Active Directory Active Directory adalah layanan directory yang terdapat pada system operasi server. Active Directory terdiri atas basis data dan juga layanan directory. Active Directory menyediakan sarana untuk mengelola identitas dan hubungan yang membentuk organisasi. Active Directory yang ada pada Windows Server 2008R2 menyediakan berbagai fungsi untuk melakukan konfigurasi yaitu: administarasi system, pengguna (user), group, computer, dan pencarian directori. Active Directory juga memberikan cara untuk mengelola credential untuk mengizinkan pengguna yang sah yang dapat mengakses baik itu perangkat aplikasi maupun data. ACTIVE DIRECTORY DOMAIN SERVICES Active Directory Domain Services menyediakan database terdistribusi yang menyimpan dan mengelola informasi tentang sumber daya jaringan. Administrator dapat menggunakan AD DS untuk mengatur elemen jaringan, seperti pengguna, computer, group, printer, aplikasi, dan objek directory lain dari satu lokasi terpusat secara aman. Berikut service-service yang ada pada AD DS :
Manajemen user account Authentikasi user Manajemen computer account Akses ke resource jaringan Domain Wide Service
Jadi AD DS dapat dikatakan sebagai lokasi pusat untuk konfigurasi, pemrosesan permintaan untuk autentikasi, dan informasi tentang semua objek yang disimpan di dalam forest. KOMPONEN ACTIVE DIRECTORY DOMAIN SERVICES Komponen AD DS komponen fisik dan komponen logic. Berikut komponen fisik dan logic dari AD DS: KOMPONEN FISIK KOMPONEN LOGIK Data Store Partitions Domain Controllers Schema Global Catalog Server Domains Read-Only Domain Controller (RODC)Domain trees Forests Sites Organizational Unit (OU)
PENGERTIAN DOMAIN Domain adalah komponen logic dari direktori yang digunakan untuk mengelompokkan dan mengelola objek-objek AD DS dalam suatu organisasi. Tiap domain harus memiliki paling sedikit satu domain controller. Secara nyata, kita membuat domain dengan menginstal domain controller pertama didalam domain, dan menghapus sebuah domain dengan cara menghapus domain controller terakhir yang ada domain tersebut. Domain menyediakan :
Administrative boundary untuk menerapkan policy terhadap group-group dari objek. Replication boundary untuk keperluan replikasi data antar domain controller. Authentication dan Authorization boundary yang menyediakan suatu cara untuk membatasi cakupan akses resource
DEFINISI AUTHENTIKASI DAN AUTHORISASI Authentikasi adalah proses verifikasi identiras user di jaringan. Autentikasi itu sendiri di dalamnya terdapat dua komponen :
Interactive logon yaitu log on secara interactif, mengkonfirmasikan identitas user pada computer tertentu dengan baik menggunakan domain account ataupun local computer. Network Authentication yaitu proses autentikasi yang mengkonfirmasikan identitas user ke berbagai network service untuk dapat di akses oleh user.
Autorisasi merupakan proses verifikasi apakah user yang telah di autentikasi memiliki izin untuk menjalankan aksi tertentu. Autorisasi merupakan langkah ke dua dalam proses mengakses resource di jaringan. Ketika user mencoba untuk mengakses resource jaringan, computer klien menghadirkan security token ke server yang memiliki resource tersebut. Security Identifier yang tersimpan dalam security token dibandingkan terhadap security descriptor yang tersimpan dalam Discretionary Access control list (DACL) pada resource dengan Securty Identifier yang terdapat pada security token. PENGERTIAN DOMAIN TREE Domain tree adalah hirarki dari domain-domain dalam AD DS. Domain pertama yang dibuat merupakan root domain. Domain selanjutnya yang ditambahkan ke dalam domain tree disebut child domain. Dalam satu domain tree, seluruh domain berada pada contiguous namespace. Sebagai contoh, jika root domain adalah team7c.com, child domainnya bisa menggunakan nama IT.team7c.com. PENGERTIAN FOREST Forest adalah sekumpulan atas satu atau lebih domain tree. Seluruh domain dan domain tree berada pada suatu Active Directory Forest.
PENGERTIAN ORGANIZATIONAL UNIT (OU) OU adalah container dari Active Directory yang dapat berisi User, Group, Komputer, dan OU lainnya. OU dapat dibentuk berdasarka departemen, divisi, fungsi kerja, project, dan lain sebagainnya. OU digunakan untuk :
Mereprentasikan organisasi kita secara hirarki dan logic. Mengelola sekumpulan objek dalam suatu cara yang konsisten. Mendelegasikan izin akses untuk mengadministrasikan sekumpulan objek Menerapkan policy
AD DS OBJEK AD DS object adalah entitas yang dibuat pada AD DS domain controller. Seluruh objek AD DS terbagi menjadi satu atau lebih kategori, seperti resource (printer), services (email dan shared folder) dan users (individual atau group). AD DS TRUST Trust menyediakan mekanisme bagi user untuk mengakses resource yang terletak pada domain lain. Domain yang memiliki resource yang diakses oleh user/group dari domain lain disebut trusted domain, dan domain yang melakukan trust dan memiliki user/group yang mengakses resource di domain lain disebut trusting domain. Trust memiliki dua tipe :
Directional : arah trust berasal dari trusting domain menuju trusted domain. Transitive : arah trust dua arah, masing-masing domain merupakan trusted dan trusting domain.
ACTIVE DIRECTORY CERTIFICATE SERVICES Active Directory Certificate Service menyediakan keamanan dalam jaringan organisasi, perusahaan dan internet dengan menggunakan digital certificates. AD CS berperan dalam distribusi dan manahemen digital certificates. Digital Certificates digunakan untuk mengenkripsi informasi. Digital Certificate merupakan sertifikat yang terdiri dari file digital yaitu:
Public Key adalah sertifikat yang dapat di distribusikan ke semua klien yang membutuhkan sertifikat, public key terdiri dari informasi mengenai subjek sertifikat, validity dari sertifikat, application dan service yang bisa memakai sertifikat tersebut, dan bisa mengetahui siapa yang memiliki sertifikat tersebut. Private Key adalah merupakan sertifikat yang hanya disimpan pada computer yang melakukan request sertifikat tersebut.
Public Key Infrastructure (PKI) digunakan untuk mendistribusikan dan mengelola digital certificates. Berikut komponen PKI :
Certification Authorities (CA) memiliki fungsi menerbitkan dan mengelola sertifikat untuk user, computer, dan service. Tiap sertifikat yang telah diterbitkan oleh CA ditandai dengan sertifikat digital dari CA. Certificate revocation lists merupakan daftar sertifikat yang telah dicabut atau dihapus dari CA sebelum masa kadaluarsa. Certificate and CA management tools memiliki fungsi menyediakan Graphical User Interface (GUI) maupun Command-lines tools untuk mengelola sertifikat-sertifikat yang telah diterbitkan, mempublikasikan CA certificates dan certificate Revocation List (CRLs), mengkonfigurasi CA, melakukan import dan eksport sertifikat dan key dan melakukan pemulihan berbagai private key yang telah di arsipkan.
AD CS memiliki fungsi yaitu :
Menyediakan Certification Authority Menyediakan tool untuk membuat, menditribusikan dan mencabut sertifikat secara otomatis maupun manual Menyediakan certificate revocation services Mengintegrasikan CA services dengan AD DS.
ACTIVE DIRECTORY RIGHT MANAGEMENT SERVICES Active Directory Right Management Service adalah implementasi dari enterprise rightmanagement solution. AD RMS membantu melindungi informasi dengan cara :
Menyediakan tool untuk mendistribusikan sertifikat klien ke trusted klien Enforcing contents access policies dan menyediakan manajemen secara terpusat
Dengan menggunakan AD RMS dan AD RMS Client, kita dapat menambahkan keamanan dengan cara melindungi informasi seperti laporan keuangan, spesifikasi produk, data pelanggan, dan email-email rahasia dari upaya akses yang tidak diizinkan. Right-management bertujuan melindungi informasi yang tersimpan dalam dokumen, email, dan website terhadap upaya akses yang tidak diizinkan untuk dibaca, untuk dimodifikasi atau digunakan. Right-management dapat digunakan untuk membuat user tidak dapat mem-forward atau mengcopy isi dokumen ke user lain yang tidak berhak. Right-management menggunakan enkripsi dan digital signature dalam melindungi data dari akses yang dilarang juga upaya untuk memodifikasi.
Integrasi antara AD DS dengan AD RMS AD RMS terintegrasi dengan AD DS dalam tiga area kunci:
Seluruh AD RMS User harus memiliki AD DS User Account. Sebelum user dapat menerapkan RMS policy terhadap isi dokumen, atau sebelum pengguna dapat mengakses isi dokumen, AD DS harus mengautentikasi user tersebut. AD DS menyediakan alamat email dalam memperoleh hak akses atas isi dokumen. Seluruh user harus dikonfigurasi dengan alamat email, walaupun organisasi/perusahaan tersebut tidak mengimplementasikan server email. AD RMS di registrasikan sebagai service connection points dalam AD DS agar client dapat menemukan server-server AD RMS.
ACTIVE DIRECTORY FEDERATION SERVICES Active Directory Federation Service menyediakan service untuk memperluas autentikasi AD DS ke organisasi lain yang berbeda. Saat kita menggunakan AD FS, kita dapat mengaktifkan federated trust antara dua organisasi sehingga user account yang telah di autentikasi di satu organisasi memiliki trust untuk mengakses aplikasi di organisasi yang berbeda. Organisasi yang memiliki resource yang diakses oleh user dari organisasi yang berbeda disebut sebagai resource partner. Hal ini dapat dilakukan karena terdapat fasilitas untuk single sign-on antar organisasi untuk mengakses aplikasi-aplikasi web. Manfaat dari AD FS antara lain mereduksi management overheadbagi administrator, karena hanya satu account yang di administrasi. Selain itu para pengguna hanya mengingat satu user credential saja, mereka dapat mengakses resource baik organisasi mereka maupun organisasi partner mereka. Dengan menggunakan authentication assurance . Dengan fitur ini,administrator dapat membuat autentikasi policy untuk account yang di autentikasi di domain federasi. Hal ini memungkinkan dukungan untuk berbagai sekenario autentikasi lainnya, misalkan menggunakan smart card. Integrasi AD DS dengan AD FS
AD FS memerlukan service direktori seperti AD DS atau AD LDS untuk menyimpan seluruh user account. AD FS memungkinkan account partner dalam federation trust untuk mengelola seluruh user account. Resource partner dapat menggunakan AD DS untuk membatasi akses ke aplikasi web AD FS juga memperluas beberapa fungsionalitas AD DS untuk aplikasi terletak padaparameter network.
ACTIVE DIRECTORY LIGHTWEIGHT DIRECTORY SERVICES Active Directory LightWeight Directory Services merupakan directory yang menyediakan Lightweight Directory Access Protocol (LDAP) compliant and service. AD LDS menyediakan autentikasi dan directory services untuk aplikasi-aplikasi tanpa tergantung pada AD DS. Namun, dalam lingkungan dimana ada AD DS, AD LDS dapat menggunakan AD DS untuk otentikasi keamanan windows. Published Saturday, July 07, 2012 9:41 AM by Fazar Susanto Filed under: Windows Server
How to Install Active Directory on Windows XP Active Directory User dan Grup utilitas panel kontrol adalah alat yang sangat berguna bagi administrator sistem, karena memungkinkan mereka untuk menambah, menghapus dan memodifikasi account pada direktori jaringan mereka. Namun, utilitas Active Directory hanya diinstal secara default pada sistem operasi Windows Server. Jika Anda ingin menggunakan alat pada Windows XP, Anda harus menginstal secara manual melalui Microsoft Management Console. Instruksi 1. Log on ke komputer PC Anda dengan account administrator dan buka menu Start dan klik pada icon "Run". 2. Ketik "mmc" ke dalam kotak dialog dan kemudian tekan "Enter". Microsoft Management Console utilitas sekarang akan memulai.
3. Buka "File" di top menu bar and pilih "Add/Remove Snap-in."
4. Click on the "Add" button at the bottom of the pop-up window. 5. Highlight "Active Directory Users and Computers" from the list of available tools and hit "Add."
6. Press the "Close" button and then click "OK." 7. Restart your PC computer. When the computer reboots, the Active Directory tool will be found in the "Administrative Tools" folder in the Control Panel window.
Cara Menambah Komputer untuk Active Directory Dalam lingkungan kantor perusahaan besar, karyawan komputer yang menjalankan Windows XP dapat diletakkan pada Active Directory, yang menghubungkan semua workstation individu bersama-sama. Setelah ditambahkan ke Active Directory, pengguna PC dapat berbagi file dengan anggota lain dari direktori. Active Directory juga menyediakan solusi masuk universal, sehingga pengguna dapat mengakses komputer mereka dari account jaringan.
1. 2. 3. 4. 5. 6.
Klik start Menu My computer,klik kanan pilih Property Pilih Computer Name Klik Change Masuk Nama Pc dan Group yang kamu pilih, Klik Oke
Cara menggunakan utilitas Netdom.exe untuk mengganti-nama komputer dalam Windows XP Artikel ini menjelaskan cara menggunakan utilitas Netdom.exe (termasuk dalam alat dukungan Windows XP) untuk mengganti-nama komputer anggota domain Windows 2000. Prosedur ini dapat dilakukan baik secara lokal atau jauh pada komputer, yang menjadi dinamai. Juga, prosedur tidak mengharuskan Anda untuk me-reset atau secara manual membuat ulang account komputer di domain. Utilitas Netdom.exe memiliki kemampuan untuk mengubah nama komputer yang adalah anggota sebuah domain. Namun, untuk mengganti-nama komputer, Anda harus dapat menentukan account pengguna yang memiliki izin administratif lokal dan objek akun komputer Active Directory.
Cara mengubah nama komputer 1. Menginstal alat dukungan Windows XP dari map Dukungan\Alat pada Windows XP Professional CD-ROM. 2. Pada prompt perintah, ketik perintah berikut.Catatan: baris perintah berikut telah dibungkus beberapa baris untuk membuatnya lebih mudah untuk membaca. Masukkan perintah sebagai satu baris. machine renamecomputer netdom /newname:new_computername /userd:domainname\administrator_id /passwordd: * /usero:local_admin /passwordo: * / reboot:seconds before automatic reboot Penjelasan mengenai baris perintah sebelumnya adalah: 1. Machine adalah nama komputer. 2. New_computername adalah nama yang komputer akan memiliki. 3. Domainname\administrator_id adalah nama domain jaringan sistem input/output dasar (NetBIOS) dan administrator identifikasi (ID) account pengguna yang memiliki izin administratif ke objek komputer di domain. 4. Local_admin adalah pengguna yang memiliki izin administratif lokal, yang dapat menjadi akun yang sama yang ditentukan untuk /userd: 5. Simbol tanda bintang (**) adalah nilai yang terhubung ke /passwordd: dan /passwordo: parameter dan menentukan bahwa sandi harus diketik dengan karakter tersembunyi ketika perintah diserahkan. 6. Time before automatic reboot in seconds adalah jumlah waktu sebelum komputer restart setelah mengubah nama komputer. Jika parameter ini tidak ditentukan, komputer harus dimulai-ulang secara manual. Misalnya, Anda memiliki sebuah workstation yang bernama "Mycomputer" itu adalah anggota sebuah domain yang bernama "Mydomain". Anda ingin mengubah nama komputer menjadi "Yourcomputer", dan kemudian secara otomatis restart komputer setelah 60 detik. Anda dapat menggunakan perintah Catatan: sintaks baris perintah berikut telah dibungkus beberapa baris untuk membuatnya lebih mudah untuk membaca. Anda harus memasukkan perintah sebagai satu baris. netdom renamecomputer mycomputer /newname:yourcomputer /userD:mydomain\administrator /passwordd: * /usero:administrator /passwordo: * /reboot:60 Akan muncul pesan peringatan berikut dan Anda akan diminta untuk Apakah Anda ingin melanjutkan: Operasi ini akan mengubah nama komputer "Mycomputer" untuk "Yourcomputer". Layanan tertentu, seperti otoritas sertifikasi, mengandalkan nama komputer
tetap. Jika setiap layanan jenis ini berjalan pada "Mycomputer", perubahan nama komputer akan berdampak negatif. Jika Anda tidak ingin akan diminta untuk melanjutkan, termasuk switch/memaksa ketika Anda memasukkan perintah netdom selain parameter lain. Oleh :Andi Arfian From www.ehow.com