คู่มือการใช้งานและบำรุงรักษาเครื่อง (User Guide)P 501/502

#0022

ก่อนหน้าถัดไป

ระบบยืนยันตัวตนผ่าน Windows (Windows Authentication)

การตรวจรับรองของ Windows ใช้ได้เฉพาะในกรณีที่ติดตั้งฮาร์ดดิสก์เสริมเท่านั้น

กำหนดให้ใช้ระบบการยืนยันตัวตนแบบนี้ขณะใช้ตัวควบคุมโดเมนของ Windows เพื่อพิสูจน์ตัวตนของผู้ใช้ที่มีบัญชีอยู่บน Directory Server ผู้ใช้จะไม่ได้รับการยืนยันตัวตนหากเขาไม่มีบัญชีของตนเองอยู่ใน Directory Server ภายใต้การยืนยันตัวตนผ่าน Windows คุณสามารถกำหนดขีดจำกัดในการเข้าถึงสำหรับแต่ละกลุ่มที่ลงทะเบียนอยู่ใน Directory Server ซึ่ง Address Book ที่เก็บบันทึกอยู่ใน Directory Server สามารถลงทะเบียนเก็บไว้ในเครื่อง เพื่อช่วยให้สามารถยืนยันตัวตนของผู้ใช้ได้โดยไม่จำเป็นต้องใช้เครื่องเพื่อลงทะเบียนการตั้งค่าแต่ละรายการลงใน Address Book เสียก่อน

ครั้งแรกที่คุณเข้าใช้เครื่อง คุณสามารถใช้ฟังก์ชันที่พร้อมใช้งานสำหรับกลุ่มของคุณได้ หากคุณไม่ได้ลงทะเบียนในกลุ่ม คุณสามารถใช้ฟังก์ชันที่พร้อมใช้งานภายใต้ "*Default Group" จำกัดฟังก์ชั่นเฉพาะสำหรับผู้ใช้บางรายโดยเริ่มจากตั้งค่าใน Address Book

หากต้องการลงทะเบียนข้อมูลผู้ใช้ภายใต้ระบบการยืนยันผ่าน Windows โดยอัตโนมัติ ควรเข้ารหัสการติดต่อสื่อสารระหว่างเครื่องกับตัวควบคุมโดเมนด้วยการใช้ SSL ในการทำเช่นนี้ คุณจะต้องสร้างใบรับรองเซิร์ฟเวอร์สำหรับตัวควบคุมโดเมนเสียก่อน สำหรับรายละเอียดเกี่ยวกับการจัดทำเอกสารรับรองเซิร์ฟเวอร์ โปรดดู การสร้างใบรับรองเซิร์ฟเวอร์ (Server Certificate)

สิ่งสำคัญ

  • หากคุณใช้การตรวจรับรองของ Windows ข้อมูลผู้ใช้ที่ลงทะเบียนในเซิร์ฟเวอร์ไดเรคทอรี่ เช่น ชื่อผู้ใช้สำหรับล็อกอินจะถูกลงทะเบียนไปยังสมุดที่อยู่ของเครื่องอัตโนมัติ แม้ว่าข้อมูลผู้ใช้ที่ถูกลงทะเบียนใน Address Book ของเครื่องโดยอัตโนมัตินั้นจะถูกแก้ไขบนเครื่องก็ตาม แต่จะถูกเขียนทับด้วยข้อมูลจาก Directory Server เมื่อมีการตรวจรับรองขึ้น

  • ผู้ใช้ที่จัดการผ่านโดเมนอื่นจะต้องผ่านการตรวจรับรองผู้ใช้ แต่จะไม่สามารถรับข้อมูล เช่น ชื่อผู้ใช้สำหรับล็อกอิน

  • หากคุณได้สร้างผู้ใช้รายใหม่ในตัวควบคุมโดเมนและเลือก "User must change password at next logon" ในการกำหนดค่ารหัสผ่าน ควรล็อกอินเข้าคอมพิวเตอร์และเปลี่ยนรหัสผ่านเสียก่อน

  • หากเซิร์ฟเวอร์สำหรับระบบยืนยันตัวตนนั้นรองรับเฉพาะ NTLM เมื่อเลือกระบบยืนยันตัวตนผ่าน Kerberos ในเครื่อง ระบบจะสลับวิธีการยืนยันตัวตนไปเป็น NTLM โดยอัตโนมัติ

  • หากบัญชี "Guest" บนเซิร์ฟเวอร์ Windows มีการเปิดใช้งานอยู่ ผู้ใช้ที่ไม่ได้ลงทะเบียนอยู่ในตัวควบคุมโดเมนจะได้รับการยืนยันตัวตนด้วย เมื่อบัญชีนี้เปิดใช้งานอยู่ ผู้ใช้ที่ลงทะเบียนอยู่ใน Address Book และสามารถใช้ฟังก์ชันต่างๆ ที่มีอยู่ภายใต้ "*Default Group"

สามารถทำการยืนยันตัวตนผ่าน Windows ได้โดยใช้วิธีการยืนยันตัวตนวิธีใดวิธีหนึ่งดังต่อไปนี้: การยืนยันตัวตนผ่าน NTLM หรือ Kerberos authentication. ซึ่งทั้งสองวิธีการจมีข้อกำหนดในการใช้งานดังแสดงด้านล่าง

เงื่อนไขการทำงานสำหรับระบบตรวจรับรอง NTLM

หากต้องการกำหนดข้อมูลการยืนยันตัวตนผ่าน NTLM จะต้องเป็นไปตามข้อกำหนดดังต่อไปนี้:

  • เครื่องๆ นี้รองรับระบบยืนยันตัวตนผ่าน NTLMv1 และ NTLMv2

  • ทำการตั้งค่าตัวควบคุมโดเมนในโดเมนที่คุณต้องการใช้

  • ฟังก์ชันนี้รองรับโดยระบบปฏิบัติการดังแสดงด้านล่าง หากต้องการรับข้อมูลผู้ใช้ขณะที่ Active Directory กำลังทำงานอยู่ ให้ใช้ LDAP หากคุณกำลังใช้ LDAP คุณควรใช้ SSL ในการเข้ารหัสการติดต่อสื่อสารระหว่างเครื่องกับเซิร์ฟเวอร์ LDAP ซึ่งการเข้ารหัสแบบ SSL จะใช้ได้เฉพาะกรณีที่เซิร์ฟเวอร์ LDAP รองรับ TLSv1 หรือ SSLv3 เท่านั้น

    • Windows Server 2008/2008 R2

    • Windows Server 2012/2012 R2

    • Windows Server 2016

    • Windows Server 2019

เงื่อนไขการทำงานสำหรับการตรวจรับรอง Kerberos

หากต้องการกำหนดข้อมูลการยืนยันตัวตนผ่าน Kerberos จะต้องเป็นไปตามข้อกำหนดดังต่อไปนี้:

  • ทำการตั้งค่าตัวควบคุมโดเมนในโดเมนที่คุณต้องการใช้

  • ระบบการใช้งานจะต้องรองรับ KDC (Key Distribution Center) หากต้องการรับข้อมูลผู้ใช้ขณะที่ Active Directory กำลังทำงานอยู่ ให้ใช้ LDAP หากคุณกำลังใช้ LDAP คุณควรใช้ SSL ในการเข้ารหัสการติดต่อสื่อสารระหว่างเครื่องกับเซิร์ฟเวอร์ LDAP ซึ่งการเข้ารหัสแบบ SSL จะใช้ได้เฉพาะกรณีที่เซิร์ฟเวอร์ LDAP รองรับ TLSv1 หรือ SSLv3 เท่านั้น ระบบปฏิบัติการที่รองรับดังแสดงด้านล่าง:

    • Windows Server 2008/2008 R2

    • Windows Server 2012/2012 R2

    • Windows Server 2016

    • Windows Server 2019

    หากต้องการใช้ระบบยืนยันตัวตนผ่าน Kerberos บน Windows Server 2008 ให้ติดตั้ง Service Pack 2 หรือเวอร์ชันที่ใหม่กว่า

  • การรับส่งข้อมูลระหว่างเครื่องกับเซิร์ฟเวอร์ KDC จะถูกเข้ารหัสหากมีการเปิดใช้ระบบยืนยันตัวตนผ่าน Kerberos สำหรับรายละเอียดเกี่ยวกับการกำหนดการรับส่งแบบเข้ารหัส โปรดดู การตั้งค่าการเข้ารหัสตรวจรับรอง Kerberos

หมายเหตุ

  • สำหรับตัวอักษรที่สามารถใช้ได้สำหรับชื่อผู้ใช้และรหัสผ่าน โปรดดู ตัวอักษรที่สามารถใช้ได้ในชื่อผู้ใช้และรหัสผ่าน

  • การเข้าใช้เครื่องในภายหลัง คุณสามารถใช้ฟังก์ชันทั้งหมดที่มีสำหรับกลุ่มของคุณและในฐานะที่คุณเป็นผู้ใช้งานรายบุคคล

  • ผู้ใช้ที่ถูกบันทึกอยู่ในหลายกลุ่มจะสามารถใช้ฟังก์ชันทั้งหมดที่มีให้สำหรับกลุ่มเหล่านั้น

  • ภายใต้ระบบยืนยันตัวตนผ่าน Windows คุณไม่จำเป็นต้องสร้างใบรับรองเซิร์ฟเวอร์เลย เว้นแต่คุณต้องการลงทะเบียนข้อมูลผู้ใช้โดยอัตโนมัติ เช่น ชื่อผู้ใช้ที่ใช้ระบบ SSL

คู่มือการใช้งานเครื่อง บนสุดหน้าแรก>คู่มือด้านความปลอดภัย>ระบบยืนยันตัวตนผ่าน Windows (Windows Authentication)
วิธีใช้คู่มือนี้
หน้าแรก

Copyright © 2019, 2020, 2021

หน้าแรก