Memahami Active Directory WIndows Server

Active directory pada jaringan Windows server, apa dan bagaimana?

Apa itu AD?

Active Directory (AD) adalah suatu Directory Services dalam suatu jaringan computer Windows 2003 (atau 2000) yang digunakan sebagai Authenticasi dan Authorisasi untuk akses kedalam suatu resources jaringan baik resources yang berada pada local network maupun resources yang berada melintasi jaringan WAN global dalam suatu jaringan global corporasi. Active Directory 2003 merupakan technology yang sangat powerful dengan kemampuan yang tak terbatas.




 

Apa itu authenticasi?

Kalau anda terdaftar dalam suatu system jaringan dan mempunyai account untuk masuk dalam suatu system jaringan itu, maka dengan account anda itu system akan meng-Authentikasi bahwa anda adalah valid user dalam system tersebut. Jika anda sudah masuk dalam system jaringan tersebut dan mengakses suatu layanan resource yang ada dalam jaringan tersebut, maka system memberikan authorisasi untuk akses resource tersebut. Anda bisa saja ter-authenticasi masuk dalam suatu jaringan akan tetapi belum tentu anda mendapatkan authorisasi untuk mengakses suatu sumber jaringan tertentu.

 

Entitas dalam suatu AD

Active Directory 2003 adalah directory services yang menyimpan semua informasi yang diperlukan untuk dipakai dan juga mengelola object-2 system dalam lokasi terpusat untuk memudahkan dan menyederhanakan proses pencarian dan pengelolaan sumber-2 (resources) tersebut. Directory services dalam Active Directory 2003 memberikan suatu cara untuk menyimpan, mencari, mengamankan, dan mengakses informasi tentang suatu resources jaringan dalam suatu organisasi seperti:

  • Informasi user account
  • Informasi account computer (dalam suatu jaringan, komputer mempunyai account tersendiri untuk bisa diberdayakan dalam suatu jaringan, gak Cuma orang)
  • Groups, yang beranggotakan user account, atau bahkan group lainnya juga
  • Printer
  • Server
  • Resources
  • Suatu database yang menyimpan informasi tentang user-2nya dan dan juga konsumen lainnya (partner bisnis)
  • Centralisasi administrasi
  • Centralisasi atau decentralisasi administrasi resources, administrasi dibagi bisa saja menurut site atau menurut kewenangannya dalam structur organisasi
  • Menyimpan informasi dalam format yang aman

Bermacam-2 komponen dalam active directory 2003 digunakan untuk membangun suatu struktur directory untuk memenuhi kebutuhan dalam organisasi anda. Definisi dari Active Directory bisa dibagi dalam komponen Logical dan Physical.

 

Struktur Logical dari Active Directory 2003

  • Object, disimpan dalam database Schema
  • OU (Organizational Unit), memungkinkan user membagi domain kedalam unit-2 administrasi. Missal untuk user umum kita bukin OU dengan nama “General User” yang berisi user secara umum.
  • Domains, merupakan unit atom dari Active Directrory 2003
  • Tree, semua domain yang terhubung dalam suatu design namespace dalam Forest yang sama
  • Forest, suatu boundary dalam directory services

 

Skema Forest, Domain dan OU

Striktur logical dari Active Directory 2003 dapat diilustrasikan dalam relasi berikut dari domain active directory, OU, dan juga Forest.

 

Active Directory 2003 Forest

Active Directory 2003 Forest

Domains

Unit inti dari struktur logical dalam Active Directory 2003 adalah Domain, yang bisa menyimpan jutaan object. Object-2 yg disimpan dalam domain bisa berupa user, printer, alamat e-mail, database, adalah yang dianggap vital dalam jaringan. Directory dibuat dari satu Domain ataupun lebih. Sementara satu domain bisa terbentang lebih dari satu lokasi physical. Bisa saja domain jaringan-komputer.cv-sysneta.com terbentang dalam satu system jaringan yang ada di kantor pusat di Guinea dan didua kantor cabangnya juga dengan domain yang sama jaringan-komputer.cv-sysneta.com.

 

Active Directory 2003 -OU

Karakteristik Domain dalam Active Directory
  • Semua object dalam jaringan ada dalam Domain, dan setiap Domain menyimpan informasi hanya tetang object yang dikandungnya.
  • Suatu domain adalah suatu security boundary. Sementara untuk mengakses object domain dikendalikan oleh suatu access control list (ACL), yang mempunyai suatu permision yang berhubungan dengan object-2 tersebut. Sebagai contoh untuk Share Printer A hanya boleh diakses oleh Group Accounting saja, jadi kalau user Joko yang tidak masuk dalam Group A maka dia tidak bisa mengakses printer A.

 

OU (organizational Unit)

Suatu OU adalah suatu kontainer yang digunakan untuk mengorganisasi object-2 dalam suatu domain kedalam suatu kelompok administrasi logical. OU memberikan suatu makna untuk penanganan suatu tugas-2 administrasi, seperti administrasi tentamg user dan resources, karena OU ini merupakan scope terkecil dimana anda bisa mendelegasikan suatu authority administrasi. Suatu OU bisa berisi object-2 seperti user account, groups, computers, printers, applikasi, files shares, dan bisa juga berisi OU lainnya dalam domain yang sama.

 

Active Directory 2003 - Domain Tree

Active Directory 2003 – Domain Tree

Tree

Suatu Tree adalah suatu pengelompokan atau pengaturan secara hirarchi dari satu atau lebih Domain Windows Server 2003 yang anda ciptakan dengan cara menambah satu atau lebih Anak Domain (Child Domain) kepada Domain sekarang yang sudah ada. Domain-2 yang ada pada suatu Tree berbagi suatu namespace yang contiguous dan juga berbagi suatu struktur penamaan hiararchi.

 

Forests

Suatu forest adalah suatu pengelompokan atau suatu pengaturan secara hirarchi dari satu atau lebih domain Tree yang benar-2 independent.

Karakteristik forest

Forest-2 seperti ini mempunyai karakteristik seperti berikut:

  • Semua domain dalam suatu Forest berbagi suatu schema yang sama
  • Semua domain dalam suatu forest berbagi suatu Global Catalog yang sama
  • Semua domain dalam suatu forest terhubung dengan Trust Transitive Dua arah yg implicit
  • Tree dalam suatu forest mempunyai structure penamaan yang berbeda, menurut domain mereka.
  • Domain dalam suatu forest beroperasi secara independent, akan tetapi forest memungkinkan komunikasi keseluruh organisasi.

 

Active Directory 2003 - Forest Tree

Active Directory 2003 – Forest Tree

 

Structure Physical dari suatu Active Directory 2003

Struktur physical dari Active Directory 2003 mengandung object-2 berikut:

Domain controller (DC)

DC yaitu server yang mengoperasikan layanan inti dan sebagai wadah database active directory 2003. Karena suatu domain dapat berisi satu atau lebih domain controller, setiap domain controller dalam suatu domain mempunyai replica yang lengkap dari porsi domain suatu directory. Suatu domain controller hanya dapat melayani satu domain saja. Suatu domain controller juga melakukan authentikasi user yang sedang logon dan juga menjaga security policy dari suatu domain.

  • Setiap domain controller menyimpan copy lengkap dari semua informasi active directory untuk domain tersebut, mengelola setiap perubahan pada informasi tersebut, dan me-replikasikan setiap perubahan kepada domain controller lainnya yang ada dalam domain tersebut.
  • Semua domain controller dalam suatu domain secara automatis me-replikasikan informasi semua object dalam domain tersebut satu sama lain. Jadi hati-2 kalau update object, karena akan direplikasikan ke semua domain controller dalam domain tersebut. anda bisa mengatur interval replikasinya.

 

Sites

Sites merupakan boundary replikasi yang dikonfigure untuk kepentingan authenticasi dan lokalisasi replikasi events. Suatu site merupakan kombinasi dari satu IP subnet atau lebih yang terhubung dengan link yang berkecepatan tinggi dan handal untuk melokalisasi sebanyak-2 nya traffic. Umumnya suatu site mempunyai boundaries yang sama seperti local area network (LAN). Perlu diketahui bahwa site bukanlah nagian dari namespace.

 

Hubungan Domain dan Site

Hubungan Domain dan Site

Partisi Directory

Partisi directory dirujuk juga sebagai Naming Context. Directory berisi partisi berikut:

  • Schema partisi, mendefinisikan object-2 yang bisa diciptakan dalam directory sekalian juga attribute-2 nya. Data Schema partisi ini sama untuk semua Domain dalam suatu Forest dan di replikasi kan ke semua domain controller dalam Forest.
  • Configurasi Partisi, menjelaskan penggunaan structure logical termasuk data seperti struktur domain atau topology replikasi.
  • Domain partisi, menjelaskan semua object khusus dari suatu domain dan tidak direplikasikan ke semua domain-2 lainnya. Akan tetapi, data direplikasikan ke setiap DC dalam domain itu.
  • Partisi Directory Applikasi, menyimpan data applikasi specific yang dynamis dalam Active Directory 2003. Anda bisa mengendalikan scope replikasi begitu juga penempatan replica nya, hal ini untuk effisiensi bandwidth dalam replikasi.

Structure Physical dari Active Directory 2003 dapat dijelaskan dengan diagram berikut ini.

 

Physical Structure - Active Directory

Physical Structure – Active Directory

 

Global Catalog (GC) dalam Active Directory 2003

Active Directory 2003 memudahkan kita sebagai user ataupun sebagai administrator untuk mendapatkan object-2 seperti file, printer, atau user dalam domain mereka. Akan tetapi untuk mendapatkan object diluar domain mereka dalam enterprise memerlukan suatu mekanisme dimana semua domain tersebut seolah berada dalam satu entitas. Suatu layanan Catalog berisi pilihan informasi tentang setiap object dalam semua domain dalam directory, yang sangat berguna saat melakukan pencarian dalam suatu enterprise.

 

Fakta GC

 

Global Catalog adalah layanan catalog yang diberikan oleh Active Directory 2003.

  • Suatu index cepat pada forest keseluruhan tidak pandang domain yang mana dalam forest itu yang mengandung data.
  • Secara default, forest secara keseluruhan menggunakan domain controller yang dibuat pertama kali dalam forest tersebut sebagai Global Catalog (GC)
  • Jika hanya ada satu domain controller dalam suatu domain, domain controller tersebut berfungsi sebagai Global Catalog.
  • Jika GC tidak tersedia disaat seorang user berusaha logon kedalam jaringan, maka user tersebut akan logon secara local saja pada komputer dimana dia logon. Akan tetapi tidak demikian kalau site tersebut diconfigure untuk cache Universal Group Membership lookups saat user berusaha logon. Jadi semua credential user yang pernah logon di site tersebut akan di simpan di cache, saat GC tidak tersedia maka user yang pernah logon di site tersebut sebelumnya, masih bisa mengakses jaringan di site tersebut.
  • Global Catalog dan Infrastructure Master tidak dapat berada dalam satu mesin. Mereka harus berada dalam satu site di mesin yang berbeda untuk memudahkan komunikasi yang cepat.

 

Replikasi Global Catalog

Replikasi Global Catalog

 

Process pencarian (query) dalam Global Catalog

Suatu query bisa berupa suatu permintaan informasi sesuatu kepada Globa Catalog yg dimaksudkan untuk mengambil, memodifikasi, ataupun menghapus object data dalam suatu AD.

Berikut dijelaskan proses query dalam Global Catalog dengan mengacu pada gambar diatas.

1. Pertama kali suatu client mencari informasi lokasi dari Global Catalog server pada DNS server

2. DNS server melakukan pencarian lokasi dari suatu Global Catalog server dan kembali dengan informasi IP address dari server Domain Controller yang difungsikan sebagai Global Catalog.

3. Client kemudian melakukan query IP address dari Domain Controller yang difungsikan sebagai GC, dimana query dikirim ke port 3268 pada domain controller (DC), standard pencarian (searches) pada Active directory 2003 dikirim ke port 389.

4. Globa catalog server memproses query. Jika Global catalog berisi attribute dari object yang sedang dicari ada, Global Catalog kemudian memberikan respon pada client. Jika Global Catalog tidak berisi attribute dari object yang sedang dicari, maka query tersebut di rujuk ke Active directory.

 

Anda bisa mengkonfigure mana saja domain controller atau menambahkan domain controller yang di khususkan sebagai Global catalog. Saat mempertimbangkan domain controller mana yang akan di khususkan sebagai global catalog, putuskan berdasarkan kemampuan struktur jaringan anda untuk melakukan replikasi dan traffic query. Jangan diletakkan pada suatu site dimana link kepada client yang melakukan search quey kepadanya hanya selebar 64Kbps saja.

Lanjut ke Active Directory 2003 part2 yang akan membahas Fungsi-fungsi Flexible Single Master Operation (FSMO) dari Active Directory 2003.

Catatan: Bahwa Windows server saat ini sudah sampai pada Windows Server 2012 Server dengan virtual technology.
 




You may also like...

19 Responses

  1. Gatot says:

    Gan, tolongin ane dong. Gmana user yang udah dibuat di Active Directory(w2k3 Server) bisa login di komputer client (win XP).
    Thanks

    • admin says:

      pertama anda harus buat dulu PC tersebut di computer container di AD, baru setelah itu PC tersebut di join domain ke AD. Tapi ingat bahwa hanya XP Professional saja yang bisa join domain. Kalau XP-home tidak bisa join domain. Jadi PC tersebut harus dibuatkan / dikenalkan kedalam AD (biasanya dalam computer container).
      Sebenarnya saat join domain, bisa langsung dikenalkan PC tersebut dalam container computer.

      Salam,

  2. sahrul saleh says:

    mas.. kalo mau sharing printer di domaoin gmn..? (printernya di install d salah satu klien bukan di server) biar yg lain bisa ngeprint. cz, kalo nyettingnya lewat clien, option sharing printer nya disable.

  3. ki says:

    @sahrul: kalo anda pake prinr-server adapter akan lebih enak, jadi anda tidak perlu tergantung pd PC tsb hidup. bisa aja kl sharing di PC, tp PC kan harus hidup terus agar bisa diakses. Kalo lewat pc, masuk enable dulu file & pinter sharing pada TCP/IP nya …disisi client tinggal browse ke pc tsb dan lihat ada printer tsb gak, baru klik kanan ‘use the printer’.

  4. Deni says:

    Mas saya ada problem nich..setelah ganti routers d-link DIR615 timbul masalah sharing printer bermasalah tiba-tiba tidak bisa printing…tolong pencerahan mas.

  5. jonhy says:

    sukses selalu N moga bermanfaat..!!!
    thanks.

  6. adnan says:

    Mas saya minta bantuannya untuk membuat jaringan windows server dan membatasi akses untuk file tidak bisa di copy selain jaringan itu saja dan penyimpanan di simpan di NAS, untuk upload ke internet pun yang jumlahnya besar itu tidak bisa mohon pencerahannya

  7. Tio says:

    Gan apakah user active directory bisa membagi banwith

    • Ki Gr says:

      Dalam active directory, suatu user hanya bisa mempunyai authorisasi hanya sebatas yang diberikan…biasanya membagi bandwidth tergantung applikasi dari misal router atau software tertentu

  8. satrio says:

    Gan kalo mau bangun AD di kantor cabang dngan domain yang sama gimana caranya yah sisi HO menggunakan Server 2003 di cabang gunakan server 2008

    • Ki Gr says:

      Sama saja kayak tambah DC dilocal site dengan domain yg sama …nanti jadikan Global catalog…dan bikin sinkronisasi malam saja jika tidak kritis. Yg penting routing table di router masing-2 bisa saling routable…

      • satrio says:

        Owh gitu sama aja yah, semacam replikasi mungkin yah gan? apakah nanti di site bisa join domain klo setiap client nembak ke server di sisi site? untuk jadwal bisa di atur gitu di setting bagian mananya yah gan? mohon masukannya karena saya mau buat AD di sisi site terima kasih sebelumnya

      • Ki Gr says:

        kalo dulu namanya backup domain, sekarang yach DC saja…kalo beda sie yach dijadikan GC biar user di site tsb tidak mencari ke sisi DC di site lain, yg replikasi GC nya saja tiap malam di jadwal…

        • satrio says:

          owwh gitu gan ada nomer WA atau apa gitu gan biar gampang komunikasinya hehehe terima kasih sebelumnya

          • satrio says:

            Om saya sudah buat DC lagi di site cabang, tp untuk PC/lapotp yang mau di join domain nembak dns ke ad yang baru gak mau yah maunya yang di sisi HO atau harus ada yang perlu di setting dulu supaya dia mau untuk join domain di lokal nya dia sendiri terima kasih

          • Ki Gr says:

            AD both site akan sama isinya …tinggal bikin container untuk site HO dan site B dan tambahkan nama2 kompi di masing-masing container terus masing-masing PC di join domain ..nanti isi AD akan sama isinya kalo udah replikasi …

          • satrio says:

            Om Boleh lebih detai gak jelasinnya maklum belom paham banget, klo untuk isi nya di DC sudah sama semua nih isi2nya, dns juga sudah mengarah ke lokal site sendiri, itu harus di tambahkan secara manual yah? gak bisa otomatis klo kita mau join domain terima kasih

          • Ki Gr says:

            AD harus rapi isinya biar management x bagus, setiap site perlu dibikin container sendiri2 dimana misal site HO dibikin container HO dibawahnya ada Komputer dan User misal …jadi bikin nama-kompi di HO di dibawah kontainer HO dst …

  9. satrio says:

    Owh gitu sama aja yah, semacam replikasi mungkin yah gan? apakah nanti di site bisa join domain klo setiap client nembak ke server di sisi site? untuk jadwal bisa di atur gitu di setting bagian mananya yah gan? mohon masukannya karena saya mau buat AD di sisi site terima kasih sebelumnya

Leave a Reply

Your email address will not be published. Required fields are marked *