Fungsi
dan Tugas Administrator Network : Untuk mengenal dan mengetahui secara
dalam mengenai interkoneksi sistem komputer dan sumber daya yang ada
dalam jaringan. Admin dapat berarti seorang manajer atau tim manajerial
yang bertanggung jawab terhadap jalannya jaringan. Dan terlebih dahulu
diperlukan konsultasi dan pengarahan dari penyedia jasa network
implementation agar terbentuk aturan-aturan dan policy dari perusahaan
kepada user-user workstationnya. Policy ini merupakan produk perusahaan
dan perlu dipatuhi oleh seluruh pengguna workstation.
Fungsi dan Tugas Manajemen User dan Groups dijelaskan lebih lanjut dibawah ini :
Untuk
memberikan hak akses berbagai sumberdaya jaringan kepada para pengguna
maka harus dibuat terlebih dahulu user dan group untuk tiap-tiap
pengguna. Windows 2000 mengenali seorang pengguna serta hak-hak yang
dimilikinya berdasarkan user dan group yang terdapat di DC (Domain
Controller).
Representasi
seorang pengguna dalam sebuah jaringan adalah user account (untuk
selanjutnya disebut account). Sebuah account biasanya diberi nama sesuai
dengan nama pengguna yang bersangkutan, atau dengan nama khusus sesuai
dengan tujuan dibuatnya account tersebut.
Beberapa
account dapat digabungkan dalam satu atau lebih group. Fungsi group
adalah menggolongkan account ke dalam kelompok-kelompok tertentu sesuai
dengan hak yang akan diberikan. Biasanya account yang berada dalam satu
group memiliki hak akses yang sama terhadap sumber daya jaringan
tertentu. Dengan menggunakan group tersebut maka pekerjaan administrator
akan menjadi lebih mudah, karena hak akses cukup diterapkan terhadap
suatu group daripada harus menetapkan policy satu per satu untuk tiap
account.
Membuat dan Mengatur User Account
User
account digunakan oleh pengguna untuk login ke domain Windows 2000
dalam jaringan. Berdasarkan scope nya user account dapat dibedakan
menjadi 2 jenis :
Local user account
Adalah
account yang terdapat di suatu komputer baik DC maupun klien dan hanya
dapat digunakan untuk login ke komputer dimana account tersebut dibuat.
Konsep local user account dan domain user account ini sangat penting
dipahami, terutama bila komputer klien menggunakan Windows 2000
Professional / Server maupun Windows XP. Demikian juga jika klien
menggunakan Windows NT baik Workstation maupun Server.
Dalam
arsitektur Windows NT dan Windows 2000/Xp, setiap komputer memiliki
user dan group sendiri yang hanya berlaku untuk komputer tersebut saja.
Selain itu terdapat account di level domain yang dibuat di DC dan
memiliki scope untuk semua komputer di dalam domain.
Domain user account
Domain
user account adalah account yang memiliki cakupan di seluruh domain,
dan dibuat dengan menggunakan faslitas Aktif Directory yang terdapat di
Domain Controller. Domain account dibuat di DC dan dapat digunakan oleh
pengguna untuk login ke dalam jaringan dari komputer manapun selama hak
login tersebut diberikan.
Berbeda
dengan local account, domain account memiliki scope untuk seluruh
domain sehingga policy yang ditetapkan untuk suatu account akan berlaku
pula di seluruh domain. Misalnya suatu account diberikan hak untuk
menggunakan printer A yang terdapat di komputer B. Maka pengguna yang
menggunakan account tersebut dapat menggunakan printer A tanpa
dipengaruhi di komputer mana pengguna tersebut sedang bekerja.
Bagan berikut menggambarkan kedudukan domain account dan local account dalam sebuah domain :
Klien1 Klien2 Windows 2000/Xp Windows NT
Apabila
seorang pengguna login ke domain menggunakan domain account maka policy
yang ditetapkan adalah di level domain, yang dibuat oleh administrator
melalui fasilitas AD. Data domain account tersebut tersimpan di DC.
Apabila dalam jaringan terdapat lebih dari satu DC maka data domain
account tersebut direplikasikan di semua DC. Dengan demikian konfigurasi
policy untuk suatu account yang terdapat di AD akan tetap diterapkan
terlepas dari komputer mana seorang pengguna melakukan login. Selama
komputer tersebut masih berada dalam satu domain maka policy tersebut
akan tetap diterapkan.
Sedangkan
local account berlaku sebaliknya, yaitu hanya memiliki lingkup di suatu
komputer tertentu. Misalkan dalam gambar diatas menggunakan local
account yang terdapat di Klient1 untuk login ke komputer tersebut, maka
akan diterapkan policy yang hanya berlaku di Klien1. Account yang dibuat
di Klien1 tidak dapat digunkan untuk login ke Klien2, begitu juga
sebaliknya. Tetapi account yang terdapat di DC dapat digunakan untuk
login ke Klien1 dan Klien2, karena informasi account tersebut tersimpab
di AD.
Membuat User Account
Dalam
latihan ini anda akan membuat account di DC sehingga account tersebut
merupakan domain account. Penulis mengasumsikan anda sudah menginstal
Windows 2000 dan mengkonfigurasikannya sebagai DC sebagaimana dijelaskan
di Bab 2.
Lakukan
login ke DC anda sebagai Administrator dengan menggunakan user name dan
password yang telah anda buat di Bab 2. Anda tidak akan dapat membuat
user dan group apabila tidak login sebagai administrator.
Buka
Menu Start > Program > Administrative Tools > Active Directory
User and Computer untuk menampilkan menu konfigurasi user, group dan
berbagai obyek AD. Alternatif lain adalah dengan menggunakan MMC yang
telah anda buat di Bab 3 mengenai Active Directory. Pada gambar berikut
terlihat AD dengan domain bernama Matrik.com. Di folder user terlihat
beberapa user baik yang dibuat sendiri maupun built in user.
Untuk
membuat user baru, klik kanan di area kosong yang terdapat di jendela
sebelah kanan. Pilih New > User. Alternatif lain adalah dengan
mengklik kanan folder atau OU tertentu yang terdapat di bawah domain.
Misalnya anda mengklik kanan OU Sales maka user account yang dibuat akan
langsung ditempatkan di bagian Sales.
Setelah
tampil dialog New Object-User, isikan data untuk user yang akan dibuat.
Data First name, Last name, dan Intials merupakan data yang akan
ditampilkan dijendela AD Users and Computers. Sedangkan data yang
digunakan untuk login ke jaringan adalah User logon name. Dengan
demikian anda dapat saja memberikan nama yang berbeda antara nama
seorang pengguna dangan logon name yang digunakan sebagai account login.
Penulis menyarankan untuk tetap menggunakan nama yang berkaitan dengan
nama user yang sebenarnya untuk menghindari kesulitan administrasi di
kemudian hari. Selain itu terdapat logon name untuk pre-windows 2000
yang digunakan untuk login dari Klien yang tidak memakai Windows 2000
seperti Windows 98 atau NT. Secara default bagian ini langsung terisi
sama dengan logon name untuk Windows 2000.
Isikan
password untuk user tersebut, dan ulangi pengisian di bagian Confirm
password. Apabila anda menghendaki pengguna menetapkan passwordnya
sendiri, aktifkan User must change password at next logon. Dengan
demikian seorang pengguna dapat mengganti password yang anda berikan,
sehingga lebih menjamin privacy pengguna tersebut.
Note
: penetapan penggantian password oleh pengguna saat pertama kali login
dapat membawa masalah tersendiri apabila anda tidak memberikan
keterangan yang cukup kepada para pengguna.
Penulis
sering menjumpai pengguna pemula, apalagi yang kurang memahami bahasa
Inggris menganggap permintaan penggantian password oleh komputer saat
login pertama sebagai error yang harus ditangani. Apabila terdapat 50
pengguna semacam ini dalam jaringan anda, maka bersiaplah untuk menerima
telepon komplain yang sebenarnya tidak diperlukan
Setelah pengisian selesai, klik Next dan akan tampil kotak konfirmasi berisi data user yang telah dibuat.
Setelah proses pembuatan user selesai, tampak user bernama Alisha Fatah terdapat di jendela kanan MMC anda.
Note
: Anda harus selalu ingat bahwa Alisha Fatah adalah nama untuk user
tersebut, sedangkan untuk login ke jaringan harus menggunakan account :
Lisha. Penulis sering menjumpai administrator pemula salah menafsirkan
dan tidak dapat membedakan antara User name dan Logon name.
Ulangi kembali langkah-langkah diatas untuk membuat user lain sebagai berikut :
No
|
Nama
|
Logon Name
|
1
|
Santika W
|
Ika
|
2
|
Dina Amari
|
Dina
|
3
|
Amru Rosyada
|
Dadang
|
Mengatur Property User
Setelah
account untuk user dibuat maka perlu dikonfigurasi property untuk
account tersebut sesuai hak dan policy yang akan diterapkan. Berikut
dijelaskan beberapa jenis property yang sering digunakan dalam
administrasi jaringan, dan untuk lebih lengkapnya mengenai properti
account tersebut anda dapat merujuk pada help file Windows 2000 Server
yang cukup lengkap pembahasannya.
Porperty account diakses dengan mengklik ganda suatu account atau dengan mengklik kanan dan
Selanjutnya akan tampil jendela pengaturan property user sebagai berikut :
Pada
bab ini hanya akan dibahas tab Account dan Member Of dari 12 tab yang
terdapat di jendela tersebut. Pembahasan untuk fungsi-fungsi lain akan
dilakukan pada bab-bab berikutnya.
Membatasi Waktu Login
Anda
dapat membatasi waktu login user di jaringan dengan menekan tombol
Logon Hours yang terdapat di tab Account. Misalnya ada user yang hanya
boleh mengakses jaringan dari jam 08.00 s/d 17.00, maka anda dapat
menerapkan pembatasan waktu terhadap user tersebut.
Pembatasan
ini sering digunakan untuk menghindari adanya pengguna yang mengakses
sumber daya jaringan di luar jam kerja, atau menghindari penyalahgunaan
account oleh pihak yang tidak berkepentingan. Gambar berikut menunjukkan
setting untuk user Lisha yang hanya diperbolehkan login dari hari Senin
s/d Jumat jam 08:00 s/d 18:00.
Blok
warna menunjukkan user tersebut diijinkan login, sedangkan blok putih
menunjukkan waktu dimana user tersebut tidak diijinkan login.
Perlu
diketahui bahwa pembatasan tersebut adalah untuk login ke domain atau
ke jaringan. Sedangkan bila pengguna tersebut login ke komputer lokal
(bila memakai Win NT/2000) maka tetap bisa dilakukan.
* Dari Komputer Mana Boleh Login ?
Pembatasan
lain yang dapat dilakukan adalah dari komputer mana seorang pengguna
dapat login ke jaringan. Secara default account yang dibuat dapat
digunakan di semua workstation dalam jaringan. Anda dapat membatasi
komputer yang daapt digunakan untuk login oleh suatu account, dengan
mengklik tombol Log On To yang terdapat di tab Account.
Pembatasan
tersebut biasanya bertujuan agar pengguna yang berbeda bagian /
departemen tidak dapat memakai komputer milik departemen lain.
Pada
gambar di atas terlihat dimasukkan nama komputer Purchasing dan
Akunting, sehingga account tersebut hanya dapat digunakan untuk login
dari 2 komputer tersebut. Pada bagian Computer name dimasukkan nama
komputer, yang dapat anda lihat di property Network Neighbourhood (Win
98/ NT) atau My Network Places (Win 2000).
Note
: Fasilitas ini menggunakan protocol NetBIOS, sehingga anda harus
mengaktifkan protocol tersebut di Windows 2000 Server. Sistem Operasi
Windows non Windows 2000 menggunakan NetBIOS untuk me-resolve nama
komputer, sedangkan Windows 2000 mengunakan sistem DNS. Penggunaan
NetBIOS dalam fasilitas ini adalah pengecualian, karena kemungkinan
terdapat klien yang belum menggunakan Windows 2000. Untuk mengaktifkan
NetBIOS di Windows 2000 anda dapat melihat petunjuknya di help Windows
2000 dengan keyword NetBT.
Pengaturan Group untuk Account
Beberapa
account dapat dikelompokkan menjadi group sesuai dengan kepentingan
administrasinya. Dengan mengelompokkan beberapa account menjadi group
maka policy dan hak untuk suatu account cukup diterapkan di level group
saja, tanpa perlu menerapkan satu per satu ke tiap account.
Pengaturan
group untuk user terdapat di tab Member Of, apabila anda klik tombol
Add akan tampil dialog Select Groups yang menampilkan nama-nama group
ynag tersedia. Group tersebut dapat merupakan built in group maupun yang
anda buat sendiri selaku administrator.
Sebuah
account dapat menjadi anggota satu atau lebih group, tergantung
kepentingan administrative nya. Dalam gambar di atas terlihat user Lisha
dimasukkan sebagai anggota group Administrator.
Menonaktifkan Account
Sebuah
account dapat dinonaktifkan sehingga account tersebut tidak dapat
digunakan oleh pemiliknya. Biasanya fasilitas ini digunakan apabila ada
seorang pengguna yang cuti atau tugas keluar kota sementara waktu
sehingga accountnya perlu dinonaktifkan. Tujuannya adalah agar account
tersebut tidak disalahgunakan oleh pengguna lain yang tidak berhak.
Apbila suatu account diklik kanan maka tampil context menu, pilihlah Disable Account untuk menonaktifkan account tersebut.
Untuk mengaktifkan kembali account tersebut, klik Enable Account dari menu yang sama.
Mereset Password
Sering ditemui seorang user lupa passwordnya, sehingga anda perlu
mereset password tersebut dan memberikan password baru. Menu yang
digunakan sama dengan menonaktifkan account dengan memilih Reset
Password dari context menu.
Selanjutnya
anda dapat mengisikan password baru untuk account tersbut dan
menentukan pilihan apakah user perlu mengganti passwordnya pada saat
login atau tidak.
Mengedit Nama dan Logon
Tab General dan Account account menyediakan fasilitas untuk mengganti
Nama dan Logon Name seorang pengguna. Sebagaimana telah diterangkan
sebelumnya, Name adalah nama yang didisplay untuk suatu account.
Sedangkan nama yang digunakan untuk login adalah logon Name. Anda dapat
langsung menghapus dan mengganti data Name dan deskripsi lainnya di tab
General tersebut. Sedangkan penggantian Logon Name tersedia di tab
Account.
Menghapus Account
Apabila suatu account sudah tidak diperlukan lagi, anda dapt
menghapusnya dengan sanga mudah. Sorot account yang akan dihapus dan
tekan tombol Delete pada keyboard anda. Alternatif lain adalah dengan
memilih Delete pada context menu sebagaimana cara mereset password
diatas.
Windows 2000 akan menampilkan dialog konfirmasi untuk menegaskan kebenaran perintah penghapusan tersebut.
Mengedit dan Mengatur Account
Buka menu Administrative Tools > Active Directory Users & Computers, lalu tampilkan property untuk account Lisha.
Tambahkan keterangan alamat E-Mail di tab General denga alamat lisha@hotmail.com
Klik tab Account dan tentukan pembatasan jam login dengan menekan
tombol Logon hours. Tetapkan hak login sepanjang hari kecuali hari
minggu
Selanjutnya klik tab Member Of dan klik tombol Add untuk memunculkan
daftar nama group yang tersedia di domain. Pilih group Administrators
lalu klik Add untuk menambahkan group tersebut ke daftar Member of.
Dengan demikian account lisha tersebut menjadi anggota group
Administrator dan memiliki hak penuh untuk melakukan berbagai
konfigurasi server.
Klik OK untuk mengakhiri Konfigurasi.
Membuat dan Mengatur Group Account
Setelah
anda membuat user account, maka langkah selanjutnya adalah membuat
group account yang digunakan untuk memudahkan administasi jaringan.
Group
account merupakan sekumpulan user account, di dalamnya dapat terdiri
dari user account atau group account lainnya. Jadi tidak ada halangan
suatu group beranggotakan group lain. Sebagaimana telah diterangkan
sebelumnya, group account sangat memudahkan pengaturan jaringan karena
policy yang diterapkan di suatu group akan diterapkan pula terhadap
anggota group tersebut.
Ketika
anda membuat group maka tersedia beberapa jenis pilihan untuk
menentukan tipe group yang dibuat. Penting bagi anda selaku
administrator memahami dengan baik type dan ruang lingkup dari tiap
jenis group.
Type Group Account
Berdasarkan fungsinya, terdapat dua jenis group yaitu Security Group dan Distribution Group.
• Security Group
Digunakan
untuk memberikan hak akses terhadap sumber daya jaringan tertentu.
Windows 2000 menggunakan security group dalam penentuan hak suatu
account, termasuk juga untuk melakukan suatu job tertentu untuk
sekumpulan user. Penggunaan praktisnya antara lain pemberian hak akses
terhadap suatu file, atau mendistribusikan e-mail ke sekelompok user.
Security group memiliki semua kemampuan dan fungsi distribution group,
tetapi tidak sebaliknya.
• Distribution Group
Group
jenis ini digunakan untuk berbagai fungsi yang tidak terkait dengan
masalah security atau pemberian hak akses. Misalnya untuk
mendistribusikan pesan kepada sekelompok user. Integrasi dengan active
directory memungkinkan administrator menyampaikan pesan atau distribusi
file ke sekelompok user yang dimasukkan dalam distribution group.
Group Scope
Berdasarkan scope atau ruang lingkup suatu group, terdapat 3 jenis group yang masing-masing memiliki scope tersendiri.
Gambar di atas menunjukkan pilihan scope dan type group yang tersedia ketika anda membuat sebuah group.
Untuk
memahami scope dan type tersebut, sebaiknya anda memikirkan sebuah
jaringan Windows 2000 dalam skala besar, yang terdiri dari beberapa
domain dan bergabung menjadi tree atau forest sebagaimana telah
dijelaskan dalam Bab 2.
• Domain Local Group
Domain
local group biasanya digunakan untuk memberikan hak akses terhadap
sumber daya jaringan tertentu dalam suatu domain, misalnya printer,
folder, file maupun hardware lainnya.
Karakteristik domain local group adalah :
¾
Dapat beranggotakan user atau group dari domain manapun ¾ Hanya dapat
digunakan untuk memberikan hak akses yang terdapat di domain dimana
group tersebut dibuat. ¾ Group ini hanya dapat dilihat di domain dimana
group tersebut dibuat
• Global Group
Penggunaan
group jenis ini biasanya adalah untuk memberikan hak akses kepada user
atau group yang memiliki kesamaan hak akses terhadap sumber daya
jaringan tertentu.
¾
Hanya dapat beranggotakan user atau group yang terdapat di domain
dimana group trsebut dibuat ¾ Dapat digunakan untuk memberikan hak akses
yang terdapat di domain manapun, meskipun bukan di domain asal group
tersebut ¾ Group ini dapat dilihat dari domain manapun dalam jaringan
• Universal Group
Universal
group memiliki karakteristik yang merupakan gabungan dari domain local
dan global group. Group jenis ini biasa digunakan apabila terdapat user
atau group yang memerlukan hak akses sumber daya jaringan lintas domain.
Misalnya untuk mobile user yang sering berpindah kota, dan harus
mengakses file di tiap-tiap kota tersebut.
¾
Dapat beranggotakan user atau group dari domain manapun ¾ Dapat
digunakan untuk memberikan hak akses yang terdapat di domain manapun ¾
Group ini dapat dilihat dari domain manapun dalam jaringan ¾ Tersedia
apabila semua DC menggunakan Windos 2000 Server (Native Mode)
Karena
karakteristik universal group yang sangat flexible tersebut, disarankan
kepada administrator untuk tidak menggunakan universal group kecuali
benar-benar dibutuhkan. Penggunaan universal group tanpa kontrol yang
baik akan memperbesar kemungkinan lubang keamanan dalam jaringan anda.
Note
: Pemula Windows 2000, apalagi yang belum pernah mengenal dunia
jaringan komputer sering sulit untuk memahami tujuan dibuatnya scope dan
type masing-masing group tersebut. Apabila anda mengelola jaringan 1
domain dengan hanya 30 PC, pemahaman type dan scope tersebut mungkin
tidaklah terlalu penting. Ketika anda mengelola 100 PC dengan 2 atau 3
domain, maka anda akan menemukan bahwa konsep active directory, termasuk
di dalamnya type dan scope group tersebut menjadi sangat berguna untuk
menentukan policy dan pembuatan group dalam jaringan.
Untuk
membuat sebuah group anda menggunakan menu yang sama dengan membuat
user account yaitu dari console Active Directory Users and Computers.
Klik Menu Action > New > Group atau dengan mengklik kanan pada
ruang kosong di console tersebut.
Selanjutnya
anda dapat mengisikan nama group, type dan scopenya sesuai dengan
deskripsi yang telah dijelaskan di atas. Apabila dalam jaringan anda
terdapat komputer yang menggunakan sistem operasi non windows 2000 maka
perlu diisikan group name untuk pre Windows 2000. Secara default bagian
ini terisi sama dengan group name nya.
Dalam
gambar di atas terlihat dibuat group bernama Sales dengan type Security
dan scope nya adalah global. Dengan demikian Sales merupakan global
group yang dapat dilihat dari domain manapun di dalam jaringan, tetapi
hanya dapat beranggotakan user/group yang berada di domain yang sama
dengan domain asal group Sales tersebut.
Untuk mengedit property group tersebut, anda tinggal mengklik kanan nama group tersebut untuk menampilkan jendela property nya.
Tab
Members berisi daftar user account yang menjadi anggota group Sales
tersebut. Anda dapat menambahkan user untuk menjadi anggota group
tersebut dengan menekan tombol Add untuk menampilkan daftar user sebagai
berikut:
Pada
bagian dialog Select users terdapat drop down combo Look in dimana anda
dapat memilih dari domain mana user account yang akan dimasukkan.
Tampak domain Matrik.com yang telah dibuat penulis untuk latihan ini.
Apabila anda memiliki lebih dari satu domain di jaringan, maka akan
terlihat beberapa domain yang masing-masing memiliki user dan group.
Pada
bagian ini juga terliha komputer lain yang menggunakan Windows 2000,
dimana di dalam komputer tersebut terdapat user dan group dengan scope
lokal untuk komputer tersebut saja. Anda dapat memasukkan local user di
suatu komputer menjadi anggota domain group yang terdapat di domain
server. Inilah yang disebut kemudahan administrasi terpusat yang
memanfaatkan AD, karena anda dapat menambil dan mengatur user dan group
yang terdapat di jaringan dari satu tempat saja.
0 comments:
Post a Comment