CHAPTER 4

บทที่ 4
การบริหารบัญชีผู้ใช้
(Account Administration)

ขณะติดตั้งวินโดวส์เอ็นทีเซอร์ฟเวอร์ ๆ จะสร้างรหัสบัญชีผู้ใช้และกลุ่มผู้ใช้จำนวนหนึ่งขึ้นมาพร้อมทั้งกำหนดสิทธิ์การใช้งานต่างๆ เพื่อเป็นจุดเริ่มต้นของการรักษาความปลอดภัยของระบบ โดยมีรหัสผู้ใช้,กลุ่มผู้ใช้ที่ถูกสร้างขึ้นมาดังต่อไปนี้

รหัสผู้ใช้

Administrator
Guest
Internet guest account (IUSR_XXXX) ในกรณีที่เลือกติดตั้ง Internet Web Server
Replicator

กลุ่มผู้ใช้

Administrators
Backup Operators
Account Operators
Guests
Print Operators
Replicators
Server Operators
Users

ในกรณีกำหนดบทบาทเป็น PDC หรือ BDC จะมีกลุ่มเพิ่มเติมดังนี้

Domain Admins
Domain Guests
Domain Users

การจัดการบัญชีผู้ใช้ทำได้โดยใช้โปรแกรม User Manager for Domain ซึ่งอยู่ในเมนู Administrative Tool ดังรูป

นอกจากการเพิ่มรหัสผู้ใช้และกลุ่มผู้ใช้ที่ได้กล่าวมาแล้ว วินโดวส์เอ็นทียังได้สร้างกลุ่มผู้ใช้ สำหรับการทำงานภายในระบบ ซึ่งไม่สามารถมองเห็นได้จากโปรแกรม User Manager for Domain กลุ่มที่สร้างมีดังนี้

INTERACTIVE
NETWORK
EVERYONE
SYSTEM
CREATOR OWNER

รหัสผู้ใช้ที่สร้างขึ้นไว้แต่ละผู้ใช้มีวัตถุประสงค์ดังต่อไปนี้

Administrator
ถูกสร้างขึ้นเพื่อใช้ในการบริหารจัดการวินโดวส์เอ็นที รหัสผู้ใช้นี้ไม่สามารถลบออกได้ แต่สามารถเปลี่ยนชื่อเป็นอย่างอื่นได้ และเมื่อเปลี่ยนชื่อแล้วยังคงมีอำนาจตามเดิม (เนื่องจาก วินโดวส์เอ็นที ยังคงใช้ Security Identifier เดิม) อย่างไรก็ตามผู้บริหารระบบควรสร้างรหัสผู้ใช้ที่มีความสามารถเท่ากับ Administrator เพิ่มขึ้นเพื่อใช้เป็นรหัสสำรองในกรณีที่ไม่สามารถใช้รหัส Administrator ได้

ความสามารถของ Administrator มีดังนี้

สร้าง แก้ไข ลบ รหัสบัญชีผู้ใช้
สร้าง แก้ไข ลบ กลุ่มผู้ใช้แบบ Global
สร้าง แก้ไข ลบ กลุ่มผู้ใช้แบบ Local
กำหนดความสามารถในการทำงาน (User Right)
ล๊อคเซอร์ฟเวอร์
ฟอร์แมตจานแม่เหล็ก
สร้าง Common Group
จัดเก็บ Local Profile
แชร์และหยุดการแชร์ ไดเร็คทอรี่
แชร์และหยุดการแชร์ เครื่องพิมพ์

Guest
เป็นรหัสผู้ใช้ที่มีสิทธิ์ในการใช้งานน้อย ถูกสร้างขี้นมาเพื่อให้ผู้ใช้ในเครือข่ายทำ Network logon เข้ามาที่เซอร์ฟเวอร์ได้โดยที่ไม่ต้องสร้างรหัสบัญชีผู้ใช้รายนั้นไว้ในเครื่อง ซึ่งเป็นความสะดวกในการเข้าใช้ทรัพยากร ในกรณีที่ต้องการทำเช่นนี้ รหัสผู้ใช้ Guest จะต้องไม่มี รหัสผ่าน และไม่ได้ปิด(Disable)ไว้ (รหัสผู้ใช้นี้จะคล้ายกับรหัสผู้ใช้ Anonymous ในยูนิกซ์) ปกติเมื่อติดตั้ง NT Server รหัสผู้ใช้นี้จะถูก Disable ไว้ แต่ใน NT Workstation จะถูก Enable ไว้

Internet Guest Account (IUSR_xxx)
เป็นรหัสผู้ใช้ที่ถูกสร้างขึ้นเพื่อใช้สำหรับ Logon แทนเครื่องลูกข่ายที่เข้ามาขอรับบริการด้านอินเตอร์เน็ต เช่น บริการด้านเอกสาร(World Wide Web), บริการการโอนถ่ายแฟ้มข้อมูล(File Transfer) เป็นต้น โดยที่ผู้ใช้จากเครือข่ายใดๆ เมื่อเรียกเอกสารหรือแฟ้มข้อมูลผ่านมายัง NT Server แล้ว NT Server จะทำให้โปรแกรมที่ให้บริการอยู่นั้นทำการ Logon ด้วยรหัสผู้ใช้ที่เป็น Internet Guest Account จากนั้นระบบความปลอดภัยจะทำงานโดยดูจากสิทธิ์และการอนุญาติให้ใช้ข้อมูลของ Internet Guest Account ทั้งนี้เป็นไปตามมาตรฐานของระบบความปลอดภัยของ NT ซึ่งจะได้กล่าวในบทต่อไป

รหัสผู้ใช้ของ Internet Guest จะถูกสร้างขึ้นโดยนำหน้าด้วย "IUSR_" และตามด้วยชื่อเครื่อง NT Server สำหรับรหัสผ่านของ Internet Guest Account จะถูกสร้างขึ้นด้วยวิธีการสุ่มและเก็บไว้ในฐานข้อมูลรหัสบัญชีผู้ใช้ อย่างไรก็ตามผู้ดูแลระบบ(Administrator) สามารถเปลี่ยนแปลงชื่อผู้ใช้/รหัสผ่านให้เป็นอย่างอื่นได้ ทั้งนี้ต้องตรงกันกับการกำหนดใน Internet Server ด้วย

Replicator Account
ใช้ในการจัดการเกี่ยวกับการ Replicate (ทำสำเนาข้อมูลข้ามเครื่อง) จากเครื่องหนึ่งไปอีกเครื่องหนึ่ง

Group Accounts (Domain Group)
การสร้างกลุ่มผู้ใช้ขึ้นมาจะช่วยในการจัดการต่างๆสะดวกขึ้น โดยที่การกำหนดสิทธิ์ในการเข้าถึงข้อมูลและทรัพยากรต่างๆสามารถกำหนดให้ที่ระดับกลุ่มแทน การกำหนดเป็นรายบุคคล เมื่อได้กำหนดสิทธิ์แก่กลุ่มแล้ว ถ้าต้องการให้ผู้ใช้รายได้มีสิทธิ์เหมือนกัน ก็เพืยงแต่นำผู้ใช้รายนั้นเข้าไปเป็นสมาชิกของกลุ่ม นอกจากนี้เมื่อมีการย้ายแผนกของผู้ใช้ก็ไม่จำเป็นต้องลบข้อมูลสิทธิ์เดิมออกไปแล้วสร้างสิทธิ์ใหม่ เพียงแต่ย้ายจากการเป็นสมาชิกกลุ่มเดิมเข้าเป็นสมาชิกกลุ่มใหม่เท่านั้น ประเภทของกลุ่มผู้ใช้มี 2 ชนิดคือ

Global Group กลุ่มที่เป็นที่รู้จักของเครื่องทุกเครื่องที่เป็นสมาชิกภายในโดเมนนั้น
Local Group กลุ่มที่อยู่ในเครื่องแต่ละเครื่อง

การกำหนดสมาชิกภายใน Global Group มีข้อจำกัดคือ สมาชิกของ Global Group จะเป็น Domain User เท่านั้น ส่วน Local Group สามารถมีสมาชิกได้หลายแบบ ได้แก่ Local User, Global Group, Domain User เป็นต้น จะเห็นได้ว่า Global Group และ Domain User สามารถเป็นสมาชิกของ Local Group ได้ ซึ่งหมายถึง Domain Group และ Domain User สามารถเข้าใช้ทรัพยากรของ NT เครื่องใดก็ได้

สัญญลักษณ์ในโปรแกรม User Manager for Domain ที่ใช้แยกความแตกต่างระหว่าง Global และ Local คือ

สัญญลักษณ์ที่มีรูปลูกโลก(World) ใช้แทนระดับ Global
สัญญลักษณ์ที่มีรูปเครื่องคอมพิวเตอร์ ใช้แทนระดับ Local

กลุ่มผู้ใช้ที่ถูกสร้างขึ้นมาขณะที่ติดตั้งวินโดวส์เอ็นที ซึ่งไม่สามารถมองเห็นได้ในโปรแกรม User Manager for Domain ที่ได้กล่าวมาแล้วนั้นใช้ในการทำงานดังต่อไปนี้

INTERACTIVE หมายถึงผู้ใช้ที่ Logon เข้าไปที่เครื่องเอ็นทีโดย Local logon ซึ่งต้องกด Ctrl+Alt+Delete ที่คีย์บอร์ด
NETWORK หมายถึงผู้ใช้ที่ Logon ผ่านเครือข่าย(Network Logon) เช่นเมื่อผู้ใช้ทำ Local logon ที่เครื่องที่หนึ่งผู้ใช้นั้นจะอยู่ในกลุ่ม INTERACTIVE เมื่อเข้าไปใช้เครื่องเอ็นทีเครื่องที่สอง ผู้ใช้นี้จะถูกจัดอยู่ในกลุ่ม NETWORK
EVERYONE หมายถึงผู้ใช้ทุกคนที่เข้าใช้วินโดวส์เอ็นทีทั้ง Local และ Network logon มีความหมายเท่ากับ INTERACTIVE + NETWORK
SYSTEM หมายถึงผู้ใช้ที่ใช้งานภายในระบบของวินโดวส์เอ็นทีเอง เช่น โปรเซสการทำงานต่างๆของระบบปฎิบัติการ
CREATOR OWNER หมายถึงผู้ใช้ที่เป็นผู้ที่เป็นเจ้าของซึ่งได้สร้างทรัพยากรนั้นขี้นมา เช่น ไดเร็คทอรี่,เครื่องพิมพ์

กลุ่ม SYSTEM และ CREATOR OWNER เป็นกลุ่มที่ใช้ในการกำหนดสิทธิ์การเข้าใช้งานของทรัพยากร ซึ่งรายละเอียดจะได้กล่าวในหัวข้อต่อไป

User Rights, Capabilities และ Permission
รหัสผู้ใช้ต่าง ๆ ที่ถูกสร้างขึ้นขณะติดตั้งจะถูกจัดให้อยู่ในกลุ่มที่เหมาะสม ทำให้รหัสผู้ใช้เหล่านั้นมีความสามารถในการทำกิจกรรมต่างๆ ตามที่ควรจะเป็น เช่น ผู้ใช้ที่อยู่ในกลุ่ม Backup Operators สามารถสำรอง(Backup) ระบบข้อมูลทั้งหมดได้ ทั้งๆที่ไม่มีสิทธิ์ที่จะอ่าน/เขียน แฟ้มข้อมูลของระบบ เป็นต้น

Permission
หมายถึงสิทธิ์ในการเข้าถึงทรัพยากรของวินโดวส์เอ็นที ได้แก่ ไดเร็คทอรี แฟ้มข้อมูล เครื่องพิมพ์ เป็นต้น สิทธิ์เหล่านี้มีตั้งแต่ สิทธิ์การอ่าน,เขียน,ลบ หรือการให้สิทธิ์ในการเปลี่ยนสิทธิ์เอง การกำหนดสิทธิ์ให้กับทรัพยากรสามารถทำผ่านโปรแกรม Explorer หรือ My Computer

User Right
หมายถึงสิทธิ์ในการทำงานต่างๆ โดยที่งานต่างๆที่มีอยู่ทั้งหมดได้ถูกกำหนดไว้ล่วงหน้าแล้ว งานต่างๆเหล่านี้ได้แก่ การปิดเครื่อง(Shutdown), การสำรองข้อมูล(Backup), การเปลี่ยนเวลาเครื่อง(System Time), การ logon แบบ Local หรือแบบ Network เป็นต้น

ในขณะที่ติดตั้งวินโดวส์เอ็นทีโปรแกรมติดตั้งจะกำหนดสิทธิ์ในการทำงานต่างๆให้แก่ผู้ใช้ที่ถูกสร้างขึ้นมาเพื่อให้เพียงพอและเหมาะสมในการทำงาน อย่างไรก็ตามผู้บริหารระบบสามารถเปลี่ยนแปลงสิทธิ์ในการทำงานให้แก่ผู้ใช้เหล่านี้ได้ การจัดการสิทธิ์ในการทำงานทำได้โดยใช้ เมนู Policies/User Right... ในโปรแกรม User Manager for Domain

Capabilities
คล้ายกับ User Right ซึ่งได้กล่าวไว้แล้ว แต่มีความแตกต่างกับ User Right ในแง่ที่ว่า Capabilities ที่ถูกกำหนดไว้แล้วจะไม่สามารถเปลี่ยนแปลงได้ เช่น สิทธิ์ในการเพิ่ม/แก้ไข/ลบรหัสผู้ใช้,สิทธิ์ในการกำหนด User Right,สิทธิ์ในการฟอร์แมตจานแม่เหล็ก ซึ่งสิทธิ์เหล่านี้ได้กำหนดไว้ตายตัวในกลุ่มผู้ใช้แน่นอนแล้วและไม่สามารถจัดการผ่านโปรแกรม User Manager for Domain เช่น การกำหนดให้ผู้ใช้ทำการฟอร์แมตจานแม่เหล็ก นอกเสียจากให้ผู้ใช้รายนี้เป็นสมาชิกของกลุ่ม Administrators จึงจะสามารถทำได้

ในตารางต่อไปนี้แสดง User Right และ Capabilities

ตารางแสดงสิทธิ์ต่างๆที่ได้กำหนดไว้ล่วงหน้าสำหรับเซอร์เวอร์แบบ Domain Controller

สิทธิ์การทำงาน	Admin- istra- tors	Server Opera- tors	Account Oper- ators	Print Oper- ators	Backup Oper- ators	Every- one
Logon Locally using keyboard and mouse สิทธิ์ในการทำ Local Logon	ได้	ได้	ได้	ได้	ได้
Access this computer from network สิทธิ์ในการทำ Network Logon	ได้					ได้
Take ownership of files and other object เปลี่ยนชื่อเจ้าของแฟ้มหรือ object อื่นๆเช่น เครื่องพิมพ์, ไดเร็คทอรี่	ได้
Manage and Audit Security Log กำหนดระบบการ Audit ผ่านเมนู Policy/Audit	ได้
Change System Time เปลี่ยนวันที่/เวลาของระบบ	ได้	ได้
Shutdown the system on the computer หรือ Local Shutdown	ได้	ได้	ได้	ได้	ได้
Force shutdown from a remote computer หรือ Remote shutdown	ได้	ได้
Backup of Files and Directories ให้ผู้ใช้สามารถทำการ Backup ข้อมูลได้ถึงแม้ว่าไม่มีสิทธิ์ดูข้อมูลได้	ได้	ได้			ได้
Restore Files and Directories ให้ผู้ใช้สามารถทำการ Restore ข้อมูลได้ถึงแม้ว่าไม่มีสิทธิ์เขียนข้อมูลได้	ได้	ได้			ได้
Load and unload device drivers	ได้
Add workstation to a domain นำเครื่องเข้าเป็นสมาชิกภายในโดเมน	ได้

ตารางแสดง Capabilities ต่างๆที่ได้กำหนดไว้ล่วงหน้าสำหรับเซอร์เวอร์แบบ Domain Controller

Built-In Capabilities	Admin- istra- tors	Server Oper- ators	Account Oper- ators	Print Oper- ators	Backup Oper- ators	Every- one
Create and manage user accounts สร้างและจัดการรหัสบัญชีผู้ใช้	ได้		ได้
Create and manage global group สร้างและจัดการรหัสกลุ่มแบบ Global	ได้		ได้
Create and manage local group สร้างและจัดการรหัสกลุ่มแบบ Local	ได้		ได้
Assign user rights กำหนดสิทธิ์ให้กับผู้ใช้ในการใช้งาน	ได้
Manage auditing of system events จัดการระบบ audit	ได้
Lock the server	ได้	ได้
Override lock of server	ได้	ได้
Format server's hard drive ฟอร์แมตจานแม่เหล็ก	ได้	ได้
Create common program groups สร้างกลุ่มโปรแกรมแบบใช้ได้ทุกคน	ได้	ได้
Keep local profile เก็บโปรไฟล์	ได้	ได้	ได้	ได้	ได้
Share and stop sharing directories แชร์และหยุการแชร์โฟลเดอร์	ได้
Share and stop sharing printers แชร์และหยุการแชร์เครื่องพิมพ์	ได้	ได้		ได้

ตารางแสดงสิทธิ์ต่างๆที่ได้กำหนดไว้ล่วงหน้าสำหรับ
NT Workstation และ Server ที่ไม่เป็น Domain Controller

สิทธิ์การทำงาน	Admin- istra- tors	Power User	Users	Guests	Every- one	Backup Oper- ators
Logon Locally using keyboard and mouse สิทธิ์ในการทำ Local Logon	ได้	ได้	ได้	ได้	ได้	ได้
Access this computer from network สิทธิ์ในการทำ Network Logon	ได้	ได้			ได้
Take ownership of files and other object เปลี่ยนชื่อเจ้าของแฟ้มหรือ object อื่นๆเช่น เครื่องพิมพ์, ไดเร็คทอรี่	ได้
Manage and Audit Security Log กำหนดระบบการ Audit ผ่านเมนู Policy/Audit	ได้	ได้
Change System Time เปลี่ยนวันที่/เวลาของระบบ	ได้	ได้
Shutdown the system on the computer หรือ Local Shutdown	ได้	ได้	ได้		ได้	ได้
Force shutdown from a remote computer หรือ Remote shutdown	ได้	ได้
Backup of Files and Directories ให้ผู้ใช้สามารถทำการ Backup ข้อมูลได้ถึงแม้ว่าไม่มีสิทธิ์ดูข้อมูลได้	ได้

BACK Chapter 1/ Chapter 2 /Chapter 3 / Chapter 4 / Chapter 5 / Chapter 6 / Chapter 7 / Chapter 8 / Chapter 9 NEXT
Chapter 10 / Chapter 11 / Reference