Komunitas eLearning IlmuKomputer.Com Copyright © 2003-2007 IlmuKomputer.Com
1
Managing Computer Account Pada
Windows Server 2008 Active Directory
Domain Services
Nama Penulis [email protected]
Active Directory dan service yang terkait membentuk dasar untuk enterprise
network yang menjalankan Windows, karena mereka menyimpan informasi mengenai
identitas user, komputer dan service, mengotentikasi user atau komputer, dan
menyediakan mekanisme bagi user atau komputer untuk mengakses resources dari
perusahaan.
Dalam modul ini, kita akan mengeksplore Windows Server 2008 R2 Active
Directory dengan menginstal Active Directory Domain Services role dan membuat
domain controller baru didalam forest Active Directory. Kita dapat menemukan bahwa
Windows Server 2008 R2 merupakan lanjutan dari evolusi Active Directory dengan
meningkatkan banyak konsep dan fitur yang sudah familiar.
A. Create Komputer dan Join Domain
Ada beberapa hal yang akan dibahas ketika melakukan create komputer dan join
domain, antara lain sebagai berikut :
Workgroups, Domains, dan Trusts Didalam Workgrups, SAM (Security Accounts Manager) mem-
iliki sebuah otoritas untuk melakukan otentikasi. Sedangkan didalam
domain, Active Directory mempunyai kewenangan untuk melakukan
otentikasi. Komputer mempunyai “trust relationship” dengan domain.
Didalam sebuah workgrup, setiap komputer mempunyai identitas
yang unik yang berbeda dengan komputer yang lain dan identitas terse-
but tidak dapat dishare. Sebagai contoh, seorang user dapat login ke
Lisensi Dokumen: Copyright © 2003-2007 IlmuKomputer.Com
Seluruh dokumen di IlmuKomputer.Com dapat digunakan, dimodifikasi dan
disebarkan secara bebas untuk tujuan bukan komersial (nonprofit), dengan syarat
tidak menghapus atau merubah atribut penulis dan pernyataan copyright yang
disertakan dalam setiap dokumen. Tidak diperbolehkan melakukan penulisan ulang,
kecuali mendapatkan ijin terlebih dahulu dari IlmuKomputer.Com.
Komunitas eLearning IlmuKomputer.Com Copyright © 2003-2007 IlmuKomputer.Com
2
desktop kemudian database local pada SAM akan melakukan otentikasi
user tersebut. Tetapi otentikasi user tersebut hanya berlakuk pada desk-
top yang ia gunakan saja. Ketika user ingin terhubung ke server di
workgrup, maka user harus mempunyai akun lokal didalam database
SAM.
Jika username dan password pada server kebetulan identik
dengan username dan password pada desktop, maka jendela otentikasi
tidak muncul. Windows akan melakukan otentikasi secara otomatis.
Tetapi jika username dan password pada server berbeda dengan
username dan password pada desktop, maka jendela kredensial akan
muncul.
Persyaratan yang dibutuhkan untuk join domain
Beberapa persyaratan untuk melakukan join domain antara lain :
User harus mempunyai permission di Active Directory Services
yang memungkinkan user untuk join domain User harus menjadi member dari local grup administrator pada
komputer untuk mengubah domain atau member workgrup Objek komputer harus ada dalam directory service Jika ketiga hal tersebut diatas sudah ada, user juga harus mempu-
nyai permission untuk create akun komputer didalam domain.
Computer’s Container dan Organizational Unit
Default computers container merupakan sebuah tempat atau kon-
tainer, bukan obyek unit organisasi. Computer container tidak dapat
menghubungkan GPO (Group Policy Objects) ke dalam sebuah tempat
atau kontainer. Juga tidak dapat membuat sebuah sub-
OU(Organizational Unit) didalam sebuah tempat atau kontainer.
Best practice untuk create OU pada objek komputer, terdapat
server dan computer client. OU berbasis pada administration, kemudian
memfasilitasi konfigurasi dengan grup policy.
Prestage (pre-create) Akun Komputer
Prestage (pre-create) akun komputer dengan benar, klik kanan pada OU
dan pilih NewComputer.
Komunitas eLearning IlmuKomputer.Com Copyright © 2003-2007 IlmuKomputer.Com
3
Pada gambar diatas, Computer Name dan Computer Name (Pre-Windows
2000) harus sama. Pada box User or Grup harus mempunyai permission
ke akun tertentu untuk join domain.
Join Domain
Tampilan kotak dialog atau window pada System Property
Setelah dilakukan setting, komputer bias direstart.
Secure Computer Creation dan Joins Prestage (pre-create) yang benar pada computer object didalam
OU
Komunitas eLearning IlmuKomputer.Com Copyright © 2003-2007 IlmuKomputer.Com
4
Komputer tersebut berada didalam OU dan dan tidak
memerlukan moving Grup policy berlaku setelah komputer tersebut join do-
main Security akan lebih ketat untuk komputer OU dan com-
puter container
Melakukan konfigurasi pada default computer container redircmp "DN of OU for new computer objects"
Membatasi kemampuan user untuk melakukan create computer
Secara default, setiap user dapat join domain untuk 10
perangkat serta tidak membutuhkan prestaging (pre-
create). Mengubah nilai ms-DS-MAchineAccountQuota ke 0
Mendelegasikan ke grup-grup yang sesuai permission untuk
membuat objek komputer di OU yang tepat.
Automate Computer Account Creation
CSVDE
Import (create) atau export komputer akun
LDIFDE
Import (create), modify atau export komputer akun
DSAdd
Create komputer akun dan set initial properties
NetDom
Create komputer akun Windows PowerShell dengan Active Directory Module
Create dan manage komputer akun
Import Komputer dengan CSVDE
CSVDE.exe
csvde –i -f filename [-k] -i: Import (default mode is export) -k: Continue past errors (such as Object Already Exists)
Komunitas eLearning IlmuKomputer.Com Copyright © 2003-2007 IlmuKomputer.Com
5
Termasuk kolom userAccountControl (di set 4096) dan kolom
sAMAccountName (di set dengan computername$)
Import Komputer dengan LDIFDE
LDIFDE.exe
ldifde [-i] [-f filename] [-k] -i: Import (Default mode is export) -k: Continue past errors (Object already exists)
Create Computer Accounts dengan DSAdd dan PowerShell
Cara melakukan create komputer akun jika menggunakan DSAdd,
langkah-langkahnya :
DSAdd melakukan create objek pada Active Directory. dsadd computer ComputerDN
Cara melakukan create komputer akun jika menggunakan PowerShell,
langkah-langkahnya :
New-ADComputer -SamAccountName DESKTOP123 –Path
‘OU=Client Computers,DC=contoso,DC=com'
Create dan Join Computers menggunakan NetDom
Cara create sebuah akun netdom add ComputerName /domain:DomainName
[/ou:"OUDN"]
[/ UserD:DomainUsername /PasswordD:DomainPassword]
dn: CN=FILE25,OU=File, OU=Servers, DC=contoso,DC=com changetype: add objectClass: top objectClass: person objectClass: organizationalPerson objectClass: user objectClass: computer cn: FILE25 userAccountControl: 4096 sAMAccountName: FILE25$
Komunitas eLearning IlmuKomputer.Com Copyright © 2003-2007 IlmuKomputer.Com
6
Join Domain (and, if necessary, create an account) netdom join MachineName /Domain:DomainName
[/OU:"OUDN"]
[/UserD:DomainUsername][/PasswordD:{DomainPassword|*
} ]
[/UserO:LocalUsername] [/PasswordO:{LocalPassword|*}
] [/SecurePasswordPrompt]
[/REBoot[:TimeInSeconds]]
Modul didalam Active Directory untuk Powershell Menggunakan Add-Computer cmdlet
B. Mengelola Objek Komputer dan Akun
Sebuah computer account siklus hidupnya dimulai ketika dia dicreate dan
join domain. Dan tugas administrator termasuk mengkonfigurasi propertis pada
komputer tersebut, melakukan move ke OU, memanajemen komputer, mengu-
bah nama, resetting disabling, enabling dan deleting objek pada komputer.
Ada beberapa subbagian yang akan dibahas pada halaman berikut, antara lain :
Mengkonfigurasi atribut pada computer
Penggunaan atribut, terdiri dari :
Description
Location
Digunakan untuk location-aware applications, seperti
searching printer. Contoh : US\WA\SEA\HQ\Building33\Floor3\Q04\1531
Managed by
Merupakan link ke user yang merupakan primary user
pada komputer dan link ke grup yang bertanggung jawab
terhadap computer/server
Member of
Grup : Grup Policy Filtering dan software development
dsmod computer "ComputerDN" [-desc "Description"] [-
loc "Location"] In PowerShell, menggunakan: Set-ADComputer cmdlet
Ketika kita create sebuah objek komputer dengan menggunakan
Active Directory Users and Computers, kita akan diminta untuk
melakukan konfigurasi atributnya saja, termasuk nama komputer dan
delegasi untuk join komputer ke domain. Komputer memiliki beberapa
sifat yang tidak terlihat ketika kita create objek komputer. Kita masih
harus melakukan konfigurasi propertis sebagai bagian dari proses staging
didalam computer account.
Komunitas eLearning IlmuKomputer.Com Copyright © 2003-2007 IlmuKomputer.Com
7
Move computer
Menggunakan Active Directory User and Computer Melakukan Drag dan drop Klik kanan computer, dan kemudian klik Move
dsmove ObjectDN [-newname NewName] [-newparent
ParentDN]
-newname NewName : digunakan untuk merename kom-
puter -newparent ParentDN: digunakan untuk move komput-
er kedalam sebuah OU yang ditentukan oleh ParentDN
Menggunakan Windows PowerShell dengan pipelining Get-ADComputer | Move-ADObject
Banyak organisasi yang mempunyai beberapa OU untuk objek
komputer. Jika kita memiliki lebih dari satu OU komputer, ada
kemungkinan suatu saat kita perlu untuk memindahkan komputer antar
OU.
Computer Account dan Secure Channel
Sebuah komputer mempunyai account Beberapa sekenario dimana sebuah secure channel bisa
merusaknya
Menginstal ulang komputer dengan nama komputer yang
sama dan memperoleh password SID yang baru Restoring komputer dari backupan, atau rolling back ke
old snapshot Komputer dan domain tidak mempunyai password yang
sama
Setiap komputer member didalam domain Active Directory akan
mempertahankan computer account dengan username dan password.
Komputer menyimpan password tersebut dalam bentuk Local Security
Authority (LSA) selama 30 hari.
Mengenali problem pada computer account Contoh logon message
Komunitas eLearning IlmuKomputer.Com Copyright © 2003-2007 IlmuKomputer.Com
8
Message ketika logon menunjukkan bahwa domain con-
troller tidak bisa dihubungi, kemungkinan computer account
hilang, password salah, atau terjadinya trust relationship antara
komputer dan domain telah hilang.
Event log error, termasuk keywords seperti dibawah ini : Password
Trust
Secure channel
Relationships dengan domain atau domain controllers
Missing computer account didalam Active Directory
Reset computer account
Tidak disarankan menghapus komputer dari domain kemudian
join domain kembali
Ketika secure channel gagal, kita harus mereset secure
channel tersebut. Kebanyakan administrator melakukannya
dengan cara menghapus komputer dari domain kemudian join
domain kembali. Ini bukan solusi yang tepat karena memiliki po-
tensi menghapus computer account, computer ID dan seluruh
membernya akan hilang. Ketika kita join domain kembali, mes-
kipun komputer memiliki nama yang sama, serta memiliki SID
yang baru, member objek komputer sebelumnya tetap harus di
create ulang.
Option untuk melakukan resetting secure channel
Cara setting di Active Directory Users and Computers :
klik kanan Computer, dan kemudian klik Reset Account.
Rejoin komputer dari domain, kemudian direstat.
DSMod*
dsmod computer "ComputerDN" –reset
Komunitas eLearning IlmuKomputer.Com Copyright © 2003-2007 IlmuKomputer.Com
9
NetDom
netdom reset MachineName /domain DomainName
/UserO UserName /PasswordO {Password | *}
NLTest
nltest /server:ServerName /sc_reset:DOMAIN\DomainController
Windows PowerShell: Test-ComputerSecureChannel –
Repair
Rename Komputer
Ketika kita mengubah nama komputer, maka harus dilakukan
dengan hati-hati. Komputer tersebut menggunakan nama dan nama ter-
sebut yang mengotentikasi dengan domain. Jadi ketika merename hanya
objek domainnya atau hanya komputer itu sendiri maka akan menjadi
tidak sinkron. Jika merename harus kedua-duanya, objek domain dan
komputernya.
Gunakan System Properties untuk mengubah nama komputer dan
akun dengan benar.
Dari Commond prompt, dapat menggunakan perintah NetDom, dengan
syntax sebagai berikut :
netdom renamecomputer MachineName /NewName:NewName
[/UserO:LocalUsername] [/PasswordO:{LocalPassword|*}
]
[/UserD:DomainUsername]
[/PasswordD:{DomainPassword|*} ]
[/SecurePasswordPrompt] [/REBoot[:TimeInSeconds] ]
Komunitas eLearning IlmuKomputer.Com Copyright © 2003-2007 IlmuKomputer.Com
10
Disable dan enable computer
Jika komputer dalam keadaan offline atau tidak digunakan dalam
jangka waktu yang lama, disarankan untuk mendisable akun. Langkah
tersebut dilakukan untuk menjaga keamanan akun yang bersangkutan.
Mendisable akun tidak mengubah SID komputer atau membership kom-
puter tersebut. Sehingga ketika komputer online kembali, akun dapat
dienable.
Untuk mendisable akun pada Active Directory User and Comput-
er, klik kanan pada Computer dan kemudian klik Disable Account. Se-
dangkan untuk mengenable computer account, klik kanan pada Comput-
er, kemudian klik Enable Account.
Untuk mendisable atau enable komputer dari commond prompt,
gunakan DSMod commond. Syntax yang digunakan untuk mendisable
atau enable komputer adalah :
dsmod computer ComputerDN -disabled yes dsmod computer ComputerDN -disabled no
Delete dan Recycle computer account
Telah kita pelajari bahwa setiap computer account seperti halnya us-
er account mempunyai SID yang unik yang memungkinkan seorang ad-
ministrator memberikan hak akses ke komputer. Seperti user account,
komputer juga dapat masuk kedalam sebuah grup. Oleh karena itu, pent-
ing untuk memahami efek dari penghapusan sebuah computer account.
Ketika computer account dihapus, keanggotaan grup dan SID akan ikut
terhapus. Menghapus objek komputer hanya jika kita yakin bahwa kita
tidak lagi memerlukan atribut-atribut yang berhubungan dengan security
objek.
Cara menghapus komputer menggunakan Active Directory User
and Computer
Klik kanan pada Computer Object, kemudian klik delete Cara menghapus komputer menggunakan DSRm
dsrm ObjectDN Menghapus SID dan keanggotaan grup
Ketika mereplace atau menginstal ulang sebuah komput-
er, jika komputer mempunyai beberapa role yang sama,
maka reset saja account computer, bukan menghapusnya. Mempertahankan semua atribut komputer, termasuk SID
dan keanggotaan grup
Kita dapat merename objek jika komputer sedang dalam
proses instalasi ulang/upgrade.
Komunitas eLearning IlmuKomputer.Com Copyright © 2003-2007 IlmuKomputer.Com
11
C. Offline Domain Join
Offline Domain Join adalah fungsi baru khusus untuk Windows Server
2008 R2. Fungsi ini memungkinkan administrator untuk join komputer ke do-
main tanpa konektivitas jaringan. Dalam subbab ini kita akan mempelajari
bagaimana offline domain join bekerja dan bagaimana menggunakannya.
Offline Domain Join memungkinkan client untuk sepenuhnya
mencapai domain-joined tanpa perlu melakukan komunikasi
dengan domain controller. Trust relationship antara ikomputer dan domain dihubungkan
segera setelah koneksi jaringan dengan domain controller ter-
sambung
Persyaratan :
Tidak ada forest atau domain functional pada level re-
quirement
Tidak diperlukan Windows Server 2008 R2 domain con-
troller Komputer yang join harus menjadi client Windows 7 atau
member Windows Server 2008 R2
Proses melakukan Offline Domain Join
Jika non administrator offline domain join, maka hak-hak yang sesuai ju-
ga harus didelegasikan. Jalankan perintah djoin /provision /domain contoso.com /machine
DESKTOP123 /savefile C:\desktop123.txt untuk penyediaan computer
account object dan membuat blob file.
Transfer blob file dengan domain information ke client computer system
hard disk drive
Jalankan djoin /requestODJ /loadfile desktop123.txt /windowspath%
SystemRoot% (/localos) untuk membuat blob file dikomputer tujuan. Restat komputer client.
Komunitas eLearning IlmuKomputer.Com Copyright © 2003-2007 IlmuKomputer.Com
12
Referensi :
Official Microsoft Learning Product - 6425C ENU Trainer Handbook -
Configuring and Troubleshooting Windows Server®
2008 Active Directory®
Domain Services Volume 1
Biografi Penulis
Titin Uswatun Hasanah.
Mahasiswi SI Teknik Informatika
Fakultas Sains dan Teknologi
Universitas Islam Negeri (UIN) Sunan Kalijaga
Yogyakarta.
Top Related