Allow Logon Locally
- Details
- Category: GPO Corner
- Published on 19/06/2013
- Hits: 16407
โดยทั่วไป เครื่อง Domain Controller นั้น ผู้ที่มีสิทธิ์ในระดับ Domain Administrator นั้นจะสามารถ Logon เข้าที่หน้าเครื่องได้เท่านั้น เราจะไม่สามารถใช้ Domain User อื่นในการ Logon ที่หน้าเครื่องได้เลย อันที่จริงมันไม่ได้มีเพียงแค่ Domain Admin เพียงคนเดียวเท่านั้นนะ แต่ยังมี Group อื่น ๆ อีกที่สามารถ Logon ได้ และยังสามารถพิ่มสิทธิ์ให้คนอื่น หรือ Domain User ทั่วไปได้อีกด้วย
Group ที่มีติดมาโดยค่าพื้นฐานของ Windows ที่อนุญาตให้สามารถ Logon ที่หน้าเครื่องแบ่งเป็นดังนี้
Workstation และ Server ทั่วไปได้แก่ Administrators, Backup Operators, Power Users, Users, and Guest
Domain Controller ได้แก่ Account Operators, Administrators, Backup Operators, Print Operators, and Server Operators
คราวนี้ลองหันกลับไปที่เครื่อง Domain Controller ของตนเองดูว่า เราสามารถใช้ Domain User ธรรมดาในการ Logon ได้หรือไม่ แน่นอนว่าไม่สามารถทำได้ ซึ่งถ้าหากต้องการที่จะทำให้ได้ เราก็ต้องมาแก้ Group Policy กันดังนี้
สร้าง GPO ขึ้นมาใหม่ ชื่อว่า Allow Logon Locally
Browse Policy ไปที่ Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\
ค้นหา Policy ที่มีชื่อว่า Allow log on locally
จากนั้น ให้กำหนดกลุ่มที่มีค่าปกติเข้าไปก่อน แล้วค่อยเพิ่ม Group หรือ User ที่ต้องการตามเข้าไปทีหลัง
เพียงเท่านี้ก็จะสามารถทำให้ Group หรือ User ใด ๆ ที่ต้องการสามารถ Logon เข้าที่หน้าเครื่องได้แล้ว
คำถามคือ เอาไว้ทำอะไร ทำไมจะต้องให้ User ทั่วไปสามารถ Logon หน้าเครื่อง Domain Controller ได้, ซึ่งคำตอบของผมก็คือ เอาไว้สำหรับการ Operation ต่าง ๆ ซึ่งดูได้จาก Group ที่เป็นค่าปกตินั้น เช่น Backup Operators group ก็จะมีสิทธิ์ในการ Backup Process โดยที่ไม่สามารถทำอย่างอื่นได้มากนัก เพราะถูก Policy บังคับไว้ ซึ่งเราก็สามารถใช้วิธีการนี้เพื่อ Grant สิทธิ์ให้กับกลุ่มอื่น ๆ ในการทำงานด้านอื่นได้เช่นกัน โดยที่ไม่จำเป็นต้อง Logon ด้วย Domain Admin ระดับสูงสุดเสมอไป