Manajemen User dan Group
Representasi seorang pengguna dalam sebuah jaringan adalah user account (untuk selanjutnya disebut account). Sebuah account biasanya diberi nama sesuai dengan nama pengguna yang bersangkutan, atau dengan nama khusus sesuai dengan tujuan dibuatnya account tersebut.
Beberapa account dapat digabungkan dalam satu atau lebih group. Fungsi group adalah menggolongkan account ke dalam kelompok-kelompok tertentu sesuai dengan hak yang akan diberikan. Biasanya account yang berada dalam satu group memiliki hak akses yang sama terhadap sumber daya jaringan tertentu. Dengan menggunakan group tersebut maka pekerjaan administrator akan menjadi lebih mudah, karena hak akses cukup diterapkan terhadap suatu group daripada harus menetapkan policy satu per satu untuk tiap account.
4.1 Membuat dan Mengatur User Account
User account digunakan oleh pengguna untuk login ke domain Windows 2000 dalam jaringan.
Berdasarkan scope nya user account dapat dibedakan menjadi 2 jenis :
1. Local user accountAdalah account yang terdapat di suatu komputer baik DC maupun klien dan hanya dapat digunakan untuk login ke komputer dimana account tersebut dibuat. Konsep local user account dan domain user account ini sangat penting dipahami, terutama bila komputer klien menggunakan Windows 2000 Professional / Server maupun Windows XP. Demikian juga jika klien menggunakan Windows NT baik Workstation maupun Server. Dalam arsitektur Windows NT dan Windows 2000/Xp, setiap komputer memiliki user dan group sendiri yang hanya berlaku untuk komputer tersebut saja. Selain itu terdapat account di level domain yang dibuat di DC dan memiliki scope untuk semua komputer di dalam domain.
2. Domain user account
Domain user account adalah account yang memiliki cakupan di seluruh domain, dan dibuat dengan menggunakan faslitas AD yang terdapat di DC. Domain account dibuat di DC dan dapat digunakan oleh pengguna untuk login ke dalam jaringan dari komputer manapun selama hak login tersebut diberikan.
Berbeda dengan local account, domain account memiliki scope untuk seluruh domain sehingga policy yang ditetapkan untuk suatu account akan berlaku pula di seluruh domain. Misalnya suatu account diberikan hak untuk menggunakan printer A yang terdapat di komputer B. Maka pengguna yang menggunakan account tersebut dapat menggunakan printer A tanpa dipengaruhi di komputer mana pengguna tersebut sedang bekerja.
Bagan berikut menggambarkan kedudukan domain account dan local account dalam sebuah domain :
- Windows 2000 Server
- Domain Controller
- Klien1
- Windows 2000/Xp
- Klien2
- Windows NT
- Domain User1
- Domain User2
- Domain User3
- Local User1
- Local User2
- Local User3
- Local User1
- Local User2
- Local User3
Sedangkan local account berlaku sebaliknya, yaitu hanya memiliki lingkup di suatu komputer tertentu. Misalkan dalam gambar diatas menggunakan local account yang terdapat di Klient1 untuk login ke komputer tersebut, maka akan diterapkan policy yang hanya berlaku di Klien1. Account yang dibuat di Klien1 tidak dapat digunkan untuk login ke Klien2, begitu juga sebaliknya. Tetapi account yang terdapat di DC dapat digunakan untuk login ke Klien1 dan Klien2, karena informasi account tersebut tersimpab di AD.
Latihan 4.1
Membuat User Account
Dalam latihan ini anda akan membuat account di DC sehingga account tersebut merupakan domain account. Penulis mengasumsikan anda sudah menginstal Windows 2000 dan mengkonfigurasikannya sebagai DC sebagaimana dijelaskan di Bab 2.Lakukan login ke DC anda sebagai Administrator dengan menggunakan user name dan password yang telah anda buat di Bab 2. Anda tidak akan dapat membuat user dan group apabila tidak login sebagai administrator.
Buka Menu Start > Program > Administrative Tools > Active Directory User and Computer untuk menampilkan menu konfigurasi user, group dan berbagai obyek AD. Alternatif lain adalah dengan menggunakan MMC yang telah anda buat di Bab 3 mengenai Active Directory. Pada gambar berikut terlihat AD dengan domain bernama Matrik.com. Di folder user terlihat beberapa user baik yang dibuat sendiri maupun built in user. Untuk membuat user baru, klik kanan di area kosong yang terdapat di jendela sebelah kanan. Pilih New > User. Alternatif lain adalah dengan mengklik kanan folder atau OU tertentu yang terdapat dibawah domain. Misalnya anda mengklik kanan OU Sales maka user account yang dibuat akan
langsung ditempatkan di bagian Sales.
Setelah tampil dialog New Object-User, isikan data untuk user yang akan dibuat. Data First name, Last name, dan Intials merupakan data yang akan ditampilkan dijendela AD Users and Computers. Sedangkan data yang digunakan untuk login ke jaringan adalah User logon name. Dengan demikian anda dapat saja memberikan nama yang berbeda antara nama seorang pengguna dangan logon name yang digunakan sebagai account login. Penulis menyarankan untuk tetap menggunakan nama yang berkaitan dengan nama user yang sebenarnya untuk menghindari kesulitan administrasi di kemudian hari. Selain itu terdapat logon name untuk pre-windows 2000 yang digunakan untuk login dari Klien yang tidak memakai Windows 2000 seperti Windows 98 atau NT. Secara default bagian ini langsung terisi sama dengan logon name untuk Windows 2000.
Isikan password untuk user tersebut, dan ulangi pengisian di bagian Confirm password. Apabila anda menghendaki pengguna menetapkan passwordnya sendiri, aktifkan User must change password at next logon. Dengan demikian seorang pengguna dapat mengganti password yang anda berikan, sehingga lebih menjamin privacy pengguna tersebut. Note : penetapan penggantian password oleh pengguna saat pertama kali login dapat membawa masalah tersendiri apabila anda tidak memberikan keterangan yang cukup kepada para pengguna.
Penulis sering menjumpai pengguna pemula, apalagi yang kurang memahami bahasa Inggris menganggap permintaan penggantian password oleh komputer saat login pertama sebagai error yang harus ditangani. Apabila terdapat 50 pengguna semacam ini dalam jaringan anda, maka bersiaplah untuk menerima telepon komplain yang sebenarnya tidak diperlukan Setelah pengisian selesai, klik Next dan akan tampil kotak konfirmasi berisi data user yang telah dibuat.
Setelah proses pembuatan user selesai, tampak user bernama Alisha Fatah terdapat di jendela kanan MMC anda. Note : Anda harus selalu ingat bahwa Alisha Fatah adalah nama untuk user tersebut, sedangkan
untuk login ke jaringan harus menggunakan account : Lisha. Penulis sering menjumpai administrator pemula salah menafsirkan dan tidak dapat membedakan antara User name dan Logon name.
Ulangi kembali langkah-langkah diatas untuk membuat user lain sebagai berikut :
No Nama Logon Name
1 Santika W Ika
2 Dina Amari Dina
3 Amru Rosyada Dadang
User yang dibuat tersebut akan digunakan sebagai latihan dalam pelajaran berikutnya.
Mengatur Property User
Setelah account untuk user dibuat maka perlu dikonfigurasi property untuk account tersebut sesuai hak dan policy yang akan diterapkan. Berikut dijelaskan beberapa jenis property yang sering digunakan dalam administrasi jaringan, dan untuk lebih lengkapnya mengenai properti account tersebut anda dapat merujuk pada help file Windows 2000 Server yang cukup lengkap pembahasannya.Porperty account diakses dengan mengklik ganda suatu account atau dengan mengklik kanan dan memilih Properties.
Selanjutnya akan tampil jendela pengaturan property user sebagai berikut :
Pada bab ini hanya akan dibahas tab Account dan Member Of dari 12 tab yang terdapat di jendela tersebut. Pembahasan untuk fungsi-fungsi lain akan dilakukan pada bab-bab berikutnya. Membatasi Waktu Login
Anda dapat membatasi waktu login user di jaringan dengan menekan tombol Logon Hours yang terdapat di tab Account. Misalnya ada user yang hanya boleh mengakses jaringan dari jam 08.00 s/d 17.00, maka anda dapat menerapkan pembatasan waktu terhadap user tersebut.
Pembatasan ini sering digunakan untuk menghindari adanya pengguna yang mengakses sumber daya jaringan di luar jam kerja, atau menghindari penyalahgunaan account oleh pihak yang tidak berkepentingan. Gambar berikut menunjukkan setting untuk user Lisha yang hanya diperbolehkan login dari hari Senin s/d Jumat jam 08:00 s/d 18:00.
Blok warna menunjukkan user tersebut diijinkan login, sedangkan blok putih menunjukkan waktu dimana user tersebut tidak diijinkan login. Perlu diketahui bahwa pembatasan tersebut adalah untuk login ke domain atau ke jaringan. Sedangkan bila pengguna tersebut login ke komputer lokal (bila memakai Win NT/2000) maka tetap bisa dilakukan.
Dari Komputer Mana Boleh Login ?
Pembatasan lain yang dapat dilakukan adalah dari komputer mana seorang pengguna dapat login ke jaringan. Secara default account yang dibuat dapat digunakan di semua workstation dalam jaringan.Anda dapat membatasi komputer yang daapt digunakan untuk login oleh suatu account, dengan mengklik tombol Log On To yang terdapat di tab Account. Pembatasan tersebut biasanya bertujuan agar pengguna yang berbeda bagian / departemen tidak dapat memakai komputer milik departemen lain.
Terlihat dimasukkan nama komputer Purchasing dan Akunting, sehingga account tersebut hanya dapat digunakan untuk login dari 2 komputer tersebut. Pada bagian Computer name dimasukkan nama komputer, yang dapat anda lihat di property Network Neighbourhood (Win98/ NT) atau My Network Places (Win 2000).
Note : Fasilitas ini menggunakan protocol NetBIOS, sehingga anda harus mengaktifkan protocol
tersebut di Windows 2000 Server. Sistem Operasi Windows non Windows 2000 menggunakan NetBIOS untuk me-resolve nama komputer, sedangkan Windows 2000 mengunakan sistem DNS.
Penggunaan NetBIOS dalam fasilitas ini adalah pengecualian, karena kemungkinan terdapat klien yang belum menggunakan Windows 2000. Untuk mengaktifkan NetBIOS di Windows 2000 anda dapat melihat petunjuknya di help Windows 2000 dengan keyword NetBT.
Pengaturan Group untuk Account
Beberapa account dapat dikelompokkan menjadi group sesuai dengan kepentingan administrasinya. Dengan mengelompokkan beberapa account menjadi group maka policy dan hak untuk suatu account cukup diterapkan di level group saja, tanpa perlu menerapkan satu per satu ke tiap account.Pengaturan group untuk user terdapat di tab Member Of, apabila anda klik tombol Add akan tampil dialog Select Groups yang menampilkan nama-nama group ynag tersedia. Group tersebut dapat merupakan built in group maupun yang anda buat sendiri selaku administrator.
Sebuah account dapat menjadi anggota satu atau lebih group, tergantung kepentingan administrativenya. Dalam gambar di atas terlihat user Lisha dimasukkan sebagai anggota group Administrator.
Menonaktifkan Account
Sebuah account dapat dinonaktifkan sehingga account tersebut tidak dapat digunakan oleh pemiliknya. Biasanya fasilitas ini digunakan apabila ada seorang pengguna yang cuti atau tugas keluar kota sementara waktu sehingga accountnya perlu dinonaktifkan. Tujuannya adalah agar account tersebut tidak disalahgunakan oleh pengguna lain yang tidak berhak. Apbila suatu account diklik kanan maka tampil context menu, pilihlah Disable Account untuk menonaktifkan account tersebut.Untuk mengaktifkan kembali account tersebut, klik Enable Account dari menu yang sama.
Mereset Password
Sering ditemui seorang user lupa passwordnya, sehingga anda perlu mereset password tersebut dan memberikan password baru. Menu yang digunakan sama dengan menonaktifkan account dengan memilih Reset Password dari context menu.Selanjutnya anda dapat mengisikan password baru untuk account tersbut dan menentukan pilihan apakah user perlu mengganti passwordnya pada saat login atau tidak.
Mengedit Nama dan Logon
Tab General dan Account account menyediakan fasilitas untuk mengganti Nama dan Logon Name seorang pengguna. Sebagaimana telah diterangkan sebelumnya, Name adalah nama yang didisplay untuk suatu account. Sedangkan nama yang digunakan untuk login adalah logon Name. Anda dapat langsung menghapus dan mengganti data Name dan deskripsi lainnya di tab General tersebut.Sedangkan penggantian Logon Name tersedia di tab Account.
Menghapus Account
Apabila suatu account sudah tidak diperlukan lagi, anda dapt menghapusnya dengan sanga mudah. Sorot account yang akan dihapus dan tekan tombol Delete pada keyboard anda. Alternatif lain adalah dengan memilih Delete pada context menu sebagaimana cara mereset password diatas. Windows 2000 akan menampilkan dialog konfirmasi untuk menegaskan kebenaran perintah penghapusan tersebut.Latihan 4.2
Mengedit dan Mengatur Account
Dalam latihan ini anda akan merubah beberapa property user Lisha yang telah dibuat di Latihan 4.1.1. Buka menu Administrative Tools > Active Directory Users & Computers, lalu tampilkan property untuk account Lisha.
2. Tambahkan keterangan alamat E-Mail di tab General denga alamat lisha@hotmail.com
3. Klik tab Account dan tentukan pembatasan jam login dengan menekan tombol Logon hours. Tetapkan hak login sepanjang hari kecuali hari minggu.
4. Selanjutnya klik tab Member Of dan klik tombol Add untuk memunculkan daftar nama group yang tersedia di domain. Pilih group Administrators lalu klik Add untuk menambahkan group tersebut ke daftar Member of. Dengan demikian account lisha tersebut menjadi anggota group Administrator dan memiliki hak penuh untuk melakukan berbagai konfigurasi server.
5. Klik OK untuk mengakhiri Konfigurasi.
4.2 Membuat dan Mengatur Group Account
Setelah anda membuat user account, maka langkah selanjutnya adalah membuat group account yang digunakan untuk memudahkan administasi jaringan. Group account merupakan sekumpulan user account, di dalamnya dapat terdiri dari user account atau group account lainnya. Jadi tidak ada halangan suatu group beranggotakan group lain. Sebagaimana telah diterangkan sebelumnya, group account sangat memudahkan pengaturan jaringan karena policy yang diterapkan di suatu group akan diterapkan pula terhadap anggota group tersebut. Ketika anda membuat group maka tersedia beberapa jenis pilihan untuk menentukan tipe group yang dibuat. Penting bagi anda selaku administrator memahami dengan baik type dan ruang lingkup dari tiap jenis group.
- Type Group Account
- Security Group
- Distribution Group
- Group Scope
memiliki scope tersendiri.
Gambar di atas menunjukkan pilihan scope dan type group yang tersedia ketika anda membuat
sebuah group.
Untuk memahami scope dan type tersebut, sebaiknya anda memikirkan sebuah jaringan Windows
2000 dalam skala besar, yang terdiri dari beberapa domain dan bergabung menjadi tree atau forest
sebagaimana telah dijelaskan dalam Bab 2.
- Domain Local Group
jaringan tertentu dalam suatu domain, misalnya printer, folder, file maupun hardware lainnya.
Karakteristik domain local group adalah :
1.Dapat beranggotakan user atau group dari domain manapun
2.Hanya dapat digunakan untuk memberikan hak akses yang terdapat di domain dimana group tersebut dibuat.
3.Group ini hanya dapat dilihat di domain dimana group tersebut dibuat
- Global Group
1. Hanya dapat beranggotakan user atau group yang terdapat di domain dimana group trsebut dibuat
2. Dapat digunakan untuk memberikan hak akses yang terdapat di domain manapun, meskipun bukan di domain asal group tersebut.
3. Group ini dapat dilihat dari domain manapun dalam jaringan
- Universal Group
1. Dapat beranggotakan user atau group dari domain manapun
2. Dapat digunakan untuk memberikan hak akses yang terdapat di domain manapun
3. Group ini dapat dilihat dari domain manapun dalam jaringan
4. Tersedia apabila semua DC menggunakan Windos 2000 Server (Native Mode)
Note : Pemula Windows 2000, apalagi yang belum pernah mengenal dunia jaringan komputer sering sulit untuk memahami tujuan dibuatnya scope dan type masing-masing group tersebut.
Apabila anda mengelola jaringan 1 domain dengan hanya 30 PC, pemahaman type dan scope tersebut mungkin tidaklah terlalu penting. Ketika anda mengelola 100 PC dengan 2 atau 3 domain, maka anda akan menemukan bahwa konsep active directory, termasuk di dalamnya type dan scope group tersebut menjadi sangat berguna untuk menentukan policy dan pembuatan group dalam jaringan.
Untuk membuat sebuah group anda menggunakan menu yang sama dengan membuat user account yaitu dari console Active Directory Users and Computers. Klik Menu Action > New > Group atau dengan mengklik kanan pada ruang kosong di console tersebut.
Selanjutnya anda dapat mengisikan nama group, type dan scopenya sesuai dengan deskripsi yang telah dijelaskan di atas. Apabila dalam jaringan anda terdapat komputer yang menggunakan sistem operasi non windows 2000 maka perlu diisikan group name untuk pre Windows 2000. Secara default bagian ini terisi sama dengan group name nya.
Dalam gambar di atas terlihat dibuat group bernama Sales dengan type Security dan scope nya adalah global. Dengan demikian Sales merupakan global group yang dapat dilihat dari domain manapun di dalam jaringan, tetapi hanya dapat beranggotakan user/group yang berada di domain yang sama dengan domain asal group Sales tersebut.
Untuk mengedit property group tersebut, anda tinggal mengklik kanan nama group tersebut untuk menampilkan jendela property nya.
Tab Members berisi daftar user account yang menjadi anggota group Sales tersebut. Anda dapat menambahkan user untuk menjadi anggota group tersebut dengan menekan tombol Add untuk menampilkan daftar user sebagai berikut:
Pada bagian dialog Select users terdapat drop down combo Look in dimana anda dapat memilih dari domain mana user account yang akan dimasukkan. Tampak domain Matrik.com yang telah dibuat penulis untuk latihan ini. Apabila anda memiliki lebih dari satu domain di jaringan, maka akan terlihat beberapa domain yang masing-masing memiliki user dan group.
Pada bagian ini juga terliha komputer lain yang menggunakan Windows 2000, dimana di dalam komputer tersebut terdapat user dan group dengan scope lokal untuk komputer tersebut saja. Anda dapat memasukkan local user di suatu komputer menjadi anggota domain group yang terdapat di domain server. Inilah yang disebut kemudahan administrasi terpusat yang memanfaatkan AD, karena anda dapat menambil dan mengatur user dan group yang terdapat di jaringan dari satu tempat saja.
Penggunaan tools ini akan dibahas lebih lanjut di bab-bab selanjutnya.
Pada tab Member of terdapat daftar nama group yang menjadi induk group sales tersebut. Artinya sebuah group dapat menjadi anggota dari group lain di atasnya, begitu seterusnya.
Latihan 4.3 Membuat Group Account
Buatlah beberapa group sesuai dengan tabel berikut :
No Nama Group Type Scope
1 FileSales Security Domain Local
2 FileProduksi Security Domain Local
3 PrinterColor Security Domain Local
4 Sales Security Global
5 Produksi Security Global
6 IT Security Global
7 Akunting Security Global
Sumber : http://rajiman-13.blogspot.com/2008/05/bab-2.html
