Anda di halaman 1dari 12

JOB III

MANAJEMEN USER PADA WINDOWS SERVER 2008

3.1 Tujuan Instruksi Khusus


Setelah menyelesaikan praktek ini mahasiswa dapat :
a. Membuat user account pada Windows Server 2008
b. Mengatur hak akses tiap user

3.2 Teori Pendahuluan


3.2.1 User Account
Representasi seorang pengguna dalam sebuah jaringan adalah user account (untuk
selanjutnya disebut account). Sebuah account biasanya diberi nama sesuai dengan nama
pengguna yang bersangkutan, atau dengan nama khusus sesuai dengan tujuan dibuatnya
account tersebut. Beberapa account dapat digabungkan dalam satu atau lebih group. Fungsi
group adalah menggolongkan account ke dalam kelompok-kelompok tertentu sesuai dengan
hak yang akan diberikan. Biasanya account yang berada dalam satu group memiliki hak akses
yang sama terhadap sumber daya jaringan tertentu. Dengan menggunakan group tersebut
maka pekerjaan administrator akan menjadi lebih mudah, karena hak akses cukup diterapkan
terhadap suatu group daripada harus menetapkan policy satu per satu untuk tiap account.

3.2.2 Local User Account


Adalah account yang terdapat di suatu komputer baik DC maupun klien, dan hanya
dapat digunakan untuk login ke komputer tempat account tersebut dibuat. Konsep local user
account dan domain user account ini sangat penting dipahami, terutama bila klien
menggunakan Windows 2000 maupun Windows XP. Demikian juga jika klien menggunakan
Windows NT baik Workstation maupun Server.
Dalam arsitektur Windows NT dan Windows 2000/XP, setiap komputer memiliki user
dan group sendiri yang hanya berlaku untuk komputer tersebut saja. Selain itu terdapat
account di level domain yang dibuat di DC dan memiliki ruang lingkup untuk semua
komputer di dalam domain.

III - 1

3.2.3 Domain User Account


Domain user account adalah account yang memiliki cakupan di seluruh domain, dan
dibuat dengan menggunakan faslitas AD yang terdapat di DC. Domain account dibuat di DC
dan dapat digunakan oleh pengguna untuk login ke dalam jaringan dari komputer manapun
selama hak login tersebut diberikan.
Berbeda dengan local account, domain account memiliki lingkup (scope) untuk seluruh
domain, sehingga policy yang ditetapkan untuk suatu account akan berlaku pula di seluruh
domain. Misalnya suatu account diberikan hak untuk menggunakan printer A yang terdapat di
komputer B. Maka pengguna yang menggunakan account tersebut dapat menggunakan printer
A tanpa dipengaruhi di komputer mana pengguna tersebut sedang bekerja.

Gambar 3.1 Gambaran perbedaan domain user dan local user

Apabila seorang pengguna login ke domain menggunakan domain account maka


policy yang ditetapkan adalah di level domain, yang dibuat oleh administrator melalui fasilitas
Active Directory. Data domain account tersebut tersimpan di DC. Apabila dalam jaringan
terdapat lebih dari satu DC maka data domain account tersebut direplikasikan di semua DC.
Dengan demikian konfigurasi policy untuk suatu account yang terdapat di AD akan tetap
diterapkan terlepas dari komputer mana seorang pengguna melakukan login. Selama
komputer tersebut masih berada dalam satu domain maka policy tersebut akan tetap
diterapkan.
Sedangkan local account berlaku sebaliknya, yaitu hanya memiliki lingkup di suatu
komputer tertentu. Misalkan pada gambar di atas pengguna menggunakan local account yang
terdapat di Klien1 untuk login ke komputer tersebut, maka akan diterapkan policy yang hanya
berlaku di Klien1. Account yang dibuat di Klien1 tidak dapat digunakan untuk login ke

III - 2

Klien2, begitu juga sebaliknya. Berbeda dengan account yang terdapat di DC dapat digunakan
untuk login ke Klien1 dan Klien2, karena informasi account tersebut tersimpan di AD.

3.2.4 Group Account


Group account merupakan sekumpulan user account, di dalamnya dapat terdiri dari
user account atau group account lainnya. Jadi tidak ada halangan suatu group beranggotakan
group lain. Sebagaimana telah diterangkan sebelumnya, group account sangat memudahkan
pengaturan jaringan karena policy yang diterapkan di suatu group akan diterapkan pula
terhadap anggota group tersebut. Dengan demikian, maka user yang memiliki hak yang sama
dapat dikelompokkan dalam satu group.
Saat membuat group, tersedia beberapa jenis pilihan untuk menentukan ruang lingkup
dan tipe group yang dibuat. Penting bagi administrator memahami dengan baik ruang lingkup
dan tipe dari tiap jenis group.

A. Group Scope
Windows Server 2003 memberikan tiga macam ruang lingkup group (group scope) yang
dapat dibuat, yaitu group lokal (local group), group global (global group) dan group universal
(universal group). Perbedaan ketiga group tersebut bukan bergantung pada isi group,
melainkan pada lingkup kemampuan masing-masing group.
1. Domain Local Group
Group lokal memiliki hak izin dan security pada tempat group tersebut dibuat. Dengan
kata lain, group lokal adalah group yang ada di lingkungannya sendiri, tidak berhubungan
dengan jaringan lain.
Jika server difungsikan sebagai Active Directory Domain Controllers, maka group
lokalnya menjadi domain local group. Jika server tersebut berhubungan dengan server
lain (domain server) sehingga berfungsi sebagai member server, maka group lokalnya
dapat menerima group global dari domain server tersebut untuk dijadikan sebagai
anggotanya sehingga dapat mengakses sumber dari member server tersebut.
Domain local group biasanya digunakan untuk memberikan hak akses terhadap
sumber daya jaringan tertentu dalam suatu domain, misalnya printer, folder, file maupun
hardware lainnya. Karakteristik domain local group adalah :
- Dapat beranggotakan user atau group dari domain manapun
- Hanya dapat digunakan untuk memberikan hak akses yang terdapat di domain dimana
group tersebut dibuat.
III - 3

- Group ini hanya dapat dilihat di domain dimana group tersebut dibuat
Dengan kata lain, group lokal dapat mempunyai anggota group global, group universal
dari domain lain, dan group lokal lain dalam domain yang sama asalkan Windows Server
2003 disetup dalam mode native.
2. Global Group
Group global biasanya digunakan untuk memberikan hak akses kepada user atau
group yang memiliki kesamaan hak akses terhadap sumber daya jaringan tertentu.
Group ini dapat beranggotakan user dan group global lain dari domain mana saja asal
domain disetup dalam mode mixed. Sedangkan pada mode native, group global hanya
dapat beranggotakan user atau group global yang terdapat di domain yang sama. Group ini
dapat dilihat dari domain manapun dalam jaringan
3. Universal Group
Group universal hanya dapat dibuat jika server disetup pada mode native. Group ini
memiliki karakteristik yang merupakan gabungan dari domain local group dan global
group. Anggota group ini dapat berupa user, group global dan group universal lainnya dari
domain mana saja dan dapat memberikan akses ke sumber domain apa saja.
Group jenis ini biasa digunakan apabila terdapat user atau group yang memerlukan
hak akses sumber daya jaringan lintas domain. Misalnya untuk mobile user yang sering
berpindah kota, dan harus mengakses file di tiap-tiap kota tersebut. Group ini dapat dilihat
dari domain manapun dalam jaringan.
Karena karakteristik group universal yang sangat fleksibel tersebut, disarankan kepada
administrator untuk tidak menggunakan group ini kecuali benar-benar dibutuhkan.
Penggunaan group universal tanpa kontrol yang baik akan memperbesar kemungkinan
lubang keamanan dalam jaringan.

B. Group Type
Berdasarkan fungsinya, terdapat dua jenis group yaitu Security Group dan Distribution
Group.
1. Security Group
Security group sama seperti user group pada Windows NT, yang digunakan untuk
mengontrol pemberian hak dan akses terhadap sumberdaya jaringan tertentu. Windows
Server 2003 menggunakan security group dalam penentuan hak suatu account, termasuk
juga untuk melakukan suatu job tertentu untuk sekumpulan user.
III - 4

Penggunaan praktisnya antara lain pemberian hak akses terhadap suatu file, atau
mendistribusikan e-mail ke sekelompok user. Security group memiliki semua kemampuan
dan fungsi distribution group, tetapi tidak sebaliknya.
2. Distribution Group
Distribution group digunakan untuk berbagai fungsi yang tidak terkait dengan
masalah security atau pemberian hak akses, melainkan hanya dipakai sebagai distribusi
seperti distribution list pada exchange server, untuk mendistribusikan pesan kepada
sekelompok user.
Integrasi dengan active directory memungkinkan administrator menyampaikan pesan
atau distribusi file ke sekelompok user yang dimasukkan dalam distribution group.

C. Group Default
Secara default, Windows Server 2003 telah membuatkan beberapa group, di antaranya
group domain lokal yang juga telah diberikan hak izin pada group tersebut. Group domain
lokal tersebut di antaranya terdiri dari:
1. Administrators
Administrators merupakan group yang memiliki kekuasaan tertinggi dan dapat
mengontrol seluruh fasilitas kemampuan Windows Server 2003. User yang telah
dibuatkan untuk menjadi anggota group ini adalah Administrator.
2. Server Operators
Anggota dari group ini dapat mengelola domain controller, mempunyai kekuasaan seperti
anggota dari group Administrators seperti membuat, mengatur dan menghapus share
printer, backup file dan direktori, logon pada komputer server dan mengakhiri server
(shutdown). Group ini tidak dapat mengatur sekuritas pada server.
3. Account Operators
Anggota group ini dapat membuat, menghapus atau memodifikasi user, group global dan
group lokal yang dibuatnya. Account operators tidak dapat menghapus atau memodifikasi
group Administrators, Server Operators, Backup Operators, Print Operators dan Domain
Admins.
4. Print Operators
Anggota group ini dapat membuat, mengelola dan menghapus share printer, logon pada
komputer server dan melakukan shutdown server.

III - 5

5. Backup Operators
Anggota dari group ini dapat melakukan proses backup file dan direktori dari server serta
mengembalikannya kemudian (restore). Anggota group ini juga dapat logon pada server
dan melakukan proses shutdown server.
6. Replicator
Anggota group ini difungsikan untuk melakukan proses replika folder / direktori.
7. Users
Group ini merupakan group default bagi setiap account user yang dibuat di server. Setiap
user yang dibuat secara otomatis dimasukkan sebagai anggota group ini. Anggota group
ini hanya dapat menjalankan program aplikasi, mengelola file dan direktori, menggunakan
printer dan membuat profil miliknya sendiri. Anggota group ini juga tidak dapat logon
pada komputer server, melainkan harus melalui workstation, kecuali telah diberi hak
untuk logon pada server.
8. Guest
Anggota group ini hampir sama dengan group Users tetapi fasilitas yang dimiliki tidak
sebanyak group Users, seperti tidak dapat membuat group lokal. Secara default, anggota
group Guest adalah user Guest, namun belum dapat diakses karena status account semula
adalah disabled.

3.3 Peralatan dan Bahan


3.3.1 Perangkat Keras
Satu set komputer sebagai host dengan spesifikasi minimal:
- Prosesor Intel Core 2 Duo 2 GHz
- RAM 2 GHz
- Hard Disk dengan ruang sisa minimal 250 MB
- Protokol TCP/IP telah dikonfigurasi
3.3.2 Perangkat Lunak
- Sistem Operasi Microsoft Windows Server 2008 sebagai server
- Sistem Operasi Microsoft Windows XP atau Windows 7 sebagai klien
- Oracle Virtual Box sebagai virtual machine

III - 6

3.4 Langkah Kerja


A. Pembuatan User Account
1) Hidupkan Windows Server 2008, login sebagai Administrator.
2) Pastikan server telah diberi IP address sebagai berikut:
IP address

: 192.168.X.1

Subnet mask

: 255.255.255.0

Default gateway : 192.168.X.1


Preferred DNS

: 192.168.X.1

Catatan : X diganti dengan nomor absen mahasiswa.


3) Klik Start > Administrative Tools > Active Directory User and Computers
4) Klik tanda expand pada domain name (misal: server0.corp) hingga muncul Users, lalu
klik. Di sisi kanan jendela muncul daftar user account default dari Windows Server.
5) Untuk membuat user account baru:
a) Klik-kanan pada Users, sorot ke New > User, lalu klik.
b) Pada jendela New Object User, isikan
First name

: Klien

Last name

: UserXa

User logon name : userXa


Catatan: X diganti dengan nomor absen mahasiswa. Klik Next.
c) Isikan password bagi user (misal: Ojolali1.). Klik tanda centang pada pilihan User
cannot change password agar user tidak dapat melakukan perubahan password, dan
Password never expires agar password pada user tidak akan kadaluarsa, lalu klik
Next.
d) Klik Finish, maka userXa selesai dibuat.
6) Dengan cara yang sama seperti langkah 4), buat tiga user lagi yaitu userXb, userXc dan
userXd (X diganti dengan nomor absen)
7) Untuk mengetahui apakah user account telah digunakan untuk join domain ke server,
pada Active Directory Users and Computers klik Computers. Jika masih kosong,
menandakan user account belum digunakan untuk join domain ke server.

B. Proses Join Domain


1) Hidupkan komputer klien (Windows XP atau Windows 7), login sebagai Administrator
atau user lain yang memiliki kewenangan sebagai administrators.
III - 7

2) Pastikan komputer klien telah diberi IP address yang satu jaringan dengan server sebagai
berikut:
IP address

: 192.168.X.2

Subnet mask

: 255.255.255.0

Default gateway : 192.168.X.1


Preferred DNS

: 192.168.X.1

Catatan : X diganti dengan nomor absen mahasiswa.


3) Lakukan uji konektivitas klien-server menggunakan perintah ping pada command prompt
(baik dari sisi klien maupun sisi server. Jika menghasilkan Reply from ..., berarti
koneksi klien-server telah terbentuk dan akan dapat dilakukan join domain. Jika
menghasilkan Request timed out atau Destination host unreacheable berarti koneksi
klien-server belum terbentuk, dan perlu dicek koneksi fisik (misalnya kabel, konektor,
dan switch/hub).
4) Untuk melakukan join domain,
a) Pada klien buka jendela System Properties (Klik Start sorot ke Computer, lalu klikkanan > Properties. Pada Windows 7, klik lagi Change Settings.
b) Pada tab Computer Name klik Change. Pada bagian Member of klik Domain: lalu
isikan nama domain (misal: server0.corp).
[Catatan: bila sebelumnya komputer telah menjadi anggota dari domain lain, maka
kembalikan ke Workgroup: WORKGROUP dulu. Restart komputer, lalu ulangi
langkah ini]
c) Akan muncul jendela untuk masuk ke domain server. Isikan username dan password
yang telah dibuat di server (misalnya userXa dan Ojolali1.) lalu klik OK.
d) Jika berhasil join domain, maka akan muncul kotak informasi berisi Welcome to the
server0 domain. Klik OK.
e) Klik OK untuk merestart komputer.
5) Setelah komputer menyala lagi, masukkan username dan password yang telah dibuat di
server (misalnya userXa dan Ojolali1.). Pada pilihan Log on to: pilih nama domain dari
server (misal: SERVER0) lalu klik OK.
6) Komputer klien telah berhasil join domain dengan server.
7) Lakukan hal yang sama untuk user yang lain.

III - 8

B. Pengaturan Hak Akses User


1) Pengaturan hak akses user dilakukan di server. Buka jendela Active Directory Users
and Computers.
2) Pada user yang akan diatur hak aksesnya, klik-kanan > Properties.
3) Buka tab Account lalu klik tombol Logon Hours
4) Klik All, lalu pilih Logon Denied
5) Buat seleksi (click&drag) pada hari Senin jam 7.00 18.00, klik Logon Permitted, lalu
klik OK
6) Klik OK untuk menutup jendela user properties.
7) Ulangi untuk user lainnya, sesuai tabel berikut.
No
1
2

User
Account
userXa
userXb

Waktu Login
Senin jam 7.00 18.00
Selasa jam 7.00 18.00

User
Account
userXc
userXd

No
3
4

Waktu Login
Rabu jam 7.00 18.00
Kamis jam 7.00 18.00

8) Ujilah hasil dari pengaturan waktu login ini pada komputer klien, dengan mencoba
melakukan login menggunakan user account yang berbeda!
9) Buatlah 4 user baru, yaitu userXe, userXf, userXg dan userXh.
10) Klik-ganda pada salah satu user (misalnya userXe), buka tab Account lalu klik tombol
Log On To
11) Klik The following computers, pada text box Computer name: isikan nama komputer
tempat user tersebut dapat login, yaitu komputer1, lalu klik Add.
[Computer name ini dapat diisi lebih dari satu. Agar tidak terjadi salah memasukkan
nama, sebaiknya dicek terlebih dulu nama komputer klien yang akan diisikan]
12) Klik OK (dua kali) untuk kembali ke jendela Active Directory Users and Computers
13) Ulangi langkah 10 12 di atas untuk user lainnya, sesuai tabel berikut!
No

Username

Log On To

No

Username

Log On To

userXe

komputer1

userXg

komputer3

userXf

komputer2

userXh

komputer4

14) Ujilah hasil dari pengaturan Log On To ini pada komputer klien, dengan mencoba
melakukan login menggunakan user account yang berbeda!

C. Membuat dan Mengatur Organizational Unit


1) Pada server, buka jendela Active Directory Users and Computers
2) Klik-kanan domain Anda (misal server0.corp), pilih New > Organizational Unit
III - 9

3) Pada text box Name, isikan Kelas A lalu klik OK.


4) Ulangi langkah E.2 dan E.3 di atas untuk membuat Organizational Unit (OU) Kelas B dan
Kelas C.
5) Untuk memindahkan user-user ke OU Kelas A, klik pada folder Users
6) Pada user yang akan dipindah, klik-kanan lalu pilih Move
7) Klik pada OU Kelas A, lalu klik OK
8) Pindahkan semua user (userXa s.d. userXh) ke OU Kelas A.
9) Untuk melihat daftar user tadi, klik pada OU Kelas A
10) Tambahkan 3 user lagi (dengan nama account sembarang) langsung di dalam OU Kelas
B!

F. Mengubah Password dan Mendisable Account


1) Loginlah pada klien menggunakan salah satu (atau beberapa) dari 3 user tambahan pada

langkah E.10 di atas! Setelah berhasil login, log offkan kembali user pada klien tersebut.
2) Pada server, untuk mengganti password sebuah user, klik-kanan pada user > Reset

Password. Ketikkan password yang baru bagi user tersebut.


Cobalah login pada klien menggunakan password yang lama dan yang baru.
3) Untuk menonaktifkan account, klik-kanan pada user > Disable Account.

Cobalah login pada klien menggunakan account yang didisable.


4) Untuk mengaktifkan account lagi, klik-kanan pada user > Enable Account.

Cobalah login pada klien menggunakan account yang dienable.


5) Untuk menghapus account, klik-kanan pada user > Delete.

Cobalah login pada klien menggunakan account yang telah didelete.


Hapuslah 3 user yang Anda buat pada langkah E.9 tersebut.

G. Membuat Group di dalam Organizational Unit


1. Pada server, buka jendela Active Directory Users and Computers
2. Buat 4 user baru, yaitu userX-i, userX-j, userX-k dan userX-l.
3. Klik-kanan OU Kelas C, pilih New > Group
4. Pada text box Group name, isikan Group 1 lalu klik OK
5. Untuk memasukkan user menjadi anggota Group 1, klik-ganda Group 1
6. Klik tab Members lalu klik Add
III - 10

7. Pada Enter the object names to select, ketikkan nama user yang akan dimasukkan
menjadi anggota Group 1. Isikan user userX-i, dan userX-j
[Cara lain: klik-ganda pada setiap user, klik tab Member Of > Add, isikan nama Group 1.
Atau: klik-kanan pada setiap user, klik Add to a group, lalu isikan nama Group 1.]
8. Buatlah Group 2, lalu masukkan userX-k dan userX-l ke Group 2 tersebut.

H. Share Folder dan Izin Akses bagi User dan Group


1. Pada server buka Windows Explorer, buat folder (drive):\Data.
[(drive) adalah letak drive tempat folder Windows Anda berada, misalnya: C, D, atau E]
2. Lakukan sharing pada folder Data, dengan melakukan klik-kanan > Sharing and
Security. Klik Share this folder, lalu klik OK.
3. Di dalam folder Data, buat tiga buah subfolder dengan nama Data UserX-i (X=nomor
komputer), Data Group1 dan Data Group2.
4. Isilah kedua subfolder tersebut dengan beberapa file sembarang.
5. Pengaturan Izin Akses bagi folder Data UserX-i:
a. Klik-kanan pada subfolder Data UserX-i, pilih Properties. Klik tab Security lalu klik
Add. Pada text box Enter the object names to select, ketikkan userX-i, lalu klik OK.
[Bila user yang Anda ketikkan benar (telah ada usernya), akan ditampilkan jendela
properties lagi. Namun jika username salah, ditampilkan jendela Name Not Found)]
b. Pada jendela Data UserX-i Properties tab Security, klik user userX-i pada daftar
Group or user names, lalu centang pilihan Write. Ini untuk memberi izin akses write
bagi userX-i.
c. Untuk menghapus hak akses subfolder ini bagi user lainnya, klik tombol Advanced.
Hilangkan centang pada Allow inheritable permission .(dst) lalu klik Copy. Klik
OK untuk kembali ke jendela Data UserX-i Properties.
d. Pada jendela Data UserX-i Properties tab Security, klik Users pada daftar Group or
user names, lalu klik tombol Remove. Ini untuk menghapus hak akses bagi user
lainnya.
e. Untuk menutup jendela Data UserX-i Properties, klik OK.
6. Pengaturan Izin Akses bagi folder Data Group1:
a. Klik-kanan pada subfolder Data Group1, pilih Properties. Klik tab Security lalu klik
Add. Pada text box Enter the object names to select, ketikkan Group1, lalu klik
OK.
III - 11

b. Pada jendela Data Group1 Properties tab Security, klik user Group1 pada daftar
Group or user names, lalu centang pilihan Write. Ini untuk memberi izin akses write
bagi user-user yang menjadi member Group1.
c. Untuk menghapus hak akses subfolder ini bagi user lainnya, klik tombol Advanced.
Hilangkan centang pada Allow inheritable permission .(dst) lalu klik Copy. Klik
OK untuk kembali ke jendela Data Group1 Properties.
d. Pada jendela Data Group1 Properties tab Security, klik Users pada daftar Group or
user names, lalu klik tombol Remove. Ini untuk menghapus hak akses bagi user
lainnya.
e. Untuk menutup jendela Data Group1 Properties, klik OK.
7. Ulangi langkah 6 di atas untuk subfolder Data Group2.
Perhatikan bahwa pada text box Enter the object names to select (langkah 6.1), harus
diketikkan Group 2, lalu klik OK. Pada langkah 6.b, yang diberi hak akses Write juga
adalah Group 2.
8. Ujilah hasil share folder dan izin akses bagi user dan group pada klien dengan login
sebagai

userX-i, userX-j, userX-k dan userX-l pada klien, lalu mencoba mengakses

ketiga subfolder tersebut.

III - 12