Managing Computer Account Pada Windows...

Komunitas eLearning IlmuKomputer.Com Copyright © 2003-2007 IlmuKomputer.Com

1

Managing Computer Account Pada

Windows Server 2008 Active Directory

Domain Services

Nama Penulis [email protected]

Active Directory dan service yang terkait membentuk dasar untuk enterprise

network yang menjalankan Windows, karena mereka menyimpan informasi mengenai

identitas user, komputer dan service, mengotentikasi user atau komputer, dan

menyediakan mekanisme bagi user atau komputer untuk mengakses resources dari

perusahaan.

Dalam modul ini, kita akan mengeksplore Windows Server 2008 R2 Active

Directory dengan menginstal Active Directory Domain Services role dan membuat

domain controller baru didalam forest Active Directory. Kita dapat menemukan bahwa

Windows Server 2008 R2 merupakan lanjutan dari evolusi Active Directory dengan

meningkatkan banyak konsep dan fitur yang sudah familiar.

A. Create Komputer dan Join Domain

Ada beberapa hal yang akan dibahas ketika melakukan create komputer dan join

domain, antara lain sebagai berikut :

Workgroups, Domains, dan Trusts Didalam Workgrups, SAM (Security Accounts Manager) mem-

iliki sebuah otoritas untuk melakukan otentikasi. Sedangkan didalam

domain, Active Directory mempunyai kewenangan untuk melakukan

otentikasi. Komputer mempunyai “trust relationship” dengan domain.

Didalam sebuah workgrup, setiap komputer mempunyai identitas

yang unik yang berbeda dengan komputer yang lain dan identitas terse-

but tidak dapat dishare. Sebagai contoh, seorang user dapat login ke

Lisensi Dokumen: Copyright © 2003-2007 IlmuKomputer.Com

Seluruh dokumen di IlmuKomputer.Com dapat digunakan, dimodifikasi dan

disebarkan secara bebas untuk tujuan bukan komersial (nonprofit), dengan syarat

tidak menghapus atau merubah atribut penulis dan pernyataan copyright yang

disertakan dalam setiap dokumen. Tidak diperbolehkan melakukan penulisan ulang,

kecuali mendapatkan ijin terlebih dahulu dari IlmuKomputer.Com.


2

desktop kemudian database local pada SAM akan melakukan otentikasi

user tersebut. Tetapi otentikasi user tersebut hanya berlakuk pada desk-

top yang ia gunakan saja. Ketika user ingin terhubung ke server di

workgrup, maka user harus mempunyai akun lokal didalam database

SAM.

Jika username dan password pada server kebetulan identik

dengan username dan password pada desktop, maka jendela otentikasi

tidak muncul. Windows akan melakukan otentikasi secara otomatis.

Tetapi jika username dan password pada server berbeda dengan

username dan password pada desktop, maka jendela kredensial akan

muncul.

Persyaratan yang dibutuhkan untuk join domain

Beberapa persyaratan untuk melakukan join domain antara lain :

User harus mempunyai permission di Active Directory Services

yang memungkinkan user untuk join domain User harus menjadi member dari local grup administrator pada

komputer untuk mengubah domain atau member workgrup Objek komputer harus ada dalam directory service Jika ketiga hal tersebut diatas sudah ada, user juga harus mempu-

nyai permission untuk create akun komputer didalam domain.

Computer’s Container dan Organizational Unit

Default computers container merupakan sebuah tempat atau kon-

tainer, bukan obyek unit organisasi. Computer container tidak dapat

menghubungkan GPO (Group Policy Objects) ke dalam sebuah tempat

atau kontainer. Juga tidak dapat membuat sebuah sub-

OU(Organizational Unit) didalam sebuah tempat atau kontainer.

Best practice untuk create OU pada objek komputer, terdapat

server dan computer client. OU berbasis pada administration, kemudian

memfasilitasi konfigurasi dengan grup policy.

Prestage (pre-create) Akun Komputer

Prestage (pre-create) akun komputer dengan benar, klik kanan pada OU

dan pilih NewComputer.


3

Pada gambar diatas, Computer Name dan Computer Name (Pre-Windows

2000) harus sama. Pada box User or Grup harus mempunyai permission

ke akun tertentu untuk join domain.

Join Domain

Tampilan kotak dialog atau window pada System Property

Setelah dilakukan setting, komputer bias direstart.

Secure Computer Creation dan Joins Prestage (pre-create) yang benar pada computer object didalam

OU


4

Komputer tersebut berada didalam OU dan dan tidak

memerlukan moving Grup policy berlaku setelah komputer tersebut join do-

main Security akan lebih ketat untuk komputer OU dan com-

puter container

Melakukan konfigurasi pada default computer container redircmp "DN of OU for new computer objects"

Membatasi kemampuan user untuk melakukan create computer

Secara default, setiap user dapat join domain untuk 10

perangkat serta tidak membutuhkan prestaging (pre-

create). Mengubah nilai ms-DS-MAchineAccountQuota ke 0

Mendelegasikan ke grup-grup yang sesuai permission untuk

membuat objek komputer di OU yang tepat.

Automate Computer Account Creation

CSVDE

Import (create) atau export komputer akun

LDIFDE

Import (create), modify atau export komputer akun

DSAdd

Create komputer akun dan set initial properties

NetDom

Create komputer akun Windows PowerShell dengan Active Directory Module

Create dan manage komputer akun

Import Komputer dengan CSVDE

CSVDE.exe

csvde –i -f filename [-k] -i: Import (default mode is export) -k: Continue past errors (such as Object Already Exists)


5

Termasuk kolom userAccountControl (di set 4096) dan kolom

sAMAccountName (di set dengan computername$)

Import Komputer dengan LDIFDE

LDIFDE.exe

ldifde [-i] [-f filename] [-k] -i: Import (Default mode is export) -k: Continue past errors (Object already exists)

Create Computer Accounts dengan DSAdd dan PowerShell

Cara melakukan create komputer akun jika menggunakan DSAdd,

langkah-langkahnya :

DSAdd melakukan create objek pada Active Directory. dsadd computer ComputerDN

Cara melakukan create komputer akun jika menggunakan PowerShell,

langkah-langkahnya :

New-ADComputer -SamAccountName DESKTOP123 –Path

‘OU=Client Computers,DC=contoso,DC=com'

Create dan Join Computers menggunakan NetDom

Cara create sebuah akun netdom add ComputerName /domain:DomainName

[/ou:"OUDN"]

[/ UserD:DomainUsername /PasswordD:DomainPassword]

dn: CN=FILE25,OU=File, OU=Servers, DC=contoso,DC=com changetype: add objectClass: top objectClass: person objectClass: organizationalPerson objectClass: user objectClass: computer cn: FILE25 userAccountControl: 4096 sAMAccountName: FILE25$


6

Join Domain (and, if necessary, create an account) netdom join MachineName /Domain:DomainName

[/OU:"OUDN"]

[/UserD:DomainUsername][/PasswordD:{DomainPassword|*

} ]

[/UserO:LocalUsername] [/PasswordO:{LocalPassword|*}

] [/SecurePasswordPrompt]

[/REBoot[:TimeInSeconds]]

Modul didalam Active Directory untuk Powershell Menggunakan Add-Computer cmdlet

B. Mengelola Objek Komputer dan Akun

Sebuah computer account siklus hidupnya dimulai ketika dia dicreate dan

join domain. Dan tugas administrator termasuk mengkonfigurasi propertis pada

komputer tersebut, melakukan move ke OU, memanajemen komputer, mengu-

bah nama, resetting disabling, enabling dan deleting objek pada komputer.

Ada beberapa subbagian yang akan dibahas pada halaman berikut, antara lain :

Mengkonfigurasi atribut pada computer

Penggunaan atribut, terdiri dari :

Description

Location

Digunakan untuk location-aware applications, seperti

searching printer. Contoh : US\WA\SEA\HQ\Building33\Floor3\Q04\1531

Managed by

Merupakan link ke user yang merupakan primary user

pada komputer dan link ke grup yang bertanggung jawab

terhadap computer/server

Member of

Grup : Grup Policy Filtering dan software development

dsmod computer "ComputerDN" [-desc "Description"] [-

loc "Location"] In PowerShell, menggunakan: Set-ADComputer cmdlet

Ketika kita create sebuah objek komputer dengan menggunakan

Active Directory Users and Computers, kita akan diminta untuk

melakukan konfigurasi atributnya saja, termasuk nama komputer dan

delegasi untuk join komputer ke domain. Komputer memiliki beberapa

sifat yang tidak terlihat ketika kita create objek komputer. Kita masih

harus melakukan konfigurasi propertis sebagai bagian dari proses staging

didalam computer account.


7

Move computer

Menggunakan Active Directory User and Computer Melakukan Drag dan drop Klik kanan computer, dan kemudian klik Move

dsmove ObjectDN [-newname NewName] [-newparent

ParentDN]

-newname NewName : digunakan untuk merename kom-

puter -newparent ParentDN: digunakan untuk move komput-

er kedalam sebuah OU yang ditentukan oleh ParentDN

Menggunakan Windows PowerShell dengan pipelining Get-ADComputer | Move-ADObject

Banyak organisasi yang mempunyai beberapa OU untuk objek

komputer. Jika kita memiliki lebih dari satu OU komputer, ada

kemungkinan suatu saat kita perlu untuk memindahkan komputer antar

OU.

Computer Account dan Secure Channel

Sebuah komputer mempunyai account Beberapa sekenario dimana sebuah secure channel bisa

merusaknya

Menginstal ulang komputer dengan nama komputer yang

sama dan memperoleh password SID yang baru Restoring komputer dari backupan, atau rolling back ke

old snapshot Komputer dan domain tidak mempunyai password yang

sama

Setiap komputer member didalam domain Active Directory akan

mempertahankan computer account dengan username dan password.

Komputer menyimpan password tersebut dalam bentuk Local Security

Authority (LSA) selama 30 hari.

Mengenali problem pada computer account Contoh logon message


8

Message ketika logon menunjukkan bahwa domain con-

troller tidak bisa dihubungi, kemungkinan computer account

hilang, password salah, atau terjadinya trust relationship antara

komputer dan domain telah hilang.

Event log error, termasuk keywords seperti dibawah ini : Password

Trust

Secure channel

Relationships dengan domain atau domain controllers

Missing computer account didalam Active Directory

Reset computer account

Tidak disarankan menghapus komputer dari domain kemudian

join domain kembali

Ketika secure channel gagal, kita harus mereset secure

channel tersebut. Kebanyakan administrator melakukannya

dengan cara menghapus komputer dari domain kemudian join

domain kembali. Ini bukan solusi yang tepat karena memiliki po-

tensi menghapus computer account, computer ID dan seluruh

membernya akan hilang. Ketika kita join domain kembali, mes-

kipun komputer memiliki nama yang sama, serta memiliki SID

yang baru, member objek komputer sebelumnya tetap harus di

create ulang.

Option untuk melakukan resetting secure channel

Cara setting di Active Directory Users and Computers :

klik kanan Computer, dan kemudian klik Reset Account.

Rejoin komputer dari domain, kemudian direstat.

DSMod*

dsmod computer "ComputerDN" –reset


9

NetDom

netdom reset MachineName /domain DomainName

/UserO UserName /PasswordO {Password | *}

NLTest

nltest /server:ServerName /sc_reset:DOMAIN\DomainController

Windows PowerShell: Test-ComputerSecureChannel –

Repair

Rename Komputer

Ketika kita mengubah nama komputer, maka harus dilakukan

dengan hati-hati. Komputer tersebut menggunakan nama dan nama ter-

sebut yang mengotentikasi dengan domain. Jadi ketika merename hanya

objek domainnya atau hanya komputer itu sendiri maka akan menjadi

tidak sinkron. Jika merename harus kedua-duanya, objek domain dan

komputernya.

Gunakan System Properties untuk mengubah nama komputer dan

akun dengan benar.

Dari Commond prompt, dapat menggunakan perintah NetDom, dengan

syntax sebagai berikut :

netdom renamecomputer MachineName /NewName:NewName

[/UserO:LocalUsername] [/PasswordO:{LocalPassword|*}

]

[/UserD:DomainUsername]

[/PasswordD:{DomainPassword|*} ]

[/SecurePasswordPrompt] [/REBoot[:TimeInSeconds] ]


10

Disable dan enable computer

Jika komputer dalam keadaan offline atau tidak digunakan dalam

jangka waktu yang lama, disarankan untuk mendisable akun. Langkah

tersebut dilakukan untuk menjaga keamanan akun yang bersangkutan.

Mendisable akun tidak mengubah SID komputer atau membership kom-

puter tersebut. Sehingga ketika komputer online kembali, akun dapat

dienable.

Untuk mendisable akun pada Active Directory User and Comput-

er, klik kanan pada Computer dan kemudian klik Disable Account. Se-

dangkan untuk mengenable computer account, klik kanan pada Comput-

er, kemudian klik Enable Account.

Untuk mendisable atau enable komputer dari commond prompt,

gunakan DSMod commond. Syntax yang digunakan untuk mendisable

atau enable komputer adalah :

dsmod computer ComputerDN -disabled yes dsmod computer ComputerDN -disabled no

Delete dan Recycle computer account

Telah kita pelajari bahwa setiap computer account seperti halnya us-

er account mempunyai SID yang unik yang memungkinkan seorang ad-

ministrator memberikan hak akses ke komputer. Seperti user account,

komputer juga dapat masuk kedalam sebuah grup. Oleh karena itu, pent-

ing untuk memahami efek dari penghapusan sebuah computer account.

Ketika computer account dihapus, keanggotaan grup dan SID akan ikut

terhapus. Menghapus objek komputer hanya jika kita yakin bahwa kita

tidak lagi memerlukan atribut-atribut yang berhubungan dengan security

objek.

Cara menghapus komputer menggunakan Active Directory User

and Computer

Klik kanan pada Computer Object, kemudian klik delete Cara menghapus komputer menggunakan DSRm

dsrm ObjectDN Menghapus SID dan keanggotaan grup

Ketika mereplace atau menginstal ulang sebuah komput-

er, jika komputer mempunyai beberapa role yang sama,

maka reset saja account computer, bukan menghapusnya. Mempertahankan semua atribut komputer, termasuk SID

dan keanggotaan grup

Kita dapat merename objek jika komputer sedang dalam

proses instalasi ulang/upgrade.


11

C. Offline Domain Join

Offline Domain Join adalah fungsi baru khusus untuk Windows Server

2008 R2. Fungsi ini memungkinkan administrator untuk join komputer ke do-

main tanpa konektivitas jaringan. Dalam subbab ini kita akan mempelajari

bagaimana offline domain join bekerja dan bagaimana menggunakannya.

Offline Domain Join memungkinkan client untuk sepenuhnya

mencapai domain-joined tanpa perlu melakukan komunikasi

dengan domain controller. Trust relationship antara ikomputer dan domain dihubungkan

segera setelah koneksi jaringan dengan domain controller ter-

sambung

Persyaratan :

Tidak ada forest atau domain functional pada level re-

quirement

Tidak diperlukan Windows Server 2008 R2 domain con-

troller Komputer yang join harus menjadi client Windows 7 atau

member Windows Server 2008 R2

Proses melakukan Offline Domain Join

Jika non administrator offline domain join, maka hak-hak yang sesuai ju-

ga harus didelegasikan. Jalankan perintah djoin /provision /domain contoso.com /machine

DESKTOP123 /savefile C:\desktop123.txt untuk penyediaan computer

account object dan membuat blob file.

Transfer blob file dengan domain information ke client computer system

hard disk drive

Jalankan djoin /requestODJ /loadfile desktop123.txt /windowspath%

SystemRoot% (/localos) untuk membuat blob file dikomputer tujuan. Restat komputer client.


12

Referensi :

Official Microsoft Learning Product - 6425C ENU Trainer Handbook -

Configuring and Troubleshooting Windows Server®

2008 Active Directory®

Domain Services Volume 1

Biografi Penulis

Titin Uswatun Hasanah.

Mahasiswi SI Teknik Informatika

Fakultas Sains dan Teknologi

Universitas Islam Negeri (UIN) Sunan Kalijaga

Yogyakarta.

Managing Computer Account Pada Windows...

Documents

Transcript of Managing Computer Account Pada Windows...