Logon Hours คือ เวลาที่คุณสามารถทำการ Logon เข้ามาใช้งาน เช่น ถ้าบอกว่าทุกท่านที่อยู่ในห้องนี้ จะสามารถทำการ logon
ได้ตั้งแต่ 8:00-17:00 หลังจากนั้น จะทำการ logon
ไม่ได้ ถึงแม้ว่าจะมี user Account ที่ถูกต้องก็ตามกำหนดช่วงเวลาในการ logon
Log On To คือ (คุณทำการ logon ได้เพียง
Domain เดียว User Account มันอยู่ที่ Domain
เดียวนะครับ) คุณสามารถเข้าไปทำการ logon ที่เครื่องใดก็ได้
ซึ่งโดยปกติเราจะทำการ logon ที่เครื่องใดก็ได้ถูกไหม
คุณสามารถกำหนดได้ว่าตัวคุณเองสามารถกำหนดได้เฉพาะ 2 เครื่องนี้เท่านั้น
คุณจะไม่สามารถทำการไปนั่งทำการ logon ที่เครื่องอื่นๆ ได้
สิ่งที่คุณจะต้องทำก็คือ คุณจะต้องทำการใส่ชื่อ computer name ที่ user คนนั้น ว่าต้องการให้ user Account นี้ทำการ logon เข้าได้เฉพาะเครื่องนี้เท่านั้น ต้องไปทำทีละ user Account นะครับ เพราะโดยธรรมชาติ user จะสามารถทำการ logon จะ 1000 เครื่องก็ได้ ไม่มี
limit ไม่มี session
User must change password at next logon คือ
เมื่อคุณทำการ logon ครั้งแรก มันจะฟ้องให้คุณทำการเปลี่ยน password
ทันที โดยปกติเราก็จะต้องทำการติ๊ก checkbox นี้ เมื่อเราสร้าง
user Account ขึ้นมาใหม่สำหรับพนักงานที่เข้ามาใหม่
เราอาจจะกำหนด password ง่ายๆ ไปก่อนถึงเวลาเขาทำการ logon
เข้ามาครั้งแรก มันจะฟ้องให้ทำการเปลี่ยน password พนักงานใหม่คนนั้น ก็ทำการใส่ password เองเลยครั้งแรกครั้งเดียว
User cannot change password คือ user ไม่สามารถทำการเปลี่ยน
password ได้ด้วยตัวเอง ปกติเปลี่ยนได้ไหม เปลี่ยนได้
เปลี่ยนได้ไงครับ user Account บน AD คุณสามารถทำการเปลี่ยน password ได้เองนะครับ ไม่ต้องรอ
policy ถ้าสมมุติว่า คุณอยากจะทำการเปลี่ยน
คำถามคือเปลี่ยนได้อย่างไร มันจะมี command line ในการเปลี่ยน
user Account ของตัวเอง ไม่ใช่ไปเปลี่ยนของชาวบ้านนะ เพราะคุณไม่มีสิทธิอยู่แล้ว
Password never expires คือ ไม่วันหมดอายุ ถามต่อว่าใช้ตอนไหน
ใช้เมื่อไหร่ ทำไมถึงต้องมี user Account ที่บอกว่า password
never expires มีสาเหตุไหมว่าทำไม password user นั้นๆ ทำไมถึงไม่ expires ถ้าเขามี password
never expires เขาจะไม่มี policy ที่จะมาทำการ
force policy ทุกๆ คน จะต้องเปลี่ยน password ทุก 30 วัน แต่มีผมคนเดียวที่ไม่จำเป็นต้องเปลี่ยน password
เพราะ never expires ถามว่าทำไหมต้องเป็นผม หรือใครก็แล้วแต่ที่
password never expires ประเด็นที่ผมถามคือ
คุณใช้เพื่ออะไรล่ะ (อย่างนี้ก็แสดงว่าทุกคนติ๊กได้หมดเลย) และ password
policy มีไว้ทำอะไร? คุณจำเป็นต้องรู้นะ
ถ้าคุณกำลังเป็น Admin มันมีเหตุผลที่เขามีใช้ในการ manage service ในกรณีที่ user Account ไปผูกกับ Service ที่มัน start คุณเคยเข้าไปดูใน console service คิดขวาที่ service
แล้วเลือก properties มันจะมี Tab logon
มันจะมีให้เลือกว่า service นั้นจะทำการ start
ด้วย system account หรือ domain user Account
ถ้าคุณใส่ Domain user Account คุณก็ต้องใส่ user
Account ที่สร้างจาก AD ถูกไหม และถ้าคุณไม่ติ๊ก
password never expires สำหรับของ Account นั้น เมื่อถึงเวลา 30 วัน ต้องเปลี่ยนคุณจะรู้ได้ไงว่าคุณจะต้องเปลี่ยน ในเมื่อ user Account นั้น มันไม่เคยถูก logon
เลย แต่มันกลับถูกใช้ในการ start service ถ้าเป็น
user ปกติคุณทำการ logon ครบ 30 วัน มันจะทำการแจ้งเตือนให้คุณทำการเปลี่ยน password แต่ถ้าคุณใช้มันแค่ใช้ในการ
start พอครบ 30 วันแล้วไม่ได้ทำการติ๊ก
password never expires มันจะขึ้น At list one
service fail เพราะว่า password policy มันให้คุณเปลี่ยน แต่คุณยังไม่ยอมเปลี่ยน เนี่ยคือเหตุผลหนึ่ง ที่ถ้าคุณจะเอา user Account ไปใส่ในการ start
service user Account นั้นจะต้อง password never expires แต่ในวอร์ชั่นนี้ เป็นต้นไป มีวิธีการใหม่แล้วไม่ต้องทำแบบนี้แล้ว
แบบนี้จะต้องใช้ใน Windows Server 2003 ลงไป จะต้องทำแบบนี้
นี้คือเหตุผลสำคัญที่ทำไมจะต้องมี password never expires ในบ้างกรณีที่ผมเจอจำเป็นต้องใช้
แต่นี้ไม่ได้เป็นเหตุผลหลักที่จำเป็นต้องใช้ เช่น เข้าไปบ้าง site เจอผู้ใหญ่ขี้เกียจเปลี่ยน password บ่อย เพราะของเดิมยังจำไม่ค่อยได้เลยเดี๋ยว
30 วัน จะเปลี่ยนอีกแล้ว เรื่อง technical เรื่องหนึ่งครับ เรื่อง requirement ในระดับที่ไม่ใช่ปกติธรรมดาก็ password
never expires แต่ไม่ได้เป็นเหตุผลหลักนะครับ
Account is disabled คือ ใช้ในกรณีพนักงานลาออก แล้วต้องการที่จะ Trace ว่า ก่อนที่พนักงานคนนี้จะทำการลาออก เขาได้ไป Access อะไรบ้าง เราก็จะทำการ disabled Account นั้นๆ ไว้ก่อน เพื่อทำการ
Trace แต่ถ้าเราไปลบออก sid หาย ตาม Trace
อะไรต่อไม่ได้เลยนะครับ ซึ่งเราจะทำการสร้าง OU หนึ่งขึ้นมา สำหรับคนที่ลาออก ถ้าเกิดมีคนใหม่เข้ามา คุณอยากให้มีคุณสมบัติเหมือนคนเดิม
คุณก็ copy account ได้ แล้วสุดท้ายค่อยลบทิ้งก็ได้
ไม่แนะนำให้ทำการลบทิ้ง Account นั้นโดยทันที เพราะบ้างที่พนักงานสามารถเป็นสมาชิกได้ในหลายๆ กลุ่ม อย่างเช่น Bank
อย่างนี้ พอถึงเวลาผู้ใหญ่อยากรู้ว่าพนักงานที่ลาออกไปทำการ Access
อะไรบ้าง ไม่รู้เพราะ SID มันโดนลบไปแล้ว
Store password by using reversible encryption คือ
โดยปกติ password มีการ encryption แต่คุณสามารถที่จะทำการ
Reversible การ encryption ได้
ด้วยเหตุผลบ้างอย่างเช่น เราอยากจะรู้ password คนๆนั้น
หมายถึงในการทำงานจริงแค่สั่ง Reset password ก็จบแล้ว
Smart Card is required for interactive logon คือ อันนี้เป็น option ในการใช้
Smart Card ทำการ logon แต่คุณจะต้องมี
Smart Card Reader ถึงหน้าจอ logon จะเปลี่ยนจาก username,
password เป็น enter code ใส่เป็น code ก็ logon เลย เป็นการ logon อีกแบบหนึ่งหรือ
finger print ถ้าอุปกรณ์ หรือเครื่องคอมพิวเตอร์ของคุณมี
drive
Account is trusted for delegation คือ
ใช้ในกรณีที่คุณกำลังเข้าไปทำการ Access Server เครื่องนั้น แล้วปรากฏว่า ต้องมีการติดต่อไปยัง
Server อีกเครื่องหนึ่ง เพื่อทำการ Access เข้าอีกตัว เหมือน SSO
Account expires คือ เกิดขึ้นตอนที่คุณสร้าง User, Account ว่า User, Account นั้นใช้งานได้กี่วัน เมื่อครบตามจำนวนวันนั้นแล้ว Account จะสั่งทำการ Expires แต่ถ้าโดยปกติเราไม่ได้มีการกำหนดเรื่องของ Expires