Logon Hours คือเวลาที่คุณสามารถทำการ Logon เข้ามาใช้งาน เช่น ผมบอกว่าทุกท่านที่อยู่ในห้องนี้จะสามารถทำการ logon
ได้ตั้งแต่ 8:00-17:00 หลังจากนั้นคุณจะทำการ logon
ไม่ได้ถึงแม้ว่าคุณจะมี user Account ที่ถูกต้องก็ตาม
กำหนดช่วงเวลาในการ logon
Log On To คือ (คุณทำการ logon ได้เพียง
Domain เดียว User Account มันอยู่ที่ Domain
เดียวนะครับ) คุณสามารถเข้าไปทำการ logon ที่เครื่องใดได้
ซึ่งโดยปกติเราจะทำการ logon ที่เครื่องใดก็ได้ถูกไหม
คุณสามารถกำหนดได้ว่าตัวคุณเองสามารถกำหนดได้เฉพาะ 2 เครื่องนี้เท่านั้น
คุณจะไม่สามารถทำการไปนั่งทำการ logon ที่เครื่องอื่นๆ ได้
สิ่งที่คุณจะต้องทำก็คือคุณจะต้องทำการใส่ชื่อ computer name ที่ user คนนั้นว่าต้องการให้ user Account นี้ทำการ logon เข้าได้เฉพาะเครื่องนี้เท่านั้นต้องไปทำทีล่ะ
user Account นะครับเพราะโดยธรรมชาติ user จะสามารถทำการ logon จะ 1000 เครื่องก็ได้ไม่มี
limit ไม่มี session
User must change password at next logon คือ
เมื่อคุณทำการ logon ครั้งแรกมันจะฟ้องให้คุณทำการเปลี่ยน password
ทันที โดยปกติเราก็จะต้องทำการติ๊ก checkbox นี้เมื่อเราสร้าง
user Account ขึ้นมาใหม่สำหรับพนักงานที่เข้ามาใหม่
เราอาจจะกำหนด password ง่ายๆ ไปก่อนถึงเวลาเขาทำการ logon
เข้ามาครั้งแรก มันจะฟ้องให้ทำการเปลี่ยน password พนักงานใหม่คนนั้นก็ทำการใส่ password เองเลยครั้งแรกครั้งเดียว
User cannot change password คือ user ไม่สามารถทำการเปลี่ยน
password ได้ด้วยตัวเอง ปกติเปลี่ยนได้ไหม เปลี่ยนได้
เปลี่ยนได้ไงครับ user Account บน AD คุณสามารถทำการเปลี่ยน password ได้เองนะครับไม่ต้องรอ
policy นะครับ ถ้าสมมุติว่าคุณอยากจะทำการเปลี่ยน
คำถามคือเปลี่ยนได้อย่างไร มันจะมี command line ในการเปลี่ยน
user Account ของตัวเองนะ
ไม่ใช่ไปเปลี่ยนของชาวบ้านนะเพราะคุณไม่มีสิทธิอยู่แล้ว
Password never expires คือ ไม่วันหมดอายุ ถามต่อว่าใช้ตอนไหน
ใช้เมื่อไหร่ ทำไมถึงต้องมี user Account ที่บอกว่า password
never expires มีสาเหตุไหมว่าทำไม password user นั้นๆทำไมถึงไม่ expires ถ้าเขามี password
never expires เขาจะไม่มี policy ที่จะมาทำการ
force policy ทุกๆคนจะต้องเปลี่ยน password ทุก 30 วัน แต่มีผมคนเดียวที่ไม่จำเป็นต้องเปลี่ยน password
เพราะ never expires ถามว่าทำไหมต้องเป็นผมหรือใครก็แล้วแต่ที่
password never expires ประเด็นที่ผมถามคือ
คุณใช้เพื่ออะไรล่ะ (อย่างนี้ก็แสดงว่าทุกคนติ๊กได้หมดเลย)และ password
policy มีไว้ทำอะไร? คุณจำเป็นต้องรู้นะ
ถ้าคุณกำลังเป็น Admin มันนะครับ มันมีเหตุผลที่เขามี
ใช้ในการ manage service ในกรณีที่ user Account ไปผูกกับ Service ที่มัน start คุณเคยเข้าไปดูใน console service คิดขวาที่ service
แล้วเลือกproperties มันจะมี Tab logon
มันจะมีให้เลือกว่า service นั้นจะทำการ start
ด้วย system account หรือ domain user Account
ถ้าคุณใส่ Domain user Account คุณก็ต้องใส่ user
Account ที่สร้างจาก AD ถูกไหมและถ้าคุณไม่ติ๊ก
password never expires สำหรับของ Account นั้นเมื่อถึงเวลา 30 วันต้องเปลี่ยนคุณจะรู้ได้ไงว่าคุณจะต้องเปลี่ยน
คุณจะรู้ได้ไง ในเมื่อ user Account นั้นมันไม่เคยถูก logon
เลย แต่มันกลับถูกใช้ในการ start service ถ้าเป็น
user ปกติคุณทำการ logon ครบ 30 วันมันจะทำการแจ้งเตือนให้คุณทำการเปลี่ยน password แต่ถ้าคุณใช้มันแค่ใช้ในการ
start พอครบ 30 วันแล้วไม่ได้ทำการติ๊ก
password never expires มันจะขึ้น At list one
service fail เพราะว่า password policy มันให้คุณเปลี่ยนแต่คุณยังไม่ยอมเปลี่ยนมัน
เนี่ยคือเหตุผลหนึ่งที่ถ้าคุณจะเอา user Account ไปใส่ในการ start
service user Account นั้นต้อง password นั้นจะต้อง password นั้นจะต้อง password นั้นจะต้อง password never expires แต่ในวอร์ชั่นนี้เป็นต้นไปมีวิธีการใหม่แล้วไม่ต้องทำแบบนี้แล้ว
แบบนี้จะต้องใช้ใน Windows Server 2003 ลงไปจะต้องทำแบบนี้
นี้คือเหตุผลสำคัญที่ทำไมจะต้องมี password never expires ในบ้างกรณีที่ผมเจอจำเป็นต้องใช้
แต่นี้ไม่ได้เป็นเหตุผลหลักที่จำเป็นต้องใช้ เช่นเข้าไปบ้าง site เจอผู้ใหญ่ขี้เกียจเปลี่ยน password บ่อยเพราะของเดิมยังจำไม่ค่อยได้เลยเดี๋ยว
30 วันจะเปลี่ยนอีกแล้ว เรื่องtechnical เรื่องหนึ่งครับ เรื่อง requirementในระดับที่ไม่ใช่ปกติธรรมดาก็password
never expires แต่ไม่ได้เป็นเหตุผลหลักนะครับ
Account is disabled คือ ใช้ในกรณีพนักงานลาออก แล้วต้องการที่จะTrace ว่าก่อนที่พนักงานคนนี้จะทำการลาออก เขาได้ไป Access อะไรบ้างเราก็จะทำการ disabled Account นั้นๆไว้ก่อนเพื่อทำการ
Trace แต่ถ้าเราไปลบออก sid หาย ตาม Trace
อะไรต่อไม่ได้เลยนะครับ ซึ่งเราจะทำการสร้าง OU หนึ่งขึ้นมาสำหรับคนที่ลาออก ถ้าเกิดมีคนใหม่เข้ามาคุณอยากให้มีคุณสมบัติเหมือนคนเดิม
คุณก็ copy account ได้แล้วสุดท้ายค่อยลบทิ้งก็ได้
ไม่แนะนำให้ทำการลบทิ้ง Account นั้นโดยทันที
เพราะบ้างที่พนักงานสามารถเป็นสมาชิกได้ในหลายๆกลุ่มอย่างเช่น Bank
อย่างนี้ พอถึงเวลาผู้ใหญ่อยากรู้ว่าพนักงานที่ลาออกไปทำการAccess
อะไรบ้างไม่รู้เพราะ SID มันโดนลบไปแล้ว
Store password by using reversible encryption คือ
โดยปกติ password มีการ encryption แต่คุณสามารถที่จะทำการ
Reversible การ encryption ได้
ด้วยเหตุผลบ้างอย่างเช่นเราอยากจะรู้ password คนๆนั้น
หมายถึงในการทำงานจริงแค่สั่ง Reset password ก็จบแล้ว
Smart Card is required for interactive logon คือ อันนี้เป็น option ในการใช้
Smart Card ทำการ logon แต่คุณจะต้องมี
Smart Card Reader ถึงหน้าจอlogon จะเปลี่ยนจากusername,
password เป็นenter codeใส่เป็น code ก็logon เลยเป็นการlogon อีกแบบหนึ่งหรือ
finger print ถ้าอุปกรณ์หรือเครื่องคอมพิวเตอร์ของคุณมี
drive
Account is trusted for delegationคือ
ใช้ในกรณีที่คุณกำลังเข้าไปทำการ Access Server เครื่องนั้นแล้วปรากฏว่าต้องมีการติดต่อไปยัง
Server อีกเครื่องหนึ่ง เพื่อทำการ Access เข้าอีกตัว เหมือน SSO
Account expires คือ เกิดขึ้นตอนที่คุณสร้าง User, Account ว่า User, Account นั้นใช้งานได้กี่วันเมื่อครบตามจำนวนวันนั้นแล้ว Account จะสั่งทำการ Expires แต่ถ้าโดยปกติเราไม่ได้มีการกำหนดเรื่องของ Expires