ในการทำระบบ Active Directory เรามักจะสร้าง domain controller อย่างน้อย 2 เครื่องเพื่อให้ระบบมี high availability ที่สูงขั้น เผื่อเครื่องหนึ่งหยุดทำงานระบบจะได้ไม่หยุดชะงัก และในบางครั้งที่หน่วยงานมีการทำ security ในคอนเซป least privilege คือไม่ยอมให้ account Administrator แต่ให้สร้างเป็น account ธรรมดาที่มีสิทธิ์ขั้นต่ำแค่ promote domain controller ได้เท่านั้น สามารถทำได้โดยเพิ่ม account ดังกล่าวเข้าในกรุ๊ปดังต่อไปนี้

  • Domain Admins
  • Enterprise Admins
  • Schema Admins

แต่อย่างไรก็ตาม account ดังกล่าวก็ยังไม่สามารถ login เข้าไปในเครื่อง domain controller เพื่อตรวจสอบการทำงานหลังจาก promote ได้ เพื่อให้ login ได้จำเป็นต้องเพิ่มอีก 1 กรุ๊ปคือ

  • Administrators

สังเกตุว่าถ้าเป็นกรุ๊ปจะมี “s” ต่อท้าย แต่ถ้าเป็นผู้ใช้งาน (คน) จะไม่มี “s” เช่น Administrators กับ Administrator

รูปข้างล่างแสดง tab Member Of ซึ่งจะบอกได้ว่าอยู่ในกรุ๊ปไหนบ้างMinimum_Privilege_to_Promote_Domain_Controller_1
สำหรับ Domain Users จะเป็นกรุ๊ปที่ถูกเพิ่มโดยอัตโนมัติเวลาสร้างผู้ใช้งานใหม่

Advertisements