Windows Server 2003 Active Directory Hak cipta 2010 STMIK
Bumigora Mataram http:/ / www.stmikbumigora.ac.id 1Windows Server
2003 Active Directory Oleh I Putu Hariyadi, S.Kom, CCNA, CCAI
Instalasi Active Directory Domain Controller
PERHATIAN!!!SebelummelakukaninstalasiActiveDirectory Domain
Controller, pastikan DNS Suffix pada System Properties tab
ComputerName,danLocalAreaConnectiontelahdikonfigurasi
sesuaidengannamadomainyangakandigunakan.Pastikanpula parameter
Preffered DNS server pada Local Area Connection telah
dikonfigurasidenganmencantumkanalamatIPkomputeryang bertindak
sebagai DNS Server untuk domain yang dibuat.
Langkah-langkahmengaturDNSSuffixpadaSystemProperties tab Computer
Name adalah sebagai berikut: 1.Klik StartControl Paneltampil
aplikasi Control Panel, klik
duakalipadaiconSystem.SystemPropertiesjugadapat
diaksesmelaluiklikkananiconMyComputerpadalayar desktop, pilih
Properties. 2.TampilkotakdialogSystemProperties,pilihtabComputer
Name, klik tombol Change.
3.TampilkotakdialogComputerNameChanges,kliktombol More.
4.TampilkotakdialogDNSSuffixandNetBIOSComputer
Name,padaparameterPrimaryDNSSuffixforthis computer, masukkan nama
domain yang akan digunakan.
5.SetelahselesaikliktombolOKOK.Tampilpesankonfirmasi
restartcomputerkliktombolOK.Computermelakukan restart. Windows
Server 2003 Active Directory Hak cipta 2010 STMIK Bumigora Mataram
http:/ / www.stmikbumigora.ac.id
2Langkah-langkahmengaturPrefferedDNSserverdanDNS Suffix pada Local
Area Connection adalah sebagai berikut: 1.Klik StartControl
PanelNetwork ConnectionsLocal Area Connection.
2.TampilkotakdialogLocalAreaConnectionStatus,kliktombol Properties.
Tampil kotak dialog Local Area Connection Properties. 3.Padatab
General,pilihInternetProtocol(TCP/IP),danklik
Properties.TampilkotakdialogInternetProtocol(TCP/IP) Properties,
seperti ditunjukkan pada gambar berikut:
4.PadatabGeneraljugaterdapatpilihanuntukmengatur
DomainNameSystem(DNS)yaituObtainDNSServer
automaticallyuntukpengalokasianalamatDNSsecara
dinamis,danUsethefollowingDNSServeraddresses
untukpengalokasianalamatDNSsecarastatik.PilihUsethe
followingDNSServeraddresses,masukkanalamatPreffered Windows Server
2003 Active Directory Hak cipta 2010 STMIK Bumigora Mataram http:/
/ www.stmikbumigora.ac.id
3DNSServer.KliktombolAdvanced,tampilkotakdialog Advanced TCP/IP
Settingsklik tab DNS, pada parameter DNS Suffix for this
connection: masukkan nama domain yang akan digunakan. 5.Setelah
selesai klik tombol OKOKOKClose.
Langkah-langkahinstalasiActiveDirectoryDomainControllerdi Windows
Server 2003 adalah sebagai berikut:
1.KlikStartRun,ketikdcpromountukmenjalankanActive Directory
Installation WizardOK.
2.TampilkotakdialogWelcometotheActiveDirectory Installation Wizard,
klik Next. 3.TampilkotakdialogOperatingSystemCompatibility,klik
Next. 4.TampilkotakdialogDomainControllerType,klikDomain Controller
for a new domain, dan klik Next.
5.TampilkotakdialogCreateNewDomain,klikDomainina new forest, dan
klik Next. 6.TampilkotakdialogNewDomainname,masukkannama domain
sebagai contoh inixindo.co.id, dan klik Next.
7.TampilkotakdialogNetBIOSDomainname,verifikasinama NetBIOS, dan
klik Next. 8.TampilkotakdialogDatabaseandLogFolders,masukkan
lokasidirektoridimanainstalasidatabasedanlogActive Directory
disimpan, dan klik Next.
9.TampilkotakdialogSharedSystemVolume,masukkanlokasi
direktoridimanainstalasidirektoriSysvoldisimpan,danklik Next.
Windows Server 2003 Active Directory Hak cipta 2010 STMIK Bumigora
Mataram http:/ / www.stmikbumigora.ac.id
410.TampilkotakdialogDNSRegistrationDiagnostics,klikpada
InstalldanconfiguretheDNSServeronthiscomputer,
andsetthiscomputertousethisDNSServerasits preffered DNS Server, dan
klik Next. 11.TampilkotakdialogPermissions,pilihpermissionsesuai
dengansistemoperasi-sistemoperasiyangdigunakanpada jaringan Anda,
dan klik Next. 12.TampilkotakdialogSummary,danklikNextuntukmemulai
instalasi. 13.Restart komputer. Instalasi Active Directory
Additional Domain Controller
Langkah-langkahinstalasiActiveDirectoryAdditionalDomain Controller
di Windows Server 2003 adalah sebagai berikut:
1.KlikStartRun,ketikdcpromountukmenjalankanActive Directory
Installation WizardOK.
2.TampilkotakdialogWelcometotheActiveDirectory Installation Wizard,
klik Next. 3.TampilkotakdialogOperatingSystemCompatibility,klik
Next. 4.TampilkotakdialogDomainControllerType,klikAdditional Domain
Controller for an existing domain, dan klik Next.
5.TampilkotakdialogNetworkCredentials,masukkannama
user,password,dandomain.Userharusmerupakananggota dari group Domain
Admins untuk domain target. Klik Next.
6.TampilkotakdialogDatabaseandLogFolders,masukkan
lokasidirektoridimanainstalasidatabasedanlogActive Directory
disimpan, dan klik Next. Windows Server 2003 Active Directory Hak
cipta 2010 STMIK Bumigora Mataram http:/ / www.stmikbumigora.ac.id
57.TampilkotakdialogSharedSystemVolume,masukkanlokasi
direktoridimanainstalasidirektoriSysvoldisimpan,danklik Next.
8.TampilkotakdialogDirectoryServicesRestoreMode
AdministratorPassword,masukkandankonfirmasipassword yang
dialokasikan untuk Administrator saat komputer dijalankan pada mode
Directory Service Restore Mode, dan klik Next.
9.TampilkotakdialogSummary,danklikNextuntukmemulai instalasi.
10.Restart komputer.
JoinKomputerClient(WindowsXP,Windows2000,Windows 2003 Server) ke
Domain 1.Klik StartControl Paneltampil aplikasi Control Panel, klik
duakalipadaiconSystem.SystemPropertiesjugadapat
diaksesmelaluiklikkananiconMyComputerpadalayar desktop, pilih
Properties. 2.TampilkotakdialogSystemProperties,pilihtabComputer
Name,kliktombolChange.PadabagianMemberof,klik Domain, dan masukkan
nama domain yang Anda ingin join
contohinixindo,danklikOK.Selanjutnyatampilkotakdialog
yangmemintausernamedanuserpassworduntuk melakukan join komputer ke
domain. 3.Klik OK dan tutup kotak dialog System Properties. Tampil
kotak dialogkonfirmasiuntukmerestartkomputer.Restartkomputer untuk
mengaktifkan perubahan. Windows Server 2003 Active Directory Hak
cipta 2010 STMIK Bumigora Mataram http:/ / www.stmikbumigora.ac.id
6Mengatur Delegation Control ke user tertentu untuk melakukan Join
Komputer Client ke Domain 1.Klik StartAdministrative ToolsActive
Directory Users and Computers (ADUC).
2.TampilaplikasiADUC,navigasikepanelsebelahkiri,klikdua
kalipadanamadomainklikkananpadacontainer Computers, pilih Delegate
Control. 3.Tampil kotak dialog Delegation of Control Wizard, klik
tombol NexttampilpengaturanUsersorGroups,kliktombolAdd untuk
memasukkan user yang akan diberikan delegasi kontrol. 4.Tampil
kotak dialog Select Users, Computers or Groups, ketik
namauserpadaisianparameterEntertheobjectnamesto select
(examples):klik tombol OKNext.
5.TampilkotakdialogpengaturanTaskstoDelegate,klikpada pilihan
Create a custom task to delegateklik Next. 6.Tampil kotak dialog
pengaturan Active Directory Object Type,
klikpadapilihanOnlythefollowingobjectinfoldercek pada pilihan
Computer Objectscek pada parameter Create
selectedobjectsinfolderdanDeleteselectedobjectsin folderklik tombol
Next. 7.TampilkotakdialogpengaturanPermissions,padabagian
pilihanparameterPermissions,cekpadapilihanCreateAll
ChildObjectsdanDeleteAllChildObjectskliktombol NextFinish.
8.Tesmelaluikomputerclientyangakandijoinkankedomain
menggunakanuseryangtelahdiaturdelegasicontrolnyapada langkah
diatas. Windows Server 2003 Active Directory Hak cipta 2010 STMIK
Bumigora Mataram http:/ / www.stmikbumigora.ac.id 7Konfigurasi
Roaming User Profiles
Langkah-langkahmengkonfigurasiRoamingUserProfilesadalah sebagai
berikut: 1.LoginsebagaiuserAdministratorpadakomputerdomain
controlleryangmenyediakansharingRoamingUserProfiles
(RUP),sebagaicontohkomputerinibernamaArjuna.Buat
SharedFolderdengannamaProfilesdidriveC.Langkah-langkahnya: klik
kanan pada tombol Startpilih Exploreklik pada drive C klik menu
File pada baris menu, pilih
NewFolder,masukkannamafolderyaituProfilesEnter.Klik
kananpadafolderProfiles,pilihSharing&Security
padatabSharingpilihSharethisfolderkliktombol
Permissions,tampilkotakdialogPermissionsforProfiles
padaparameterPermissionforEveryone,cekpadapilihan Allow Full
Controlklik tombol Applyklik tombol OKklik tombol Applyklik tombol
OK. 2.BuatuserdengannamahasanmelaluiAdministrativeTool
ActiveDirectoryUserandComputer,denganketentuan sebagai berikut:
User name : hasan. Password dan Confirm Password : inix2007.
HilangkancekpadaparameterUsermustchange password at next logon. Cek
pada parameter Password Never Expires.
AturagaruserhasanmenjadianggotagroupBackup Operator, agar dapat
logon locally di domain controller. Windows Server 2003 Active
Directory Hak cipta 2010 STMIK Bumigora Mataram http:/ /
www.stmikbumigora.ac.id
83.LogoffdariuserAdministrator.Langkah-langkahnya:tekan
tombolCTRL+ALT+DELETEsecarabersamaanpadakotak dialog Security, klik
tombol Log off...klik tombol Yes.
4.Loginsebagaiuserhasan.UbahtampilandesktopWindows
2003Server,melalui:klikkananpadadesktop,pilih
PropertiespilihtabAppearancepadaparameter
Scheme,pilihschemeyangsesuaidengankeinginanAnda, sebagai contoh
pilih MapleOK. 5.Logoffsebagaiuserhasan.Langkah-langkahnya:tekan
tombolCTRL+ALT+DELETEsecarabersamaanpadakotak dialog Security, klik
tombol Log off...klik tombol Yes.
6.LoginsebagaiuserAdministratordansalinLocalProfile
dariuserhasankesharedfolderProfiles.Langkah-langkahnya:klikkananpadaiconMyComputerpilih
PropertiespadakotakdialogSystemPropertiespilih
tabUserProfilesklikpadaprofiledariuserhasanpada
daftarprofilesyangtersimpandicomputerinikliktombol
CopyTopadakotakdialogCopyTo,isiparameter berikut:
Copyprofileto:\\arjuna\profiles\hasan(Format penulisannya:
\\NamaComputer\NamaSharedFolderProfiles\NamaUser).
Permittedtouse:kliktombolChangepilihGroups Usersklik tombol OKklik
tombol CancelOK OK.
7.AturprofilepathdariuserhasanmelaluiAdministrative ToolActive
Directory User and Computer (ADUC). Tampil aplikasi ADUC, navigasi
ke panel sebelah kiri, klik dua kali pada Windows Server 2003
Active Directory Hak cipta 2010 STMIK Bumigora Mataram http:/ /
www.stmikbumigora.ac.id
9namadomainklikpadacontainerUserspadapaneldetail
sebelahkanan,klikduakalipadauserhasan,tampil
Propertiesdariuserhasan,kliktabProfilepada
parameterProfilepathmasukkanpathprofileuntukuser
hasan:\\arjuna\profiles\hasan(Formatpenulisannya:
\\NamaComputer\NamaSharedFolderProfiles\NamaUser) klik tombol OK.
8.LogoffdariuserAdministratordanloginsebagaiuser
hasan,cekapakahRUPsudahberhasildiimplementasikan untuk user hasan.
Konfigurasi Mandatory User
ProfilesLangkah-langkahmengkonfigurasiMandatoryUserProfilesadalah
sebagai berikut: 1.LoginsebagaiuserAdministratordicomputeryang
menampung shared folder Profiles user. 2.Buka aplikasi Windows
Explorer, selanjutnya navigasi ke lokasi
sharedfolderProfilesuser,sebagaicontohlokasinyadi C:\Profiles.Klik
dua kali pada salah satu sub folder profile user
didalamsharedfolderProfilesyangakandiatursebagai
mandatoryprofile,sebagaicontohuntukuserdengannama
hasanlokasiprofilenyaadalahdiC:\Profiles\hasan.Ubah
namafilentuser.datdalamfoldertersebutmenjadi ntuser.man agar
profilenya menjadi mandatory.
3.TestkonfigurasiMandatoryUserProfiles.Loginsebagaiuser
hasandancobalakukanperubahantampilandesktopdengan
menggunakanschemeyanglainnya.Logoffsebagaiuser hasan. Login sebagai
user hasan. Apabila perubahan scheme Windows Server 2003 Active
Directory Hak cipta 2010 STMIK Bumigora Mataram http:/ /
www.stmikbumigora.ac.id
10yangdilakukantidaktersimpan,selamatAndatelahberhasil
mengkonfigurasi mandatory user profiles . MENGATUR HOME DIRECTORY
USER 1.BukaWindowsExplorer,buatsebuahsharedfolderuntuk
menampunghomedirectoryusersebagaicontohdi
C:\HomeDirs.AturSharingPermissionuntukgroup Everyone menjadi Full
Control. 2.MengaturhomefolderusermelaluiStart>Administrative
Tools>ActiveDirectoryUsersandComputers.Tampil
aplikasiActiveDirectoryUsersandComputers,padapanel
sebelahkirinavigasikenamadomain>Users,padapanel detail klik dua
kali pada nama login user yang akan diatur Home
Directorynyasebagaicontohuserbadu>tampilkotakdialog properti
user badu, klik tab Profile, bagian Home folder, pilih
paramaterConnect,pilihdriveletteruntukmappinghome
folder,danpadaparametertomasukkanUNC(Universal
NamingConvention)lokasisharedhomedenganformat
penulisan\\namaserver\namasharedfolder\namausersebagai contoh
\\sadewa\homedirs\badu > klik OK.
3.BukaWindowsExplorer,padapanelsebelahkirinavigasike
lokasisharedfolderuntukhomedirectorysebagaicontoh C:\HomeDirs. Klik
kanan pada shared folder, pilih Properties
>kliktabSecurity>kliktombolAdvanced>hilangkan
tandacekpadaAllowinheritablepermission..untuk
menonaktifkanfiturinherintancepermission>tampilkotak
dialogkonfirmasikliktombolRemove>OK>aturNTFS permission untuk
group Administrator menjadi Full Control,
tambahkangroupDomainUsersdanaturNTFS Windows Server 2003 Active
Directory Hak cipta 2010 STMIK Bumigora Mataram http:/ /
www.stmikbumigora.ac.id
11permissionnyamenjadiRead&Execute,ListFolder Content dan Read
> OK. 4.Navigasikedalamsharedfolderhomedirektoriusersebagai
contohC:\HomeDirs,tampilisidirektoridengannamalogin
usersebagainamadirektorinya.AturNTFSpermissionpada masing-masing
home direktory ini dengan menghilangkan ijin akses untuk group
Domain Users. 5.Testhasilkonfigurasidenganmelakukanloginmenggunakan
user-user yang telah diatur home foldernya. Mengatur Logon Script
User di Active Directory Windows Server 2003
LogonscriptUserdiActiveDirectorydisimpandidirektory
C:\Windows\SysVol\SysVol\NamaDomain\Scripts.Logonscript
dapatberupabatchfiledenganekstensinya*.batmaupunVisual Basic Script
dengan ekstensinya *.vbs.Langkah-langkah mengatur Logon Script User
di Active Directory adalah sebagai berikut:
1.Buatfilelogonscriptuserkemudiansimpanfiletersebutdi
C:\Windows\SysVol\SysVol\NamaDomain\Scripts. Berikut contoh logon
script user dengan jenis batch file dan vbs file: Logon.bat Net
useX: \ \ bi ma\ mast
erContohlogonscriptjenisbatchfilediatasakanmelakukan
pemetaansharedfolderdengannamamasterdikomputer bima ke drive letter
X. Logon.vbs MsgboxSer ver akandi mai nt enancesabt umi nggui ni
,har apseger abackupdat aAnda! Windows Server 2003 Active Directory
Hak cipta 2010 STMIK Bumigora Mataram http:/ /
www.stmikbumigora.ac.id
12Contohlogonscriptjenisvbsdiatasakanmenampilkankotak pesan saat
user berhasil melewati proses logon.
2.AturPropertiuseragarmenggunakanlogonscriptyangdibuat
melaluiStart>AdministrativeTools>ActiveDirectory
UsersandComputers.TampilaplikasiActiveDirectory
UsersandComputers,padapanelsebelahkirinavigasike
namadomain>Users,padapaneldetailklikduakalipada
namaloginuseryangakandiaturLogonScriptnyasebagai
contohuserbadu>tampilkotakdialogpropertiuserbadu, klik tab
Profile, di bagian User Profile, pada paramater Logon
Script,masukkannamafilelogonscriptyangtelahdibuat pada langkah
sebelumnya sebagai contoh logon.batklik OK.
3.Testlogonscriptuserdenganloginsebagaiuseryangtelah diatur
parameter logon scriptnya. Mengatur Logon Script di GPO
Organizational Unit
Berikutinilangkah-langkahuntukmengaturlogonscriptdiGroup Policy
Object OU: 1.MelaluiActiveDirectoryUsersandComputers,navigasike
panelsebelahkiri,klikduakalipadanamadomainklik
kananpadanamaOUyangakandiaturGPOloginscriptnya pilih Properties
> pilih tab Group Policy > klik tombol Edit.2.Tampil aplikasi
GPO Editor, pada panel sebelah kiri navigasi ke
UserConfiguration>WindowsSettings>Scripts
(Logon/Logoff)padapaneldetailsebelahkananklikdua kali pada
parameter Logon. 3.Tampil kotak dialog Logon Properties, klik
tombol Show Files untuk menampilkan file-file script yang telah
disimpan di GPO. Windows Server 2003 Active Directory Hak cipta
2010 STMIK Bumigora Mataram http:/ / www.stmikbumigora.ac.id
134.Tampilkotakdialogyangmenampilkanisidaridirektoriyang
menampungfile-filelogonscriptbuatbeberapalogonscripts di direktori
ini, sebagai contoh: LogonData.bat Net use O: \\bima\data
Contohlogonscriptjenisbatchfilediatasakanmelakukan
pemetaansharedfolderdengannamadatadikomputerbima ke drive letter O.
LogonMaster.bat Net use P: \\bima\master
Contohlogonscriptjenisbatchfilediatasakanmelakukan
pemetaansharedfolderdengannamamasterdikomputer bima ke drive letter
P. 5.TampilkotakdialogLogonProperties,kliktombolAdd
tampilkotakdialogAddascript,kliktombolBrowserpilih
filelogonscriptyangakanditambahkan,klikOpenklikOK. Ulangi langkah
ini untuk memasukkan script berikutnya. Klik OK
tutupaplikasiGroupPolicyEditorTutupaplikasiActive Directory User
and Computers. 6.Mengaktifkan konfigurasi GPO melalui command
prompt: C:\ gpupdate /force Mengatur Domain Functional Level di
Windows Server 2003 Domainfunctionalitymemungkinkanfitur-fituryang
mempengaruhi keseluruhan domain dan domain itu sendiri. Tersedia 4
level domain functional level, antara lain:Domain functional
levelDomain controllers supported Windows2000mixedWindows NT 4.0
Windows Server 2003 Active Directory Hak cipta 2010 STMIK Bumigora
Mataram http:/ / www.stmikbumigora.ac.id 14(default) Windows 2000
Windows Server 2003 family Windows 2000 nativeWindows 2000 Windows
Server 2003 family WindowsServer2003 interim Windows NT 4.0 Windows
Server 2003 family Windows Server 2003Windows Server 2003 family
Langkah-langkahmengaturDomainFunctionalLeveldiWindows Server 2003
adalah sebagai berikut:
1.MelaluiStartAdministrativeToolsActiveDirectory
UsersandComputers.TampilaplikasiActiveDirectory
UsersandComputers,padapanelsebelahkirinavigasike
namadomain,klikkananpadanamadomainpilihRaise
DomainFunctionalLevel.TampilkotakdialogRaiseDomain
FunctionalLevel,padaparameterSelectanavaiableDomain
FunctionalLevel, pilih domain functional level yang diinginkan
sebagaicontohWindows2000nativekliktombol Raise klik tombol OKOK.
2.Domain functional level telah berhasil diraise . Windows Server
2003 Active Directory Hak cipta 2010 STMIK Bumigora Mataram http:/
/ www.stmikbumigora.ac.id 15Konfigurasi Intrasite Replication pada
Windows Server 2003 Active Directory menyediakan aplikasi Active
Directory Sites and Services untuk mengatur replikasi antar domain
controller. Aplikasi ini dapat diakses melalui menu Start >
Administrative Tools > Active Directory Site and
Services.Berikut ini dicontohkan cara mengatur konfigurasi
replikasi intrasite
untukdomaininixindosurabaya.com.Diasumsikanterdapat2server
domaincontrolleryangmengaturdomaintersebut,berlokasidi
surabaya,danmemilikialamatjaringan(networkid)10.1.1.0/24, seperti
ditunjukkan pada gambar dibawah ini:
SetelahinstalasiActiveDirectory,komputerserveryangbertindak
sebagaidomaincontrollerdanadditionaldomaincontrollerberada dalam
satu site yaitu
Default-First-Site-Name.Langkah-langkahmengkonfigurasiintrasitereplicationuntuk
domain inixindosurabaya.com adalah sebagai berikut: Windows Server
2003 Active Directory Hak cipta 2010 STMIK Bumigora Mataram http:/
/ www.stmikbumigora.ac.id 161.Melalui menu Start >
Administrative Tools > klik pada Active Directory Site and
Services (ADSS). 2.Tampil aplikasi ADSS, navigasi ke panel sebelah
kiri, pilih Sites
>klikkananpadaDefault-First-Site-Name,pilihRename, ubah nama
site menjadi Surabaya. 3.Navigasi ke panel sebelah kiri, pilih
Sites > Subnets. Klik kanan
padaSubnets>NewSubnetuntukmembuatsubnetsesuai
denganalamatjaringanyangdigunakan.Tampilkotakdialog New Object
Subnet, atur parameter-parameter berikut:
Address,masukkanalamatjaringan(networkid)yang digunakan yaitu
10.1.1.0. Mask,masukkansubnetmaskyangdigunakanyaitu 255.255.255.0.
Selectasiteobjectforthissubnet,pilihnamasite
yangdiasosiasikandenganalamatjaringanyangdibuat, pilih site
Surabaya. Selanjutnya klik tombol OK.
4.Navigasikepanelsebelahkiri,pilihSites>Surabaya>
Servers>klikkananpadaNakula,pilihProperties.Tampil
kotakdialogNakulaProperties,padapilihanparameter
Transportsavailableforinter-sitedatatransfer:pilihIP sebagai
transport, klik tombol Add >> > klik tombol OK. Windows
Server 2003 Active Directory Hak cipta 2010 STMIK Bumigora Mataram
http:/ / www.stmikbumigora.ac.id
175.Teskonfigurasireplikasiintrasitedengancaramembuatobjek
barusebagaicontohuserbarupadaserverdomaincontroller
melaluiaplikasiActiveDirectoryUsersandComputers. Selanjutnya cek
pada server additional domain controller apakah object baru yang
dibuat telah berhasil direplikasi. Konfigurasi Group Policy Object
(GPO) di Windows Server 2003 A. GPO di level Sites
MelaluiAdministrativeToolsActiveDirectorySitesand
ServicesnavigasikepanelsebelahkiripilihSitesDefault-First-Site-Name,klikkananpilihPropertiespilihtabGroup
PolicykliktombolNewuntukmenambahkanGPO,masukkan nama GPO contoh GPO
Sites, dan klik tombol Edit untuk mengubah konfigurasi GPO.
TampilaplikasiGPOEditor,navigasikepanelsebelahkiripilih User
ConfigurationAdministrative TemplatesStart Menu and Taskbarpada
panel detail sebelah kanan klik dua kali padaparameter-parameter
berikut: RemoveSearchmenufromStartMenu,untuk menyembunyikan menu
Search. RemoveRunmenufromStartMenu,untuk menyembunyikan menu Run.
KlikEnabledpadatabSettingOK.TutupaplikasiGPOEditor.
KliktombolOptionsCekpadaparameterNoOverride...
apabiladiinginkanuntukmencegahobyekdibawahSitesyaitu Domain, dan OU
mengabaikan penerapan GPO yang diatur di Sites. Klik OKTutup
aplikasi Active Directory Sites and Services. Windows Server 2003
Active Directory Hak cipta 2010 STMIK Bumigora Mataram http:/ /
www.stmikbumigora.ac.id
18MelaluicommandpromptaktifkanperubahankonfigurasiGPO dengan
mengeksekusi perintah berikut: C:\> gpupdate /force B.GPO di
level Domain MelaluiAdministrativeToolsActiveDirectoryUsersand
Computersnavigasikepanelsebelahkiripilihnamadomain klik kanan pilih
Propertiespilih tab Group Policyklik tombol New untuk menambahkan
GPO, masukkan nama GPO contoh GPO Domain, dan klik tombol Edit
untuk mengubah konfigurasi GPO.
TampilaplikasiGPOEditor,navigasikepanelsebelahkiripilih User
ConfigurationAdministrative TemplatesStart Menu and Taskbarpada
panel detail sebelah kanan klik dua kali padaparameter berikut:
RemoveHelpmenufromStartMenu,untuk menyembunyikan menu Help.
KlikEnabledpadatabSettingOK.TutupaplikasiGPOEditor.
CekpadaparameterBlockInheritanceapabiladiinginkanuntuk
menolakpenerapanGPOyangdiaturdiSitesuntukditerapkandi
Domain.KlikOKTutupaplikasiActiveDirectoryUsersand Computers.
MelaluicommandpromptaktifkanperubahankonfigurasiGPO dengan
mengeksekusi perintah berikut: C:\> gpupdate /force C.GPO di
level OU MelaluiAdministrativeToolsActiveDirectoryUsersand
Computersnavigasi ke panel sebelah kiri pilih nama domainpilih
Organizational Unitklik kanan pilih Propertiespilih tab Windows
Server 2003 Active Directory Hak cipta 2010 STMIK Bumigora Mataram
http:/ / www.stmikbumigora.ac.id
19GroupPolicykliktombolNewuntukmenambahkanGPO,
masukkannamaGPOcontohGPOOU,dankliktombolEdituntuk mengubah
konfigurasi GPO.
TampilaplikasiGPOEditor,navigasikepanelsebelahkiripilih
UserConfigurationAdministrativeTemplates System Ctrl+Alt+Del
Optionspada panel detail sebelah kanan klik dua kali padaparameter
berikut: RemoveLockComputer,untukmenonaktifkantombol Lock Computer
saat menekan CTRL+ALT+DEL.
KlikEnabledpadatabSettingOK.TutupaplikasiGPOEditor, klik OKTutup
aplikasi Active Directory Users and Computers.
MelaluicommandpromptaktifkanperubahankonfigurasiGPO dengan
mengeksekusi perintah berikut: C:\> gpupdate /force
MengaktifkanAuditingFile/FolderdanPrinterdiWindows Server 2003
Auditing File atau Folder
MelaluiWindowsExplorer,klikkananpadafile/folderyangakan
diaudit,pilihProperties.TampilPropertiesdarifile/folder,kliktab
SecuritykliktombolAdvancedtampilAdvancedSecurity Settings untuk
file/folder tersebut, klik tab Auditing. Klik tombol Add
untukmenambahkanuserataugroupyangakandiauditterkait dengan
file/folder ini. Auditing Printer
MelaluiStartPrintersandFaxes.TampilaplikasiPrintersand
Faxes,klikkananpadanamaprinteryangakandiaktifkan Windows Server
2003 Active Directory Hak cipta 2010 STMIK Bumigora Mataram http:/
/ www.stmikbumigora.ac.id
20auditingnya,pilihProperties.TampilPropertiesdariPrinter,kliktab
SecuritykliktombolAdvancedtampilAdvancedSecurity
Settingsuntukprintertersebut,kliktabAuditing.KliktombolAdd
untukmenambahkanuserataugroupyangakandiauditterkait dengan printer
ini. Konfigurasi Security dan Audit Policy di Windows Server 2003
SecuritypolicydapatditerapkanpadaLocalComputer(diatur
menggunakanutilitasAdministrativeToolsLocalSecurity Policy), Domain
Controller (Diatur melalui Administrative
ToolsDomainControllerSecurityPolicy),danDomain(diaturmelalui
Administrative ToolsDomain Security
Policy).Berikutlangkah-langkahmengkonfigurasiSecurityPolicyuntuk
diterapkan pada Domain Controller:
1.MelaluiAdministrativeToolsDomainControllerSecurity Policy.
2.TampilAplikasiDomainControllerSecurityPolicy,navigasike
panelsebelahkiripilihSecuritySettings.Terdapatbeberapa
kategorisecuritypolicyyangdisediakanolehWindowsServer
2003,berikutinidicontohkanuntukkonfigurasisecuritypolicy kategori
Account Policy dan Local Policy.
Navigasikepanelsebelahkiri,pilihSecuritySettings
AccountPolicyPasswordPolicy,untukmengatur
penerapankebijakankeamananterkaitdenganpassword
user.Padapaneldetailsebelahkanan,klikduakalipada
parameter-parameter berikut:
a)Enforcepasswordhistory,menentukanjumlah password baru yang unik,
yang diasosiasikan dengan Windows Server 2003 Active Directory Hak
cipta 2010 STMIK Bumigora Mataram http:/ / www.stmikbumigora.ac.id
21usersebelumpasswordlamadapatdigunakan kembali.
b)Maximumpasswordage,menentukanjumlah
maksimumdalamharipassworduserdapat digunakan.
c)Minimumpasswordage,menentukanjumlah
minimumdalamharipassworduserharus
digunakan,sebelumdapatpasswordusertersebut diganti.
d)Minimumpasswordlength,menentukanpanjang password minimum user.
e)Passwordmustmeetcomplexityrequirements,
menentukanapakahpasswordharuskompleks diaktifkan atau tidak.
f)Storepasswordusingreversibleencryption,
menentukanapakahsistemoperasimenyimpan password menggunakan
reversible encryption (sama artinya dengan menyimpan password
dengan format plaintext).
Navigasikepanelsebelahkiri,pilihSecuritySettings
AccountPolicyAccountLockoutPolicy,untuk
mengaturkeadaandanseberapalama(waktu)account
userakandilockolehsistem.Padapaneldetailsebelah kanan, klik dua
kali pada parameter-parameter berikut:
a)Accountlockoutduration,menentukanseberapa lama dalam menit
account user akan dilock, sebelum secara otomatis akan diunlock.
Windows Server 2003 Active Directory Hak cipta 2010 STMIK Bumigora
Mataram http:/ / www.stmikbumigora.ac.id
22b)Accountlockoutthreshold,menentukanjumlah
usahaloginusergagalyangmenyebabkanaccount user tersebut dilock.
c)Resetaccountlockoutcounterafter,
menentukanjumlahdalammenityangharusdilalui
setelahusahaloginyanggagalsebelumpenghitung kegagalan login
dikembalikan ke posisi 0.
Navigasikepanelsebelahkiri,pilihSecuritySettings
LocalPolicyAuditPolicy,untukmengaktifkanfitur
auditing.Padapaneldetailsebelahkanan,klikduakali pada
parameter-parameter audit berikut:
a)AuditAccountLogonEvents,mengauditusahalogin dan logoff dari
komputer lainnya dimana komputer yang
diaktifkanauditnyadigunakanuntukmemvalidasiuser tersebut.
b)AuditAccountManagement,mengauditaktivitas manajemen user, group.
c)Audit Logon Events, mengaudit usaha login dan logoff
usersecaralangsungpadakomputeryangdiaktifkan auditnya.
d)AuditObjectsAccess,mengauditaksesterhadap obyek seperti file,
folder, registry, printer dan lain-lain.
CekpadaparameterDefinethispolicysettingsuntuk
mengaktifkanfiturauditpadaparametertersebut.Cek
salahsatuataukeduaparameteryaituSuccessatau
FailurepadabagianAudittheseattemptsuntuk menentukan usaha yang
disimpan ke Event Viewer terkait aktivitas pada obyek yang
diaudit.Tutup aplikasi Domain Controller Security Policy. Windows
Server 2003 Active Directory Hak cipta 2010 STMIK Bumigora Mataram
http:/ / www.stmikbumigora.ac.id
233.Melaluicommandprompteksekusiperintahberikutuntuk mengaktifkan
pengubahan konfigurasi security policy: C:\> gpupdate /force
4.MelaluiAdministrativeToolsEventViewer,navigasike
panelsebelahkiripilihSecurityuntukmenampilkanhasil penerapan
security policy. MEMBACKUP DAN MERESTORE ACTIVE DIRECTORY
WindowsServer2003menyediakanBackupUtilitysebagai utilitas bawaan
untuk membackup sistem dan file data user termasuk
komponen-komponenActiveDirectory.Komponen-komponensistem Windows
Server 2003 yang dibackup dinamakan System State Data, meliputi:
Registry COM+ Class Registration Database. System Boot Files. File
yang diproteksi oleh Windows File Protection. Certificate Database
(jika server dikonfigurasi sebagai Certificate Server).
ActiveDirectorydandirektoriSysvol(jikaserverdikonfigurasi sebagai
Domain Controller).
Catatan:AndaharussebagaianggotadarigroupAdministratorsatau Backup
Operators agar dapat melakukan backup. Membackup Active Directory
1.MelaluimenuStart>Run,ketikntbackuppadaparameter Open kotak
dialog Run > klik tombol OK. Windows Server 2003 Active
Directory Hak cipta 2010 STMIK Bumigora Mataram http:/ /
www.stmikbumigora.ac.id
242.TampilaplikasiBackupUtility,kliktombolNext>pada parameter
What do you want to do? Pilih Back up files and
settings,kliktombolNext>padaparameterWhatdoyou
wanttobackup?PilihLetmechoosewhattobackup,klik
tombolNext>padapanelsebelahkiridibawahparameter
ItemstoBackup,navigasikeMyComputer>cekpada System State, klik
tombol Next > tampil kotak dialog Backup
Type,Destination,andName,padaparameterChoosea
placetosaveyourbackuptentukanlokasipenyimpanfile
backup,danpadaparameterTypeanameforthisbackup masukkan nama backup,
klik tombol Next > Finish. Merestore Active Directory
Terdapat3metodeyangdapatdigunakanuntukmerestoreActive Directory
yaitu: Normal restore (nonauthoritative restore) Authoritative
restore Primary restore
Masing-masingmetodetersebutberkaitandengankeadaantertentu
yangdiperlukandalammerestoreSystemStatedatadariActive Directory.
Normal Restore Selamaoperasinormalrestore(seringdisebutdengan
nonauthoritativerestore),datadandistributedservicepadadomain
controller direstore dari media backup, dan kemudian diupdate
melalui replikasinormalsetelahprosesrestoreselesai.Untukmelakukan
normalrestore,domaincontrollerharusdijalankanpadamode Windows
Server 2003 Active Directory Hak cipta 2010 STMIK Bumigora Mataram
http:/ / www.stmikbumigora.ac.id
25DirectoryServiceRestoreMode.Alasanutamauntukmelakukan
normalrestoreadalahuntukmerestore1domaincontrollerpada lingkungan
yang terdiri dan banyak domain controller. Authoritative Restore
Tujuanutamadariauthoritativerestoreadalahuntukmelakukan
undo/rollback perubahan yang telah dibuat pada Active Directory,
atau mereset data yang disimpan pada distributed directory seperti
Sysvol. Untukmelakukanauthoritativerestore,domaincontrollerharus
dijalankanpadamodeDirectoryServiceRestoreMode.Untuk
melakukanAuthoritativeRestoredataActiveDirectory,Andaharus
menjalankanutilitasntdsutil.exesetelahmelakukannormalrestore
dariSystemStatedata,tetapisebelumAndamelakukanrestart
server.Utilitasntdsutil.exemengijinkanAndauntukmenandaiobjek Active
Directory sebagai authoritative. Primary Restore Primary restore
digunakan untuk membangun ulang suatu domain dari backup ketika
semua domain controller (atau jika satu-satunya domain controller)
pada domain gagal beroperasi. Jika domain hilang, domain
controlleryangpertamaharusdirestoremenggunakanprimary
restore,dandomaincontrollerlainnyayangdirestoredengannormal
restore.Sepertimetodeyanglainnya,serverharusdijalankanpada mode
Directory Service Restore Mode.
Berikutinilangkah-langkahuntukmelakukanmetodeNormal Restore Active
Directory: 1.Restart komputer. 2.Selama fase start up Sistem
Operasi tekan tombol F8. Windows Server 2003 Active Directory Hak
cipta 2010 STMIK Bumigora Mataram http:/ / www.stmikbumigora.ac.id
263.TampilmenuWindowsAdvancedOptions,pilihDirectory Services
Restore Mode (Windows Domain Controller Only) dantekan
Enter.InimemastikanActive Directorypadadomain controller ini
offline. 4.TampilMenuPleaseSelectTheOperatingSystemToStart
Menu,pilihMicrosoftWindowsServer2003dantekan Enter.
5.LogonmenggunakanuserAdministratordengan
passwordyangdicantumkanpadasaatdcpromo(Domain Controller Promote)
atau instalasi awal domain controller.
6.PadadesktoptampilkotakdialogyangmemperingatkanAnda Windows
berjalan pada mode Safe Mode, klik OK.
7.MelaluimenuStart>Run,ketikntbackuppadaparameter Open kotak
dialog Run > klik tombol OK.
8.TampilaplikasiBackupUtility,kliktombolNext>pada
parameterWhatdoyouwanttodo?PilihRestorefilesand
settings,kliktombolNext>padapanelsebelahkiridibawah
parameterItemstorestore,navigasikeFile>pilihNama
Backup>cekpadaSystemState,kliktombolNext>ikuti
langkah-langkahselanjutnya..>klikFinishuntukmemulai proses
restore. 9.TampilkotakdialogperingatanyangmemperingatkanAnda
merestore System State akan mengoverwrite System State yang ada,
klik OK. 10.TampilkotakdialogRestoreProgressyangmenampilkan
informasistatusprosesrestore.Setelahrestoreselesai,Anda dapat
melihat Laporan proses restore. 11.Tutup Laporan yang tampil, klik
tombol Close. 12.Tampil kotak dialog konfirmasi Restart Komputer,
pilih Yes. Windows Server 2003 Active Directory Hak cipta 2010
STMIK Bumigora Mataram http:/ / www.stmikbumigora.ac.id 27
Berikutinilangkah-langkahuntukmelakukanmetodeAuthoritative Restore
Active Directory:
1.SetelahmelakukanmetodeNormalRestoresepertilangkah sebelumnya,
jangan melakukan restart komputer server.
2.MelaluimenuStart>Run,ketikcmdpadaparameterOpen kotak dialog
Run > klik tombol OK. 3.Pada command prompt ketik ntdsutil dan
tekan Enter. 4.Pada prompt ntdsutil, ketik perintah authoritative
restore dan tekan Enter. 5.Pada prompt authoritative restore:
Untukmelakukanauthoritativerestorekeseluruhan Directory, ketik
restore database dan tekan Enter.
Untukmelakukanauthoritativerestoresebagaian
Directory,sebagaicontohOU,ketikrestoresubtree subtree_
distinguished_ name dan tekan Enter.
TampilkotakdialogAuthoritativeRestoreConfirmation Dialog, klik Yes.
6.Ketik quit. 7.Restart komputer domain controller.