วิธีทำ Group Policy (GPO) บน Windows Server 2025 แบบละเอียด

Group Policy หรือ GPO คือหนึ่งในฟีเจอร์ที่ทรงพลังที่สุดของ Active Directory เพราะช่วยให้ผู้ดูแลระบบสามารถควบคุมคอมพิวเตอร์และ User ทั้งองค์กรจากศูนย์กลางได้ทันที

ไม่ว่าจะเป็น:

• ปิด USB
• เปลี่ยน Wallpaper
• ติดตั้งโปรแกรม
• Map Drive
• บังคับ Password Policy
• ซ่อน Control Panel

ทั้งหมดนี้ทำได้ผ่าน Group Policy บน Windows Server 2025

องค์กรที่มีเครื่องจำนวนมากแทบทุกแห่งใช้ GPO เป็นหัวใจหลักในการบริหาร Windows ซึ่งทีม comsiam เองก็ใช้ GPO ในการจัดการระบบองค์กรจริงอยู่ตลอด

บทความนี้จะสอนการสร้างและใช้งาน Group Policy แบบละเอียด ตั้งแต่พื้นฐานจนพร้อมใช้งานจริง

---

① Group Policy คืออะไร

Group Policy คือระบบที่ใช้:

• ควบคุม User
• ควบคุม Computer
• ตั้งค่า Windows จากส่วนกลาง

ผ่าน Domain Controller

---

② GPO ใช้ทำอะไรได้บ้าง

ตัวอย่าง:

• Block USB
• Disable CMD
• ตั้ง Wallpaper
• Deploy Software
• Map Drive
• ตั้ง Password Policy
• Disable Control Panel

---

③ สิ่งที่ต้องมี ก่อนใช้ GPO

ต้องมี:

• ติดตั้ง Active Directory แล้ว
• เครื่อง Client Join Domain แล้ว

---

④ วิธีเปิด Group Policy Management

เปิด:

Server Manager
> Tools
> Group Policy Management

หรือใช้:

gpmc.msc

---

⑤ โครงสร้างพื้นฐานของ GPO

GPO จะถูกผูกกับ:

• Domain
• OU
• Site

ส่วนใหญ่:
นิยมผูกกับ OU

---

⑥ วิธีสร้าง GPO ใหม่

คลิกขวา OU

เลือก:

Create a GPO in this domain, and Link it here

---

⑦ วิธีตั้งชื่อ GPO

ตัวอย่าง:

Block USB

หรือ:

Office Security Policy

ควรตั้งชื่อให้สื่อความหมาย

---

⑧ วิธีแก้ไข GPO

คลิกขวา GPO

เลือก:

Edit

จะเปิด:

Group Policy Management Editor

---

⑨ Computer Configuration กับ User Configuration ต่างกันยังไง

Computer Configuration

มีผลกับ “เครื่อง”

เช่น:

• Windows Update
• Firewall
• USB

---

User Configuration

มีผลกับ “User”

เช่น:

• Wallpaper
• Desktop
• Start Menu

---

⑩ วิธีตั้งค่า Password Policy

ไปที่:

Computer Configuration
> Policies
> Windows Settings
> Security Settings
> Account Policies

สามารถตั้ง:

• Password Length
• Complexity
• Lockout

---

⑪ วิธี Force GPO ทันที

ที่ Client ใช้:

gpupdate /force

ช่วยให้ GPO ทำงานทันที

---

⑫ วิธีตรวจสอบว่า GPO ทำงานหรือไม่

ใช้:

gpresult /r

จะแสดง:

• GPO ที่ถูก Apply
• User Policy
• Computer Policy

---

⑬ วิธีดู Resultant Set of Policy

ใช้:

rsop.msc

ช่วยดูว่า:
GPO ตัวไหนทำงานจริง

---

⑭ วิธี Link GPO กับ OU

ลาก GPO ไปยัง OU

หรือ:
คลิกขวา OU → Link Existing GPO

---

⑮ วิธี Block Inheritance

คลิกขวา OU

เลือก:

Block Inheritance

ช่วยกัน GPO จาก Parent

---

⑯ วิธี Enforce GPO

คลิกขวา GPO Link

เลือก:

Enforced

GPO นี้จะถูกบังคับใช้เสมอ

---

⑰ วิธี Disable GPO ชั่วคราว

คลิกขวา GPO

เลือก:

GPO Status

สามารถ:

• Disable User
• Disable Computer
• Disable ทั้งหมด

---

⑱ วิธี Backup GPO

คลิกขวา GPO

เลือก:

Back Up

สำคัญมากสำหรับองค์กร

---

⑲ วิธี Restore GPO

คลิกขวา:

Manage Backups

เลือก Backup ที่ต้องการ

---

⑳ วิธีใช้ GPO กับหลาย OU

สามารถ:

• Link GPO เดียว
• ไปหลาย OU ได้

ช่วยลดการสร้าง GPO ซ้ำ

---

㉑ ปัญหาที่พบบ่อยเกี่ยวกับ GPO

GPO ไม่ทำงาน

สาเหตุ:

• Client ไม่ได้ Join Domain
• DNS ผิด
• Link ผิด OU

---

GPO Apply ช้า

สาเหตุ:

• Network ช้า
• SYSVOL มีปัญหา

---

gpupdate ไม่สำเร็จ

สาเหตุ:

• Replication Error
• DNS Error

---

㉒ แนวทาง GPO ที่ดีสำหรับองค์กร

แนะนำ:

• แยก GPO ตามหน้าที่
• ตั้งชื่อชัดเจน
• Backup GPO
• ใช้ OU แยกแผนก
• ทดสอบก่อน Deploy จริง

หลายองค์กรใช้ GPO เยอะเกินไปจนระบบช้า ซึ่งทีม comsiam มักแนะนำให้แยก Policy แบบเป็นระบบ

---

㉓ สิ่งที่ไม่ควรทำ

ไม่ควร:

• แก้ Default Domain Policy มั่ว
• ใช้ GPO ใหญ่เกินไป
• ผูก GPO ทุกอย่างกับ Domain Root
• ไม่มี Documentation

---

㉔ คำสั่งสำคัญเกี่ยวกับ GPO

gpupdate /force
gpresult /r
rsop.msc

Admin ควรใช้เป็น

---

㉕ สรุป

Group Policy บน Windows Server 2025 คือระบบสำคัญที่ช่วยควบคุม User และ Computer ทั้งองค์กรจากศูนย์กลางผ่าน Active Directory

หากใช้ GPO อย่างถูกต้อง:

• ลดงาน IT
• เพิ่ม Security
• ควบคุมเครื่องได้ง่าย
• ลด Human Error

โดยเฉพาะองค์กรที่มีเครื่องจำนวนมาก GPO ถือเป็นหัวใจสำคัญของระบบ Windows Infrastructure