Mengenal Lebih Dekat ACTIVE DIRECTORY DI WINDOWS SERVER 2008

Salah satu feature baru Windows Server 2008 adalah Active Directory Domain Services yang di Windows Server versi sebelumnya dikenal dengan nama Active Directory.
Apa bedanya feature Active Directory yang baru ini? Simak artikel berikut.

Active Directory (AD) merupakan fondasi dari produk server Microsoft (produk infrastruktur dan aplikasi) sehingga peranannya sangat penting sekali dalam setiap infrastruktur teknologi informasi berbasis Microsoft. Komponen ini bisa dikatakan sebagai “jantung” sebuah jaringan karena berperan sebagai database penyimpanan user account, password, dan berbagai policy yang terkait dengan objek-objek tersebut.

Windows Server 2008 menggunakan istilah Active Directory dalam arti yang lebih luas, dengan penggabungan dari feature-feature yang telah ada di Windows versi sebelumnya (tentunya dengan penyempurnaan dan tambahan feature). Tidak seperti Windows Server 2003 yang hanya mengenal satu istilah Active Directory, pada versi baru ini terdapat berbagai jenis AD yang masing-masing memiliki fungsi spesifik. Administrator dapat mengaktifkan satu atau lebih role tersebut sesuai kebutuhan jaringan.

AKTIVASI ACTIVE DIRECTORY D0MAIN SERVICES (ADDS)

Tentu saja Anda harus meng-install Windows Server 2008 terlebih dahulu sebelum mengaktifkan fungsi AD. Setelah instalasi selesai dilakukan, window wizard Server Role akan tampil dan Anda harus memilih role server tersebut. Ada sedikit perbedaan dalam instalasi Domain Controller, kita harus menetapkan server role-nya sebagai AD DS kemudian melakukan DCPROMO. Pada versi 2003, kita bisa langsung menjalankan perintah DCPROMO tanpa aktivasi role AD DS.

Langkah berikutnya sama dengan Windows Server 2003. Ketikkan DCPROMO pada Command Prompt dan proses instalasi akan dilakukan. Ketika melakukan DCPROMO, program instalasi akan memeriksa apakah file-file untuk fungsi AD DS telah ada. Dalam contoh berikut ini kita akan membangun forest baru dengan nama academic-bridge.com.

Aturan konfigurasi AD pada domain controller masih tetap sama. Administrator harus meng-install DNS atau memasukkan data DNS dari server lain jika menggunakan remote DNS.

Salah satu perbedaan mendasar pada Windows Server 2008 adalah penentuan forest functional level. Anda bisa memilih apakah AD yang dikonfigurasi hanya kompatibel dengan Windows Server 2008, atau membuatnya backward compatible dengan Windows Server 2003 dan Windows 2000.

Ketika DCPROMO selesai, server perlu di-restart. Setelah server telah siap, Anda bisa melihat pada Server Manager AD DS telah terinstall dan berfungsi. Salah satu penyempurnaan lainnya adalah DNS yang secara otomatis diinstall dan dikonfigurasi sehingga bisa beroperasi dengan benar.

FEATURE BARU ACTIVE DIRECTORY DOMAIN SERVICES (ADDS)

Berikut adalah beberapa feature baru yang terdapat dalam Active Directory Windows Server 2008. Beberapa di antaranya memberikan perubahan besar dan sangat bermanfaat untuk pengelolaan jaringan. Auditing

Kegunaan dari feature ini memungkinkan administrator untuk menetapkan System Access Control List (SACL) terhadap objek-objek yang akan diaudit. Secara umum hanya anggota dari Administrators, termasuk Domain Admins, Builtin Administrators, dan Enterprise Admins yang diperbolehkan untuk memodifikasi SACL Serta melihat catatan keamanan (security log). Salah satu penyempurnaan dari feature audit ini adalah adanya nilai lama dan nilai baru pada objek yang dimodifikasi. Pada versi Windows sebelumnya, hanya tercatat nama objek tanpa catatan perubahan. Artinya, Administrator tidak dapat melihat history dari data yang diaudit.

Untuk menggunakan feature ACTIVE DIRECTORY DOMAIN SERVICES ini, kita perlu melakukan dua langkah:

  1. Pertama kita harus mengaktifkan policy untuk audit. Ini kita lakukan melalui Group Policy Management. Selanjutnya pada kotak property Audit Directory Service Access, kita mendefinisikan policy untuk audit pada kejadian-kejadian yang berhasil dikerjakan.
  2. Langkah kedua adalah melakukan konfigurasi SACL objek yang akan diaudit. Pada contoh ini, kita akan melakukan audit terhadap OU FirstOU. Kita buka properties OU tersebut. Selanjutnya, apabila kita masuk ke tab Advance, akan tampil section Auditing tempat kita bisa memasukkan objek user yang akan diaudit.

Ketika policy telah diterapkan pada server, Anda bisa mencoba untuk melakukan dua kali reset password pada salah satu user yang berada di bawah FirstOU. Pada Event Viewer akan tampil detail kejadian yang tercatat.

Dari contoh di atas, kita lihat bahwa Audit Policy semakin andal dalam mencatat kejadian-kejadian yang diaudit. Dengan demikian, ini merupakan penyempurnaan besar dalam Windows Server karena dari Windows NT sampai dengan Windows 2003 sangat sulit dalam menerjemahkan kejadian-kejadian yang tercatat di Event Viewer.

 

FINE-GRAINED PASSWORD POLICY

Windows Server 2008 menyempurnakan feature penerapan password policy yang lebih granular, artinya lebih dari satu password policy bisa didefinisikan dalam satu domain. Hal ini tidak mungkin dilakukan pada Windows 2000 maupun Windows 2003, yang hanya memiliki satu password policy dan satu account lockout policy pada satu domain.

Hal inilah yang paling banyak ditanyakan oleh client kepada ARA KOMPUTER selama implementasi AD pada Windows 2000 maupun 2003. Di Windows Server versi terdahulu ini, policy ini memang sudah ada dan bisa didefinisikan pada group policy, tetapi hanya policy pada tingkat domain yang bisa diterapkan. Dengan keterbatasan ini, jika ada organisasi yang ingin menerapkan password policy yang berbeda, mereka harus mengimplementasikan AD dengan lebih satu domain.

READ ONLY DOMAIN CONTROLLER(RODC)

Ini juga salah satu feature unggulan yang banyak ditunggu oleh para calon pengguna Windows Server 2008. Pengalaman ARA KOMPUTER dalam implementasi AD di Indonesia menunjukkan bahwa banyak organisasi dengan kantor cabang tidak memiliki ruangan dan sumber daya yang memadai untuk mengelola Domain Controller (DC). Mereka membutuhkan Domain Controller di kantor cabang, tetapi tidak memiliki sumber’ daya memadai untuk proses administrasi server dan penyimpanan fisik. Tidak hanya sumber daya, mereka pun kekurangan tenaga ahli yang dapat mengatur administrasi servemya.

Feature RODC memberikan solusi terhadap kondisi tersebut; kantor cabang dapat memiliki DC, tetapi hanya pada mode Read Only. Semua perubahan data dan policy user tetap dilakukan di kantor pusat sehingga keamanan server di kantor cabang dapat lebih terjaga. Feature ini dapat memberikan beberapa keuntungan, antara lain:

  • Keamanan yang telah disempurnakan B Proses logon menjadi lebih cepat karena menggunakan DC lokal
  • Akses ke sumber daya jaringan yang lebih efisien

Partisi AD yang hanya bisa dibaca ini menyimpan semua objek dan atribut AD, kecuali password (password hanya di-cache serta terbatas hanya 10 password dan RODC harus dikonfigurasi untuk hal ini) dan database yang tidak bisa dimodifikasi. Jika ingin membuat user account baru atau me-reset password, harus dilakukan pada Domain Controller di kantor pusat, kemudian perubahan ini baru direplikasi-kan ke RODC.

Feature RODC bisa dilakukan pada server ataupun Server Core. Untuk contoh berikut ini, RODC akan di-install pada server. Instalasi dilakukan dengan perintah DCPROMO dan pada wizard pastikan Anda memilih AD untuk existing domain dengan mode Read Only.

RESTARTABLE ACTIVE DIRECTORY DOMAIN SERVICES

Sebagai contoh, kita dapat melakukan Offline Defragmentation terhadap database AD tanpa melakukan restart. Dengan demikian, fungsi lain yang tidak bergantung pada layanan ini, seperti DHCP, bisa berfungsi terus ketika tindakan ini dilakukan.

Feature ini juga merupakan feature baru yang ditujukan untuk penghematan waktu dalam melakukan beberapa tindakan. Sebagai contoh, kita dapat melakukan Offline Defragmentation terhadap database AD tanpa melakukan restart. Dengan demikian, fungsi lain yang tidak bergantung pada layanan ini, seperti DHCP, bisa berfungsi terus ketika tindakan ini dilakukan.

DATABASE MOUNTING TOOL (DMT)

Pada versi Windows Server sebelum Windows Server 2008, jika satu OU terhapus, AD harus di-restart pada Directory Services Restore Mode, kemudian dilakukan Authoritative Restore. Bila backup berlangsung pada waktu yang berbeda, Administrator tidak bisa menentukan pada saat mana objek yang diinginkan telah di-back-up sebelum dimodifikasi atau dihapus.

Dengan DMT, perubahan yang dilakukan pada satu objek dapat dianalisis sehingga dapat ditentukan cara yang paling baik untuk mengembalikan ke status sesuai dengan keinginan kita. Database Mounting Tool selain digunakan oleh AD DS, juga bisa digunakan oleh AD LDS.

KESIMPULAN

Dari pengalaman penulisan artikel ini serta dalam eksplorasi feature-feature baru, ARA KOMPUTER menyimpulkan sebagai berikut:

  • Windows Server 2008 merupakan produk server Microsoft yang sangat baik. Produk ini menunjukkan penyempurnaan yang signifikan dibandingkan dengan Windows 2003 Server.
  • Pada AD DS, feature-feature pentingnya adalah Password Policy, RODC, dan juga instalasi Server Core.

Tinggalkan komentar