Basic Local Group Policy Page 1.

Basic Local Group Policy Contents 1.Basic Group Policy. 2.Component of the Local Group Policy Editor. & search Policy by using the Column 3.Various Options of settings in the Policy 4. Using Filter Options 5.Using Toolbar, Customize views and Keyboard shortcut 6. Comparison table. gpedit and regedit setting 7. Use Process Monitor (Procmon). Find the Registry key used in setting a Group Policy Object.   Page 1. Basic Group Policy บทความชุดนี้ จะเน้นในเรื่องพื้นฐาน และวิธีการใช้งาน gpedit.msc ของ Window OS ที่ใช้ในเครื่องคอมพิวเตอร์ส่วนบุคคลเป็นหลัก ทั้งนี้ก็เพื่อให้กลุ่มคนใช้คอมพิวเตอร์ทั่วไป หรือผู้ที่สนใจได้นำไปใช้ในชีวิตประจำวันได้อย่างถูกวิธี แต่ Page นี้ผมจะอธิบายเรื่องของ Group Policy แบบรวมๆก่อน ยังไม่ใช่ Local Group Policy โดยตรง     ทำไมถึงเรียกว่า Group Policy (นโยบายกลุ่ม) Group Policy เป็นเครื่องมือที่เริ่มมีมาตั้งแต่ Windows 2000, Microsoft สร้าง Group Policy ขึ้นมาก็เพื่อเป็นเครื่องมืออำนวยความสะดวกให้กับผู้ดูแลระบบ(หมายถึงใช้กับ Computer แบบ Server หน่ะ)สามารถควบคุมเครื่องลูกข่ายได้ง่ายจากจุดเดียว,Group Policy ก็มีลักษณะเหมือนโปรแกรมทั่วๆไป กล่าวคือ ตัวโปรแกรมได้มีการพัฒนา Update มาอย่างต่อเนื่องซึ่งในส่วนนี้ผมอยากจะแนะนำให้กับคนที่ชอบทำตาม Tip จากในอินเตอร์เน็ท หรือ หนังสือ ว่าให้สังเกตดูที่ช่อง Sopported on กันด้วยนะครับ(อ่านรายละเอียดที่ Page 3.) ทำความรู้จักกับ gpedit.msc กันสักเล็กน้อย...  ถ้าคุณไม่อยากจะมองให้มันเป็นเรื่องที่ยุ่งยากจะเกินเหตุ gpedit.msc ก็มีลักษณะการใช้งานเหมือนๆกับโปรแกรมปรับแต่ง(Tweak) ทั่วๆไปนั่นแหละ แต่มันก็มีข้อแตกต่างกันตรงที่... - gpedit.msc  เป็นโปรแกรมที่มีอยู่แล้วในตัว Windows คุณไม่ต้องเสียเวลาหาดาวน์โหลด แล้วต้องติดตั้งเอง - gpedit.msc มีตัวเลือกให้คุณได้ตั้งค่าได้มากกว่า และ ครอบคลุม Windows หลาย Versions กว่าโปรแกรมปรับแต่งทั่วๆไปหลายเท่า โดยใน Windows 8 จะมี Policy ที่ใช้สำหรับการตั้งค่าถึง 3,368 Policy และ Windows 7 =3030 - มีรูปแบบการใช้งานที่ง่าย : เพราะทุก Policy ที่ใช้ในตั้งค่าต่างๆมีคำอธิบายให้คุณได้รู้ด้วยว่า ต้องตั้งค่าอย่างไร และจะให้ผลลัพธ์อย่างไรบ้าง - ปลอดภัยกว่า : ถ้าคุณเป็นคนที่ขี้หลงขี้ลืม และกลัวว่าจะจำไม่ได้ว่าเคยเข้าไป ตั้งค่า Policy ไว้ที่หัวข้อไหนบ้างก็สามารถเขียน Comment ไว้กันลืมได้ด้วย และ การตั้งค่าใน gpedit ส่วนใหญ่(ที่ไม่ใช่ทั้งหมด)จะมีลักษณะการใช้งานในแบบ Switch ปิด/เปิดมากกว่า - ทุกตัวเลือกของการตั้งค่าใน gpedit.msc ให้ผลลัพธ์เป็นไปตามนั้นเสมอ(ก็มันเป็นของ Microsoft ที่มีอยู่คู่กับวินโดว์ไง) เว้นแต่ คุณจะแก้ทางด้วยการตั้งค่า(อะไรก็ตาม)ที่ให้ผลลัพธ์เหมือนกันด้วย Registry Editor แต่ในทางกลับกัน คุณก็สามารถใช้ gpedit แก้ไขค่า Registry ได้โดยที่ไม่ต้องไปเสี่ยง หรือเสียเวลาเข้าไปยุ่งเกี่ยวกับ key ใน Registry ได้ด้วย - เราเรียกหัวข้อต่างๆที่ใช้ในการกำหนด หรือ ตั้งค่าใน gpedit.msc ว่า Policy (นโยบาย) เราสามารถแบ่งการใช้งาน GPO ได้เป็นสองรูปแบบ..(แบ่งตามความเข้าใจของผมของผมนะ) 1. ถ้าเป็นการใช้งานบนเครื่อง Server ที่ทำหน้าที่เป็น Domain Controller โปรแกรมตัวนี้จะเรียกว่า Group Policy ManagementEditor, tool ตัวนี้จะมีให้พร้อมใช้ตั้งแต่ Windows Server 2008-2012(ปัจจุบัน) ถ้าเป็น Windows Server รุ่นที่เก่ากว่าจะมีเครื่องมือมาให้ 2 ตัวคือ Active Directory Users And Computers และ Active Directory Sites And Services แต่ถ้าต้องการเครื่องมีอที่มีความสามารถที่มากกว่าก็สามารถ Download Group Policy Management Console (GPMC) มาติดตั้งได้ 2. ถ้าคุณเปิดใช้งาน gpedit.msc บนเครื่องลูกข่าย, คอมพิวเตอร์ที่ใช้ตามบ้าน หรือ Note book ส่วนตัวอะไรทำนองนั้น โปรแกรมตัวนี้จะเรียกว่า Local Group Policy Editor(gpedit.msc) แต่ทั้งนี้ก็ต้องตรวจสอบรุ่นของ Windows กันก่อนนะครับ เพราะ gpedit.msc ไม่ได้ติดมากับ Windows ทุกรุ่น...รายละเอียดที่หัวข้อถัดไป ตรวจสอบรุ่นของ Windows OS ที่คุณใช้กันก่อนว่าสามารถใช้งาน Group Policy(gpedit.msc)ได้หรือไม่? ถ้าไม่นับรวมถึง Windows Server ตั้งแต่รุ่น 2000 จนถึงรุ่นล่าสุด ณ เวลาที่ผมเขียนบทความนี้คือ Windows Server 2012 ซึ่งก็ต้องมี Group Policy ให้ได้ใช้กันอยู่แล้ว สำหรับ Windows OS รุ่นที่ใช้งานกันทั่วไปที่ไม่ใช่ Server คุณจะต้องใช้ Windows OS รุ่นดังต่อไปนี้ครับ - Windows XP Professional -Windows Vista: Business, Ultimate, and Enterprise editions.  - Windows 7: Professional, Ultimate, and Enterprise editions. -Windows 8: Pro and Enterprise editions. * ถ้าคุณใช้ Windows รุ่นที่ต่ำกว่าที่ผมระบุไว้ Group Policy จะถูกตัดออกไป gpedit.msc มีประโยชน์อะไร หรือ ใช้ทำอะไรได้บ้าง? ใช้ทำกับข้าว,กวาดบ้าน,จ่ายตลาด..?!!(ว้าย!!..) เอาใหม่..ประโยชน์ของการใช้งาน Group Policy ก็พอจะสรุปได้ตามนี้ - จุดประสงค์หลักของการใช้ Group Policy ก็คือ ช่วยให้ผู้ดูแลระบบ(หมายถึงการใช้งานในแบบเครือข่าย)ควบคุม และกำหนดสิทธิ์ในการเข้าถึงของเครื่องลุกข่ายได้ง่ายจากจุดเดียว ยกตัวอย่างเช่น ถ้าคุณเป็นผู้ดูแลระบบในองค์กร มี Computer ลูกข่ายที่อยู่ในความรับผิดชอบอยู่ประมาณ 1,000 เครื่อง และ ถ้าคุณไม่ต้องการให้พนักงานเปลี่ยนแปลงภาพ Wallpaper ซึ่งอาจจะเป็นสัญลักษณ์ของบริษัท คุณก็แค่เปิด Group Policy Management Console(GPMC เป็นเครื่องมือในการใช้บริหารจัดการ GPO)จากนั้นก็ตั้งค่าตามที่คุณต้องการได้จากเครื่อง Server ของคุณเพียงจุดเดียวโดยที่การตั้งค่านั้นจะมีผลกับเครื่องลูกข่ายทั้งหมดของคุณเป็นต้น - ใช้กำหนดสิทธิ์ในการเข้าถึงส่วนติดต่อต่างๆของการใช้งาน Computer เช่น ถ้าคุณไม่ต้องการให้คนอื่นนำ USB Flash drive มาเสียบใช้กับ Computer ของคุณ, คุณก็แค่เข้าไปตั้งค่าในตัวเลือกของ gpedit.msc แค่ไม่กี่คลิกก็เสร็จแล้ว - การควบคุมการใช้งานของ Windows หลายอย่างสามารถทำได้โดยการตั้งค่าใน gpedit.msc และถ้าเปรียบเทียบกับการตั้งค่าใน Registry แล้ว การควบคุม Windows โดยการใช้ gpedit.msc เป็นวิธีการที่ง่าย,รวดเร็ว และปลอดภัยกว่า - ในกรณีคับขัน เช่น เครื่องของคุณอาจถูก Virus รับประทานไม่สามารถเปิดใช้งาน regedit, cmd, Run หรือ ตัวตั้งค่า Folder Options หาย, ฯลฯ ตัวอย่างของปัญหาเหล่านี้ gpedit.msc ช่วยคุณได้   พื้นฐานของการบังคับใช้ GPO เราสามารถแบ่งการควบคุมการใช้งาน Computer ผ่านทาง gpedit ได้เป็น 2 กลุ่มใหญ่ๆคือ (ดูที่ Pic 1.) 1. Computer Configuration : การตั้งค่าในกลุ่มนี้ จะมีผลเมื่อเริ่มมีการ Boot เข้าสู่ระบบปฏิบัติการ และมีผลกับทุก User 2. User Configuration: มีผลเฉพาะกับ User ที่กำลัง Log on อยู่ และได้มีการตั้งค่าในส่วนนี้เท่านั้น.   Group Policy Refresh Interval หรือการ Update การตั้งค่าต่างๆของ GPO - GPO บนเครื่อง Controller จะถูก Refresh ทุก 5 วินาที  - GPO บนเครื่อง Work station จะถูก Refresh ทุก 90-120 วินาที  - ค่า GPOที่เกี่ยวข้องกับ Security Setting จะทำการ Refresh เองทุก 16 ชั่วโมงไม่ว่าจะมี หรือ ไม่มีอะไรเปลี่ยนแปลงก็ตาม - ผู้ดูแลระบบสามารถปรับ แต่งการ Refresh ของ GPO ได้โดยการเลือก Refresh time หรือเลือกจาก Slow link detection mode ของ GPO * สำหรับผู้ใช้งานทั่วไปที่ใช้ Computer ตามบ้าน หรือใช้ Computer ส่วนตัว ผมแนะนำว่าให้คุณปิดการ Update Group Policy ไปได้เลยครับ... Q: ทำไมต้องปิด?... A: ก็ในเมื่อ Computer ของคุณไม่ได้เชื่อมต่อกับเครื่อง Server ในตอน Boot เข้าระบบก็ไม่มีความจำเป็นอะไรเลยที่จะต้องมาเสียเวลาไปกับการ Update Group Policy พูดง่ายๆก็คือ การปิด Update Group Policy มีส่วนช่วยลดเวลาในการ Boot เข้าระบบได้ไวขึ้น มาดูวิธีทำกัน ให้คุณ Copy Code ข้างล่างนี้ จากนั้นนำไป Paste ในโปรแกรม Notepad หรือ WordPad > Save as (ตั้งชื่ออะไรก็ได้ แต่ให้พิมพ์ต่อท้ายชื่อเป็นนามสกุล .reg > Double click ที่ file.reg > Yes > Yes > OK (ดูตัวอย่างที่ Pic 2.) Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System] "SynchronousUserGroupPolicy"=dword:00000000 "SynchronousMachineGroupPolicy"=dword:00000000 อื่นๆ ที่เกี่ยวกับ gpedit.msc - ตัวโปรแกรมถูกเก็บไว้ที่ C:\Windows\System32\gpedit.msc - การตั้งค่าของ Local Group Policy จะถูกจัดเก็บไว้ที่ C:\Windows\System32\GroupPolicy: คุณต้องกำหนดค่าใน Folder Options ให้เป็น ☻ Show hidden files. folder or drives ก่อนถึงจะมองเห็น Folder ที่ชื่อ GroupPolicy และ ผมก็แนะนำว่าถ้าไม่มีความรู้จริงๆก็อย่าทดลองแก้ไขเปลี่ยนแปลงอะไรเล่นกับ Files ต่างๆที่อยู่ในนั้นนะครับ(แต่ถ้าคุณรู้ตัวว่าคุณกำลังทำอะไรอยู่ก็ไม่ว่ากัน) - การตั้งค่าของ Local Group Policy Object ระดับ User จะถูกจัดเก็บไว้ที่ C:\Windows\System32\GroupPolicyUsers อ่านมาถึงตรงนี้บางคนอาจจะคิดว่า การใช้งาน gpedit.msc อะไรนี่น่าจะยุ่งยากเละน่าเวียนหัวน่าดู...เปล่าเลยครับ เพราะถ้าเทียบกับการควบคุมระบบวินโดว์ด้วย Registry แล้ว การใช้งาน Local Group Policy บนเครื่อง Computer ส่วนบุคคลนั้นเป็นเรื่องที่เรียกว่า "หวานเย็น" กว่ากันตั้งเยอะ, แต่ก่อนที่คุณจะหวานเย็นอย่างว่า ก็ต้องทำความรู้จักโปรแกรมตัวนี้ให้ลึกขึ้นอีกนิด ตั้งแต่ Page 2. - Page 5. จะเป็นเรื่องของวิธีการใช้งานโปรแกรม Local Group Policy (gpedit.msc)ล้วนๆครับRead more.