝั่ง User (เหมาะสำหรับจัดการ User คนเดียว)
- ดับเบิลคลิกที่ User ที่ต้องการ
- ไปที่แท็บ Member Of แล้วกด Add…
- พิมพ์ชื่อ Group ที่ต้องการเพิ่มเข้าไป แล้วกด Check Names และ OK
- วิธีที่ 2: เพิ่มจากฝั่ง Group (เหมาะสำหรับเพิ่ม User หลายๆ คนเข้า Group เดียว)
- ดับเบิลคลิกที่ Group ที่ต้องการ
- ไปที่แท็บ Members แล้วกด Add…
- พิมพ์ชื่อ User ที่ต้องการเพิ่ม (สามารถใส่ได้หลายคน) แล้วกด Check Names และ OK
Conclusion
เพียงเท่านี้ คุณก็สามารถสร้าง User สำหรับพนักงานใหม่ และสร้าง Group เพื่อ จัดการ User AD ได้อย่างเป็นระบบแล้วครับ การวางโครงสร้าง OU ที่ดี การตั้งชื่อที่เป็นมาตรฐาน และการใช้ Group ในการให้สิทธิ์ คือพื้นฐานสำคัญที่จะช่วยให้ชีวิตของ IT Support ง่ายขึ้น ลดความผิดพลาด และทำให้ระบบโดยรวมมีความปลอดภัยสูงขึ้นมากครับ
FAQ (คำถามที่พบบ่อย)
-
User Disable กับ Delete ต่างกันยังไง?
Disable (ปิดการใช้งานชั่วคราว): Account ยังอยู่ครบทุกอย่าง ทั้งสิทธิ์และข้อมูล แค่ล็อกอินไม่ได้ เหมาะสำหรับพนักงานที่ลาพักร้อนนานๆ หรืออยู่ในช่วงสอบสวน เมื่อต้องการให้กลับมาใช้ก็แค่ Enable ครับ
Delete (ลบถาวร): คือการลบ Account และ SID (รหัสประจำตัวของ User) ทิ้งไปเลย ไม่สามารถกู้คืนได้ (ยกเว้นเปิด AD Recycle Bin ไว้) ถ้าสร้าง User ชื่อเดิมเป๊ะๆ ก็จะถือว่าเป็นคนละคนอยู่ดีครับ -
ตั้งชื่อ User Logon Name ยังไงให้ดี?
ควรสร้างเป็นมาตรฐานเดียวทั้งองค์กร เช่น
ชื่อจริง.ตัวแรกนามสกุล(nongit.a) หรือตัวแรกชื่อจริง.นามสกุล(n.admin) เพื่อป้องกันชื่อซ้ำและง่ายต่อการจดจำครับ -
ลืมติ๊ก “User must change password at next logon” จะเป็นอะไรไหม?
ไม่เป็นไร แต่ความปลอดภัยจะลดลงครับ เพราะ IT Support จะรู้รหัสผ่านของ User คนนั้น ซึ่งขัดกับหลักการความปลอดภัยที่ดีที่สุดคือ “รหัสผ่านต้องมีเพียงเจ้าของคนเดียวที่รู้” ครับ
