Windows Server 2003 Active Directory Hak cipta 2010 STMIK Bumigora Mataram http:/ / www.stmikbumigora.ac.id 1Windows Server 2003 Active Directory Oleh I Putu Hariyadi, S.Kom, CCNA, CCAI Instalasi Active Directory Domain Controller PERHATIAN!!!SebelummelakukaninstalasiActiveDirectory Domain Controller, pastikan DNS Suffix pada System Properties tab ComputerName,danLocalAreaConnectiontelahdikonfigurasi sesuaidengannamadomainyangakandigunakan.Pastikanpula parameter Preffered DNS server pada Local Area Connection telah dikonfigurasidenganmencantumkanalamatIPkomputeryang bertindak sebagai DNS Server untuk domain yang dibuat. Langkah-langkahmengaturDNSSuffixpadaSystemProperties tab Computer Name adalah sebagai berikut: 1.Klik StartControl Paneltampil aplikasi Control Panel, klik duakalipadaiconSystem.SystemPropertiesjugadapat diaksesmelaluiklikkananiconMyComputerpadalayar desktop, pilih Properties. 2.TampilkotakdialogSystemProperties,pilihtabComputer Name, klik tombol Change. 3.TampilkotakdialogComputerNameChanges,kliktombol More. 4.TampilkotakdialogDNSSuffixandNetBIOSComputer Name,padaparameterPrimaryDNSSuffixforthis computer, masukkan nama domain yang akan digunakan. 5.SetelahselesaikliktombolOKOK.Tampilpesankonfirmasi restartcomputerkliktombolOK.Computermelakukan restart. Windows Server 2003 Active Directory Hak cipta 2010 STMIK Bumigora Mataram http:/ / www.stmikbumigora.ac.id 2Langkah-langkahmengaturPrefferedDNSserverdanDNS Suffix pada Local Area Connection adalah sebagai berikut: 1.Klik StartControl PanelNetwork ConnectionsLocal Area Connection. 2.TampilkotakdialogLocalAreaConnectionStatus,kliktombol Properties. Tampil kotak dialog Local Area Connection Properties. 3.Padatab General,pilihInternetProtocol(TCP/IP),danklik Properties.TampilkotakdialogInternetProtocol(TCP/IP) Properties, seperti ditunjukkan pada gambar berikut: 4.PadatabGeneraljugaterdapatpilihanuntukmengatur DomainNameSystem(DNS)yaituObtainDNSServer automaticallyuntukpengalokasianalamatDNSsecara dinamis,danUsethefollowingDNSServeraddresses untukpengalokasianalamatDNSsecarastatik.PilihUsethe followingDNSServeraddresses,masukkanalamatPreffered Windows Server 2003 Active Directory Hak cipta 2010 STMIK Bumigora Mataram http:/ / www.stmikbumigora.ac.id 3DNSServer.KliktombolAdvanced,tampilkotakdialog Advanced TCP/IP Settingsklik tab DNS, pada parameter DNS Suffix for this connection: masukkan nama domain yang akan digunakan. 5.Setelah selesai klik tombol OKOKOKClose. Langkah-langkahinstalasiActiveDirectoryDomainControllerdi Windows Server 2003 adalah sebagai berikut: 1.KlikStartRun,ketikdcpromountukmenjalankanActive Directory Installation WizardOK. 2.TampilkotakdialogWelcometotheActiveDirectory Installation Wizard, klik Next. 3.TampilkotakdialogOperatingSystemCompatibility,klik Next. 4.TampilkotakdialogDomainControllerType,klikDomain Controller for a new domain, dan klik Next. 5.TampilkotakdialogCreateNewDomain,klikDomainina new forest, dan klik Next. 6.TampilkotakdialogNewDomainname,masukkannama domain sebagai contoh inixindo.co.id, dan klik Next. 7.TampilkotakdialogNetBIOSDomainname,verifikasinama NetBIOS, dan klik Next. 8.TampilkotakdialogDatabaseandLogFolders,masukkan lokasidirektoridimanainstalasidatabasedanlogActive Directory disimpan, dan klik Next. 9.TampilkotakdialogSharedSystemVolume,masukkanlokasi direktoridimanainstalasidirektoriSysvoldisimpan,danklik Next. Windows Server 2003 Active Directory Hak cipta 2010 STMIK Bumigora Mataram http:/ / www.stmikbumigora.ac.id 410.TampilkotakdialogDNSRegistrationDiagnostics,klikpada InstalldanconfiguretheDNSServeronthiscomputer, andsetthiscomputertousethisDNSServerasits preffered DNS Server, dan klik Next. 11.TampilkotakdialogPermissions,pilihpermissionsesuai dengansistemoperasi-sistemoperasiyangdigunakanpada jaringan Anda, dan klik Next. 12.TampilkotakdialogSummary,danklikNextuntukmemulai instalasi. 13.Restart komputer. Instalasi Active Directory Additional Domain Controller Langkah-langkahinstalasiActiveDirectoryAdditionalDomain Controller di Windows Server 2003 adalah sebagai berikut: 1.KlikStartRun,ketikdcpromountukmenjalankanActive Directory Installation WizardOK. 2.TampilkotakdialogWelcometotheActiveDirectory Installation Wizard, klik Next. 3.TampilkotakdialogOperatingSystemCompatibility,klik Next. 4.TampilkotakdialogDomainControllerType,klikAdditional Domain Controller for an existing domain, dan klik Next. 5.TampilkotakdialogNetworkCredentials,masukkannama user,password,dandomain.Userharusmerupakananggota dari group Domain Admins untuk domain target. Klik Next. 6.TampilkotakdialogDatabaseandLogFolders,masukkan lokasidirektoridimanainstalasidatabasedanlogActive Directory disimpan, dan klik Next. Windows Server 2003 Active Directory Hak cipta 2010 STMIK Bumigora Mataram http:/ / www.stmikbumigora.ac.id 57.TampilkotakdialogSharedSystemVolume,masukkanlokasi direktoridimanainstalasidirektoriSysvoldisimpan,danklik Next. 8.TampilkotakdialogDirectoryServicesRestoreMode AdministratorPassword,masukkandankonfirmasipassword yang dialokasikan untuk Administrator saat komputer dijalankan pada mode Directory Service Restore Mode, dan klik Next. 9.TampilkotakdialogSummary,danklikNextuntukmemulai instalasi. 10.Restart komputer. JoinKomputerClient(WindowsXP,Windows2000,Windows 2003 Server) ke Domain 1.Klik StartControl Paneltampil aplikasi Control Panel, klik duakalipadaiconSystem.SystemPropertiesjugadapat diaksesmelaluiklikkananiconMyComputerpadalayar desktop, pilih Properties. 2.TampilkotakdialogSystemProperties,pilihtabComputer Name,kliktombolChange.PadabagianMemberof,klik Domain, dan masukkan nama domain yang Anda ingin join contohinixindo,danklikOK.Selanjutnyatampilkotakdialog yangmemintausernamedanuserpassworduntuk melakukan join komputer ke domain. 3.Klik OK dan tutup kotak dialog System Properties. Tampil kotak dialogkonfirmasiuntukmerestartkomputer.Restartkomputer untuk mengaktifkan perubahan. Windows Server 2003 Active Directory Hak cipta 2010 STMIK Bumigora Mataram http:/ / www.stmikbumigora.ac.id 6Mengatur Delegation Control ke user tertentu untuk melakukan Join Komputer Client ke Domain 1.Klik StartAdministrative ToolsActive Directory Users and Computers (ADUC). 2.TampilaplikasiADUC,navigasikepanelsebelahkiri,klikdua kalipadanamadomainklikkananpadacontainer Computers, pilih Delegate Control. 3.Tampil kotak dialog Delegation of Control Wizard, klik tombol NexttampilpengaturanUsersorGroups,kliktombolAdd untuk memasukkan user yang akan diberikan delegasi kontrol. 4.Tampil kotak dialog Select Users, Computers or Groups, ketik namauserpadaisianparameterEntertheobjectnamesto select (examples):klik tombol OKNext. 5.TampilkotakdialogpengaturanTaskstoDelegate,klikpada pilihan Create a custom task to delegateklik Next. 6.Tampil kotak dialog pengaturan Active Directory Object Type, klikpadapilihanOnlythefollowingobjectinfoldercek pada pilihan Computer Objectscek pada parameter Create selectedobjectsinfolderdanDeleteselectedobjectsin folderklik tombol Next. 7.TampilkotakdialogpengaturanPermissions,padabagian pilihanparameterPermissions,cekpadapilihanCreateAll ChildObjectsdanDeleteAllChildObjectskliktombol NextFinish. 8.Tesmelaluikomputerclientyangakandijoinkankedomain menggunakanuseryangtelahdiaturdelegasicontrolnyapada langkah diatas. Windows Server 2003 Active Directory Hak cipta 2010 STMIK Bumigora Mataram http:/ / www.stmikbumigora.ac.id 7Konfigurasi Roaming User Profiles Langkah-langkahmengkonfigurasiRoamingUserProfilesadalah sebagai berikut: 1.LoginsebagaiuserAdministratorpadakomputerdomain controlleryangmenyediakansharingRoamingUserProfiles (RUP),sebagaicontohkomputerinibernamaArjuna.Buat SharedFolderdengannamaProfilesdidriveC.Langkah-langkahnya: klik kanan pada tombol Startpilih Exploreklik pada drive C klik menu File pada baris menu, pilih NewFolder,masukkannamafolderyaituProfilesEnter.Klik kananpadafolderProfiles,pilihSharing&Security padatabSharingpilihSharethisfolderkliktombol Permissions,tampilkotakdialogPermissionsforProfiles padaparameterPermissionforEveryone,cekpadapilihan Allow Full Controlklik tombol Applyklik tombol OKklik tombol Applyklik tombol OK. 2.BuatuserdengannamahasanmelaluiAdministrativeTool ActiveDirectoryUserandComputer,denganketentuan sebagai berikut: User name : hasan. Password dan Confirm Password : inix2007. HilangkancekpadaparameterUsermustchange password at next logon. Cek pada parameter Password Never Expires. AturagaruserhasanmenjadianggotagroupBackup Operator, agar dapat logon locally di domain controller. Windows Server 2003 Active Directory Hak cipta 2010 STMIK Bumigora Mataram http:/ / www.stmikbumigora.ac.id 83.LogoffdariuserAdministrator.Langkah-langkahnya:tekan tombolCTRL+ALT+DELETEsecarabersamaanpadakotak dialog Security, klik tombol Log off...klik tombol Yes. 4.Loginsebagaiuserhasan.UbahtampilandesktopWindows 2003Server,melalui:klikkananpadadesktop,pilih PropertiespilihtabAppearancepadaparameter Scheme,pilihschemeyangsesuaidengankeinginanAnda, sebagai contoh pilih MapleOK. 5.Logoffsebagaiuserhasan.Langkah-langkahnya:tekan tombolCTRL+ALT+DELETEsecarabersamaanpadakotak dialog Security, klik tombol Log off...klik tombol Yes. 6.LoginsebagaiuserAdministratordansalinLocalProfile dariuserhasankesharedfolderProfiles.Langkah-langkahnya:klikkananpadaiconMyComputerpilih PropertiespadakotakdialogSystemPropertiespilih tabUserProfilesklikpadaprofiledariuserhasanpada daftarprofilesyangtersimpandicomputerinikliktombol CopyTopadakotakdialogCopyTo,isiparameter berikut: Copyprofileto:\\arjuna\profiles\hasan(Format penulisannya: \\NamaComputer\NamaSharedFolderProfiles\NamaUser). Permittedtouse:kliktombolChangepilihGroups Usersklik tombol OKklik tombol CancelOK OK. 7.AturprofilepathdariuserhasanmelaluiAdministrative ToolActive Directory User and Computer (ADUC). Tampil aplikasi ADUC, navigasi ke panel sebelah kiri, klik dua kali pada Windows Server 2003 Active Directory Hak cipta 2010 STMIK Bumigora Mataram http:/ / www.stmikbumigora.ac.id 9namadomainklikpadacontainerUserspadapaneldetail sebelahkanan,klikduakalipadauserhasan,tampil Propertiesdariuserhasan,kliktabProfilepada parameterProfilepathmasukkanpathprofileuntukuser hasan:\\arjuna\profiles\hasan(Formatpenulisannya: \\NamaComputer\NamaSharedFolderProfiles\NamaUser) klik tombol OK. 8.LogoffdariuserAdministratordanloginsebagaiuser hasan,cekapakahRUPsudahberhasildiimplementasikan untuk user hasan. Konfigurasi Mandatory User ProfilesLangkah-langkahmengkonfigurasiMandatoryUserProfilesadalah sebagai berikut: 1.LoginsebagaiuserAdministratordicomputeryang menampung shared folder Profiles user. 2.Buka aplikasi Windows Explorer, selanjutnya navigasi ke lokasi sharedfolderProfilesuser,sebagaicontohlokasinyadi C:\Profiles.Klik dua kali pada salah satu sub folder profile user didalamsharedfolderProfilesyangakandiatursebagai mandatoryprofile,sebagaicontohuntukuserdengannama hasanlokasiprofilenyaadalahdiC:\Profiles\hasan.Ubah namafilentuser.datdalamfoldertersebutmenjadi ntuser.man agar profilenya menjadi mandatory. 3.TestkonfigurasiMandatoryUserProfiles.Loginsebagaiuser hasandancobalakukanperubahantampilandesktopdengan menggunakanschemeyanglainnya.Logoffsebagaiuser hasan. Login sebagai user hasan. Apabila perubahan scheme Windows Server 2003 Active Directory Hak cipta 2010 STMIK Bumigora Mataram http:/ / www.stmikbumigora.ac.id 10yangdilakukantidaktersimpan,selamatAndatelahberhasil mengkonfigurasi mandatory user profiles . MENGATUR HOME DIRECTORY USER 1.BukaWindowsExplorer,buatsebuahsharedfolderuntuk menampunghomedirectoryusersebagaicontohdi C:\HomeDirs.AturSharingPermissionuntukgroup Everyone menjadi Full Control. 2.MengaturhomefolderusermelaluiStart>Administrative Tools>ActiveDirectoryUsersandComputers.Tampil aplikasiActiveDirectoryUsersandComputers,padapanel sebelahkirinavigasikenamadomain>Users,padapanel detail klik dua kali pada nama login user yang akan diatur Home Directorynyasebagaicontohuserbadu>tampilkotakdialog properti user badu, klik tab Profile, bagian Home folder, pilih paramaterConnect,pilihdriveletteruntukmappinghome folder,danpadaparametertomasukkanUNC(Universal NamingConvention)lokasisharedhomedenganformat penulisan\\namaserver\namasharedfolder\namausersebagai contoh \\sadewa\homedirs\badu > klik OK. 3.BukaWindowsExplorer,padapanelsebelahkirinavigasike lokasisharedfolderuntukhomedirectorysebagaicontoh C:\HomeDirs. Klik kanan pada shared folder, pilih Properties >kliktabSecurity>kliktombolAdvanced>hilangkan tandacekpadaAllowinheritablepermission..untuk menonaktifkanfiturinherintancepermission>tampilkotak dialogkonfirmasikliktombolRemove>OK>aturNTFS permission untuk group Administrator menjadi Full Control, tambahkangroupDomainUsersdanaturNTFS Windows Server 2003 Active Directory Hak cipta 2010 STMIK Bumigora Mataram http:/ / www.stmikbumigora.ac.id 11permissionnyamenjadiRead&Execute,ListFolder Content dan Read > OK. 4.Navigasikedalamsharedfolderhomedirektoriusersebagai contohC:\HomeDirs,tampilisidirektoridengannamalogin usersebagainamadirektorinya.AturNTFSpermissionpada masing-masing home direktory ini dengan menghilangkan ijin akses untuk group Domain Users. 5.Testhasilkonfigurasidenganmelakukanloginmenggunakan user-user yang telah diatur home foldernya. Mengatur Logon Script User di Active Directory Windows Server 2003 LogonscriptUserdiActiveDirectorydisimpandidirektory C:\Windows\SysVol\SysVol\NamaDomain\Scripts.Logonscript dapatberupabatchfiledenganekstensinya*.batmaupunVisual Basic Script dengan ekstensinya *.vbs.Langkah-langkah mengatur Logon Script User di Active Directory adalah sebagai berikut: 1.Buatfilelogonscriptuserkemudiansimpanfiletersebutdi C:\Windows\SysVol\SysVol\NamaDomain\Scripts. Berikut contoh logon script user dengan jenis batch file dan vbs file: Logon.bat Net useX: \ \ bi ma\ mast erContohlogonscriptjenisbatchfilediatasakanmelakukan pemetaansharedfolderdengannamamasterdikomputer bima ke drive letter X. Logon.vbs MsgboxSer ver akandi mai nt enancesabt umi nggui ni ,har apseger abackupdat aAnda! Windows Server 2003 Active Directory Hak cipta 2010 STMIK Bumigora Mataram http:/ / www.stmikbumigora.ac.id 12Contohlogonscriptjenisvbsdiatasakanmenampilkankotak pesan saat user berhasil melewati proses logon. 2.AturPropertiuseragarmenggunakanlogonscriptyangdibuat melaluiStart>AdministrativeTools>ActiveDirectory UsersandComputers.TampilaplikasiActiveDirectory UsersandComputers,padapanelsebelahkirinavigasike namadomain>Users,padapaneldetailklikduakalipada namaloginuseryangakandiaturLogonScriptnyasebagai contohuserbadu>tampilkotakdialogpropertiuserbadu, klik tab Profile, di bagian User Profile, pada paramater Logon Script,masukkannamafilelogonscriptyangtelahdibuat pada langkah sebelumnya sebagai contoh logon.batklik OK. 3.Testlogonscriptuserdenganloginsebagaiuseryangtelah diatur parameter logon scriptnya. Mengatur Logon Script di GPO Organizational Unit Berikutinilangkah-langkahuntukmengaturlogonscriptdiGroup Policy Object OU: 1.MelaluiActiveDirectoryUsersandComputers,navigasike panelsebelahkiri,klikduakalipadanamadomainklik kananpadanamaOUyangakandiaturGPOloginscriptnya pilih Properties > pilih tab Group Policy > klik tombol Edit.2.Tampil aplikasi GPO Editor, pada panel sebelah kiri navigasi ke UserConfiguration>WindowsSettings>Scripts (Logon/Logoff)padapaneldetailsebelahkananklikdua kali pada parameter Logon. 3.Tampil kotak dialog Logon Properties, klik tombol Show Files untuk menampilkan file-file script yang telah disimpan di GPO. Windows Server 2003 Active Directory Hak cipta 2010 STMIK Bumigora Mataram http:/ / www.stmikbumigora.ac.id 134.Tampilkotakdialogyangmenampilkanisidaridirektoriyang menampungfile-filelogonscriptbuatbeberapalogonscripts di direktori ini, sebagai contoh: LogonData.bat Net use O: \\bima\data Contohlogonscriptjenisbatchfilediatasakanmelakukan pemetaansharedfolderdengannamadatadikomputerbima ke drive letter O. LogonMaster.bat Net use P: \\bima\master Contohlogonscriptjenisbatchfilediatasakanmelakukan pemetaansharedfolderdengannamamasterdikomputer bima ke drive letter P. 5.TampilkotakdialogLogonProperties,kliktombolAdd tampilkotakdialogAddascript,kliktombolBrowserpilih filelogonscriptyangakanditambahkan,klikOpenklikOK. Ulangi langkah ini untuk memasukkan script berikutnya. Klik OK tutupaplikasiGroupPolicyEditorTutupaplikasiActive Directory User and Computers. 6.Mengaktifkan konfigurasi GPO melalui command prompt: C:\ gpupdate /force Mengatur Domain Functional Level di Windows Server 2003 Domainfunctionalitymemungkinkanfitur-fituryang mempengaruhi keseluruhan domain dan domain itu sendiri. Tersedia 4 level domain functional level, antara lain:Domain functional levelDomain controllers supported Windows2000mixedWindows NT 4.0 Windows Server 2003 Active Directory Hak cipta 2010 STMIK Bumigora Mataram http:/ / www.stmikbumigora.ac.id 14(default) Windows 2000 Windows Server 2003 family Windows 2000 nativeWindows 2000 Windows Server 2003 family WindowsServer2003 interim Windows NT 4.0 Windows Server 2003 family Windows Server 2003Windows Server 2003 family Langkah-langkahmengaturDomainFunctionalLeveldiWindows Server 2003 adalah sebagai berikut: 1.MelaluiStartAdministrativeToolsActiveDirectory UsersandComputers.TampilaplikasiActiveDirectory UsersandComputers,padapanelsebelahkirinavigasike namadomain,klikkananpadanamadomainpilihRaise DomainFunctionalLevel.TampilkotakdialogRaiseDomain FunctionalLevel,padaparameterSelectanavaiableDomain FunctionalLevel, pilih domain functional level yang diinginkan sebagaicontohWindows2000nativekliktombol Raise klik tombol OKOK. 2.Domain functional level telah berhasil diraise . Windows Server 2003 Active Directory Hak cipta 2010 STMIK Bumigora Mataram http:/ / www.stmikbumigora.ac.id 15Konfigurasi Intrasite Replication pada Windows Server 2003 Active Directory menyediakan aplikasi Active Directory Sites and Services untuk mengatur replikasi antar domain controller. Aplikasi ini dapat diakses melalui menu Start > Administrative Tools > Active Directory Site and Services.Berikut ini dicontohkan cara mengatur konfigurasi replikasi intrasite untukdomaininixindosurabaya.com.Diasumsikanterdapat2server domaincontrolleryangmengaturdomaintersebut,berlokasidi surabaya,danmemilikialamatjaringan(networkid)10.1.1.0/24, seperti ditunjukkan pada gambar dibawah ini: SetelahinstalasiActiveDirectory,komputerserveryangbertindak sebagaidomaincontrollerdanadditionaldomaincontrollerberada dalam satu site yaitu Default-First-Site-Name.Langkah-langkahmengkonfigurasiintrasitereplicationuntuk domain inixindosurabaya.com adalah sebagai berikut: Windows Server 2003 Active Directory Hak cipta 2010 STMIK Bumigora Mataram http:/ / www.stmikbumigora.ac.id 161.Melalui menu Start > Administrative Tools > klik pada Active Directory Site and Services (ADSS). 2.Tampil aplikasi ADSS, navigasi ke panel sebelah kiri, pilih Sites >klikkananpadaDefault-First-Site-Name,pilihRename, ubah nama site menjadi Surabaya. 3.Navigasi ke panel sebelah kiri, pilih Sites > Subnets. Klik kanan padaSubnets>NewSubnetuntukmembuatsubnetsesuai denganalamatjaringanyangdigunakan.Tampilkotakdialog New Object Subnet, atur parameter-parameter berikut: Address,masukkanalamatjaringan(networkid)yang digunakan yaitu 10.1.1.0. Mask,masukkansubnetmaskyangdigunakanyaitu 255.255.255.0. Selectasiteobjectforthissubnet,pilihnamasite yangdiasosiasikandenganalamatjaringanyangdibuat, pilih site Surabaya. Selanjutnya klik tombol OK. 4.Navigasikepanelsebelahkiri,pilihSites>Surabaya> Servers>klikkananpadaNakula,pilihProperties.Tampil kotakdialogNakulaProperties,padapilihanparameter Transportsavailableforinter-sitedatatransfer:pilihIP sebagai transport, klik tombol Add >> > klik tombol OK. Windows Server 2003 Active Directory Hak cipta 2010 STMIK Bumigora Mataram http:/ / www.stmikbumigora.ac.id 175.Teskonfigurasireplikasiintrasitedengancaramembuatobjek barusebagaicontohuserbarupadaserverdomaincontroller melaluiaplikasiActiveDirectoryUsersandComputers. Selanjutnya cek pada server additional domain controller apakah object baru yang dibuat telah berhasil direplikasi. Konfigurasi Group Policy Object (GPO) di Windows Server 2003 A. GPO di level Sites MelaluiAdministrativeToolsActiveDirectorySitesand ServicesnavigasikepanelsebelahkiripilihSitesDefault-First-Site-Name,klikkananpilihPropertiespilihtabGroup PolicykliktombolNewuntukmenambahkanGPO,masukkan nama GPO contoh GPO Sites, dan klik tombol Edit untuk mengubah konfigurasi GPO. TampilaplikasiGPOEditor,navigasikepanelsebelahkiripilih User ConfigurationAdministrative TemplatesStart Menu and Taskbarpada panel detail sebelah kanan klik dua kali padaparameter-parameter berikut: RemoveSearchmenufromStartMenu,untuk menyembunyikan menu Search. RemoveRunmenufromStartMenu,untuk menyembunyikan menu Run. KlikEnabledpadatabSettingOK.TutupaplikasiGPOEditor. KliktombolOptionsCekpadaparameterNoOverride... apabiladiinginkanuntukmencegahobyekdibawahSitesyaitu Domain, dan OU mengabaikan penerapan GPO yang diatur di Sites. Klik OKTutup aplikasi Active Directory Sites and Services. Windows Server 2003 Active Directory Hak cipta 2010 STMIK Bumigora Mataram http:/ / www.stmikbumigora.ac.id 18MelaluicommandpromptaktifkanperubahankonfigurasiGPO dengan mengeksekusi perintah berikut: C:\> gpupdate /force B.GPO di level Domain MelaluiAdministrativeToolsActiveDirectoryUsersand Computersnavigasikepanelsebelahkiripilihnamadomain klik kanan pilih Propertiespilih tab Group Policyklik tombol New untuk menambahkan GPO, masukkan nama GPO contoh GPO Domain, dan klik tombol Edit untuk mengubah konfigurasi GPO. TampilaplikasiGPOEditor,navigasikepanelsebelahkiripilih User ConfigurationAdministrative TemplatesStart Menu and Taskbarpada panel detail sebelah kanan klik dua kali padaparameter berikut: RemoveHelpmenufromStartMenu,untuk menyembunyikan menu Help. KlikEnabledpadatabSettingOK.TutupaplikasiGPOEditor. CekpadaparameterBlockInheritanceapabiladiinginkanuntuk menolakpenerapanGPOyangdiaturdiSitesuntukditerapkandi Domain.KlikOKTutupaplikasiActiveDirectoryUsersand Computers. MelaluicommandpromptaktifkanperubahankonfigurasiGPO dengan mengeksekusi perintah berikut: C:\> gpupdate /force C.GPO di level OU MelaluiAdministrativeToolsActiveDirectoryUsersand Computersnavigasi ke panel sebelah kiri pilih nama domainpilih Organizational Unitklik kanan pilih Propertiespilih tab Windows Server 2003 Active Directory Hak cipta 2010 STMIK Bumigora Mataram http:/ / www.stmikbumigora.ac.id 19GroupPolicykliktombolNewuntukmenambahkanGPO, masukkannamaGPOcontohGPOOU,dankliktombolEdituntuk mengubah konfigurasi GPO. TampilaplikasiGPOEditor,navigasikepanelsebelahkiripilih UserConfigurationAdministrativeTemplates System Ctrl+Alt+Del Optionspada panel detail sebelah kanan klik dua kali padaparameter berikut: RemoveLockComputer,untukmenonaktifkantombol Lock Computer saat menekan CTRL+ALT+DEL. KlikEnabledpadatabSettingOK.TutupaplikasiGPOEditor, klik OKTutup aplikasi Active Directory Users and Computers. MelaluicommandpromptaktifkanperubahankonfigurasiGPO dengan mengeksekusi perintah berikut: C:\> gpupdate /force MengaktifkanAuditingFile/FolderdanPrinterdiWindows Server 2003 Auditing File atau Folder MelaluiWindowsExplorer,klikkananpadafile/folderyangakan diaudit,pilihProperties.TampilPropertiesdarifile/folder,kliktab SecuritykliktombolAdvancedtampilAdvancedSecurity Settings untuk file/folder tersebut, klik tab Auditing. Klik tombol Add untukmenambahkanuserataugroupyangakandiauditterkait dengan file/folder ini. Auditing Printer MelaluiStartPrintersandFaxes.TampilaplikasiPrintersand Faxes,klikkananpadanamaprinteryangakandiaktifkan Windows Server 2003 Active Directory Hak cipta 2010 STMIK Bumigora Mataram http:/ / www.stmikbumigora.ac.id 20auditingnya,pilihProperties.TampilPropertiesdariPrinter,kliktab SecuritykliktombolAdvancedtampilAdvancedSecurity Settingsuntukprintertersebut,kliktabAuditing.KliktombolAdd untukmenambahkanuserataugroupyangakandiauditterkait dengan printer ini. Konfigurasi Security dan Audit Policy di Windows Server 2003 SecuritypolicydapatditerapkanpadaLocalComputer(diatur menggunakanutilitasAdministrativeToolsLocalSecurity Policy), Domain Controller (Diatur melalui Administrative ToolsDomainControllerSecurityPolicy),danDomain(diaturmelalui Administrative ToolsDomain Security Policy).Berikutlangkah-langkahmengkonfigurasiSecurityPolicyuntuk diterapkan pada Domain Controller: 1.MelaluiAdministrativeToolsDomainControllerSecurity Policy. 2.TampilAplikasiDomainControllerSecurityPolicy,navigasike panelsebelahkiripilihSecuritySettings.Terdapatbeberapa kategorisecuritypolicyyangdisediakanolehWindowsServer 2003,berikutinidicontohkanuntukkonfigurasisecuritypolicy kategori Account Policy dan Local Policy. Navigasikepanelsebelahkiri,pilihSecuritySettings AccountPolicyPasswordPolicy,untukmengatur penerapankebijakankeamananterkaitdenganpassword user.Padapaneldetailsebelahkanan,klikduakalipada parameter-parameter berikut: a)Enforcepasswordhistory,menentukanjumlah password baru yang unik, yang diasosiasikan dengan Windows Server 2003 Active Directory Hak cipta 2010 STMIK Bumigora Mataram http:/ / www.stmikbumigora.ac.id 21usersebelumpasswordlamadapatdigunakan kembali. b)Maximumpasswordage,menentukanjumlah maksimumdalamharipassworduserdapat digunakan. c)Minimumpasswordage,menentukanjumlah minimumdalamharipassworduserharus digunakan,sebelumdapatpasswordusertersebut diganti. d)Minimumpasswordlength,menentukanpanjang password minimum user. e)Passwordmustmeetcomplexityrequirements, menentukanapakahpasswordharuskompleks diaktifkan atau tidak. f)Storepasswordusingreversibleencryption, menentukanapakahsistemoperasimenyimpan password menggunakan reversible encryption (sama artinya dengan menyimpan password dengan format plaintext). Navigasikepanelsebelahkiri,pilihSecuritySettings AccountPolicyAccountLockoutPolicy,untuk mengaturkeadaandanseberapalama(waktu)account userakandilockolehsistem.Padapaneldetailsebelah kanan, klik dua kali pada parameter-parameter berikut: a)Accountlockoutduration,menentukanseberapa lama dalam menit account user akan dilock, sebelum secara otomatis akan diunlock. Windows Server 2003 Active Directory Hak cipta 2010 STMIK Bumigora Mataram http:/ / www.stmikbumigora.ac.id 22b)Accountlockoutthreshold,menentukanjumlah usahaloginusergagalyangmenyebabkanaccount user tersebut dilock. c)Resetaccountlockoutcounterafter, menentukanjumlahdalammenityangharusdilalui setelahusahaloginyanggagalsebelumpenghitung kegagalan login dikembalikan ke posisi 0. Navigasikepanelsebelahkiri,pilihSecuritySettings LocalPolicyAuditPolicy,untukmengaktifkanfitur auditing.Padapaneldetailsebelahkanan,klikduakali pada parameter-parameter audit berikut: a)AuditAccountLogonEvents,mengauditusahalogin dan logoff dari komputer lainnya dimana komputer yang diaktifkanauditnyadigunakanuntukmemvalidasiuser tersebut. b)AuditAccountManagement,mengauditaktivitas manajemen user, group. c)Audit Logon Events, mengaudit usaha login dan logoff usersecaralangsungpadakomputeryangdiaktifkan auditnya. d)AuditObjectsAccess,mengauditaksesterhadap obyek seperti file, folder, registry, printer dan lain-lain. CekpadaparameterDefinethispolicysettingsuntuk mengaktifkanfiturauditpadaparametertersebut.Cek salahsatuataukeduaparameteryaituSuccessatau FailurepadabagianAudittheseattemptsuntuk menentukan usaha yang disimpan ke Event Viewer terkait aktivitas pada obyek yang diaudit.Tutup aplikasi Domain Controller Security Policy. Windows Server 2003 Active Directory Hak cipta 2010 STMIK Bumigora Mataram http:/ / www.stmikbumigora.ac.id 233.Melaluicommandprompteksekusiperintahberikutuntuk mengaktifkan pengubahan konfigurasi security policy: C:\> gpupdate /force 4.MelaluiAdministrativeToolsEventViewer,navigasike panelsebelahkiripilihSecurityuntukmenampilkanhasil penerapan security policy. MEMBACKUP DAN MERESTORE ACTIVE DIRECTORY WindowsServer2003menyediakanBackupUtilitysebagai utilitas bawaan untuk membackup sistem dan file data user termasuk komponen-komponenActiveDirectory.Komponen-komponensistem Windows Server 2003 yang dibackup dinamakan System State Data, meliputi: Registry COM+ Class Registration Database. System Boot Files. File yang diproteksi oleh Windows File Protection. Certificate Database (jika server dikonfigurasi sebagai Certificate Server). ActiveDirectorydandirektoriSysvol(jikaserverdikonfigurasi sebagai Domain Controller). Catatan:AndaharussebagaianggotadarigroupAdministratorsatau Backup Operators agar dapat melakukan backup. Membackup Active Directory 1.MelaluimenuStart>Run,ketikntbackuppadaparameter Open kotak dialog Run > klik tombol OK. Windows Server 2003 Active Directory Hak cipta 2010 STMIK Bumigora Mataram http:/ / www.stmikbumigora.ac.id 242.TampilaplikasiBackupUtility,kliktombolNext>pada parameter What do you want to do? Pilih Back up files and settings,kliktombolNext>padaparameterWhatdoyou wanttobackup?PilihLetmechoosewhattobackup,klik tombolNext>padapanelsebelahkiridibawahparameter ItemstoBackup,navigasikeMyComputer>cekpada System State, klik tombol Next > tampil kotak dialog Backup Type,Destination,andName,padaparameterChoosea placetosaveyourbackuptentukanlokasipenyimpanfile backup,danpadaparameterTypeanameforthisbackup masukkan nama backup, klik tombol Next > Finish. Merestore Active Directory Terdapat3metodeyangdapatdigunakanuntukmerestoreActive Directory yaitu: Normal restore (nonauthoritative restore) Authoritative restore Primary restore Masing-masingmetodetersebutberkaitandengankeadaantertentu yangdiperlukandalammerestoreSystemStatedatadariActive Directory. Normal Restore Selamaoperasinormalrestore(seringdisebutdengan nonauthoritativerestore),datadandistributedservicepadadomain controller direstore dari media backup, dan kemudian diupdate melalui replikasinormalsetelahprosesrestoreselesai.Untukmelakukan normalrestore,domaincontrollerharusdijalankanpadamode Windows Server 2003 Active Directory Hak cipta 2010 STMIK Bumigora Mataram http:/ / www.stmikbumigora.ac.id 25DirectoryServiceRestoreMode.Alasanutamauntukmelakukan normalrestoreadalahuntukmerestore1domaincontrollerpada lingkungan yang terdiri dan banyak domain controller. Authoritative Restore Tujuanutamadariauthoritativerestoreadalahuntukmelakukan undo/rollback perubahan yang telah dibuat pada Active Directory, atau mereset data yang disimpan pada distributed directory seperti Sysvol. Untukmelakukanauthoritativerestore,domaincontrollerharus dijalankanpadamodeDirectoryServiceRestoreMode.Untuk melakukanAuthoritativeRestoredataActiveDirectory,Andaharus menjalankanutilitasntdsutil.exesetelahmelakukannormalrestore dariSystemStatedata,tetapisebelumAndamelakukanrestart server.Utilitasntdsutil.exemengijinkanAndauntukmenandaiobjek Active Directory sebagai authoritative. Primary Restore Primary restore digunakan untuk membangun ulang suatu domain dari backup ketika semua domain controller (atau jika satu-satunya domain controller) pada domain gagal beroperasi. Jika domain hilang, domain controlleryangpertamaharusdirestoremenggunakanprimary restore,dandomaincontrollerlainnyayangdirestoredengannormal restore.Sepertimetodeyanglainnya,serverharusdijalankanpada mode Directory Service Restore Mode. Berikutinilangkah-langkahuntukmelakukanmetodeNormal Restore Active Directory: 1.Restart komputer. 2.Selama fase start up Sistem Operasi tekan tombol F8. Windows Server 2003 Active Directory Hak cipta 2010 STMIK Bumigora Mataram http:/ / www.stmikbumigora.ac.id 263.TampilmenuWindowsAdvancedOptions,pilihDirectory Services Restore Mode (Windows Domain Controller Only) dantekan Enter.InimemastikanActive Directorypadadomain controller ini offline. 4.TampilMenuPleaseSelectTheOperatingSystemToStart Menu,pilihMicrosoftWindowsServer2003dantekan Enter. 5.LogonmenggunakanuserAdministratordengan passwordyangdicantumkanpadasaatdcpromo(Domain Controller Promote) atau instalasi awal domain controller. 6.PadadesktoptampilkotakdialogyangmemperingatkanAnda Windows berjalan pada mode Safe Mode, klik OK. 7.MelaluimenuStart>Run,ketikntbackuppadaparameter Open kotak dialog Run > klik tombol OK. 8.TampilaplikasiBackupUtility,kliktombolNext>pada parameterWhatdoyouwanttodo?PilihRestorefilesand settings,kliktombolNext>padapanelsebelahkiridibawah parameterItemstorestore,navigasikeFile>pilihNama Backup>cekpadaSystemState,kliktombolNext>ikuti langkah-langkahselanjutnya..>klikFinishuntukmemulai proses restore. 9.TampilkotakdialogperingatanyangmemperingatkanAnda merestore System State akan mengoverwrite System State yang ada, klik OK. 10.TampilkotakdialogRestoreProgressyangmenampilkan informasistatusprosesrestore.Setelahrestoreselesai,Anda dapat melihat Laporan proses restore. 11.Tutup Laporan yang tampil, klik tombol Close. 12.Tampil kotak dialog konfirmasi Restart Komputer, pilih Yes. Windows Server 2003 Active Directory Hak cipta 2010 STMIK Bumigora Mataram http:/ / www.stmikbumigora.ac.id 27 Berikutinilangkah-langkahuntukmelakukanmetodeAuthoritative Restore Active Directory: 1.SetelahmelakukanmetodeNormalRestoresepertilangkah sebelumnya, jangan melakukan restart komputer server. 2.MelaluimenuStart>Run,ketikcmdpadaparameterOpen kotak dialog Run > klik tombol OK. 3.Pada command prompt ketik ntdsutil dan tekan Enter. 4.Pada prompt ntdsutil, ketik perintah authoritative restore dan tekan Enter. 5.Pada prompt authoritative restore: Untukmelakukanauthoritativerestorekeseluruhan Directory, ketik restore database dan tekan Enter. Untukmelakukanauthoritativerestoresebagaian Directory,sebagaicontohOU,ketikrestoresubtree subtree_ distinguished_ name dan tekan Enter. TampilkotakdialogAuthoritativeRestoreConfirmation Dialog, klik Yes. 6.Ketik quit. 7.Restart komputer domain controller.