Managemen User dan Group Windows Server 2003

Adnan TeKaJe2 - Setelah sistem operasi Windows Server 2003 selesai diinstalasi, pengguna telah dibuatkan dua user dan beberapa group secara default. User yang telah disediakan adalah Administrator dan Guest. User Administrator merupakan anggota dari group Administrators yang berkuasa penuh atas manajemen jaringan, sedangkan user Guest adalah anggota dari group Guest yang tidak memiliki kekuasaan seperti Administrators dan bahkan secara default masih dinonaktifkan (disabled).

Untuk memberi hak akses berbagai sumberdaya jaringan kepada para pengguna, maka harus dibuatkan user account dan group bagi tiap pengguna. Windows Server 2003 mengenali seorang pengguna serta hak-hak yang dimilikinya berdasarkan user dan group yang terdapat di Domain Controller.

Representasi seorang pengguna dalam sebuah jaringan adalah user account (untuk selanjutnya disebut account). Sebuah account biasanya diberi nama sesuai dengan nama pengguna yang bersangkutan, atau dengan nama khusus sesuai dengan tujuan dibuatnya account tersebut. Beberapa account dapat digabungkan dalam satu atau lebih group. Fungsi group adalah menggolongkan account ke dalam kelompok-kelompok tertentu sesuai dengan hak yang akan diberikan. Biasanya account yang berada dalam satu group memiliki hak akses yang sama terhadap sumber daya jaringan tertentu. Dengan menggunakan group tersebut maka pekerjaan administrator akan menjadi lebih mudah, karena hak akses cukup diterapkan terhadap suatu group daripada harus menetapkan policy satu per satu untuk tiap account.

User account digunakan oleh pengguna untuk login ke domain Windows Server 2003 dalam jaringan. Berdasarkan ruang lingkupnya, user account dapat dibedakan menjadi 2 jenis, yaitu local user account dan domain user account.

A.Local User Account

Adalah account yang terdapat di suatu komputer baik DC maupun klien, dan hanya dapat digunakan untuk login ke komputer tempat account tersebut dibuat. Konsep local user account dan domain user account ini sangat penting dipahami, terutama bila klien menggunakan Windows 2000 maupun Windows XP. Demikian juga jika klien menggunakan Windows NT baik Workstation maupun Server.

Dalam arsitektur Windows NT dan Windows 2000/XP, setiap komputer memiliki user dan group sendiri yang hanya berlaku untuk komputer tersebut saja. Selain itu terdapat account di level domain yang dibuat di DC dan memiliki ruang lingkup untuk semua komputer di dalam domain.

b. Domain User Account

Domain user account adalah account yang memiliki cakupan di seluruh domain, dan dibuat dengan menggunakan faslitas AD yang terdapat di DC. Domain account dibuat di DC dan dapat digunakan oleh pengguna untuk login ke dalam jaringan dari komputer manapun selama hak login tersebut diberikan.

Berbeda dengan local account, domain account memiliki lingkup (scope) untuk seluruh domain, sehingga policy yang ditetapkan untuk suatu account akan berlaku pula di seluruh domain. Misalnya suatu account diberikan hak untuk menggunakan printer A yang terdapat di komputer B. Maka pengguna yang menggunakan account tersebut dapat menggunakan printer A tanpa dipengaruhi di komputer mana pengguna tersebut sedang bekerja.

Gambar 4.1 berikut menggambarkan kedudukan domain account dan local account dalam sebuah domain.

Apabila seorang pengguna login ke domain menggunakan domain account maka policy yang ditetapkan adalah di level domain, yang dibuat oleh administrator melalui fasilitas Active Directory. Data domain account tersebut tersimpan di DC. Apabila dalam jaringan terdapat lebih dari satu DC maka data domain account tersebut direplikasikan di semua DC. Dengan demikian konfigurasi policy untuk suatu account yang terdapat di AD akan tetap diterapkan terlepas dari komputer mana seorang pengguna melakukan login. Selama komputer tersebut masih berada dalam satu domain maka policy tersebut akan tetap diterapkan.

Sedangkan local account berlaku sebaliknya, yaitu hanya memiliki lingkup di suatu komputer tertentu. Misalkan pada gambar di atas pengguna menggunakan local account yang terdapat di Klien1 untuk login ke komputer tersebut, maka akan diterapkan policy yang hanya berlaku di Klien1. Account yang dibuat di Klien1 tidak dapat digunakan untuk login ke Klien2, begitu juga sebaliknya. Berbeda dengan account yang terdapat di DC dapat digunakan untuk login ke Klien1 dan Klien2, karena informasi account tersebut tersimpan di AD.

Group Account

Group account merupakan sekumpulan user account, di dalamnya dapat terdiri dari user account atau group account lainnya. Jadi tidak ada halangan suatu group beranggotakan group lain. Sebagaimana telah diterangkan sebelumnya, group account sangat memudahkan pengaturan jaringan karena policy yang diterapkan di suatu group akan diterapkan pula.terhadap anggota group tersebut. Dengan demikian, maka user yang memiliki hak yang sama dapat dikelompokkan dalam satu group.Saat membuat group, tersedia beberapa jenis pilihan untuk menentukan ruang lingkup dan tipe group yang dibuat. Penting bagi administrator memahami dengan baik ruang lingkup dan tipe dari tiap jenis group.

Group Scope

Windows Server 2003 memberikan tiga macam ruang lingkup group (group scope) yang dapat dibuat, yaitu group lokal (local group), group global (global group) dan group universal (universal group). Perbedaan ketiga group tersebut bukan bergantung pada isi group, melainkan pada lingkup kemampuan masing-masing group.

a. Domain Local Group

Group lokal memiliki hak izin dan security pada tempat group tersebut dibuat. Dengan kata lain, group lokal adalah group yang ada di lingkungannya sendiri, tidak berhubungan dengan jaringan lain.

Jika server difungsikan sebagai Active Directory Domain Controllers, maka group lokalnya menjadi domain local group. Jika server tersebut berhubungan dengan server lain (domain server) sehingga berfungsi sebagai member server, maka group lokalnya dapat menerima group global dari domain server tersebut untuk dijadikan sebagai anggotanya sehingga dapat mengakses sumber dari member server tersebut.

Domain local group biasanya digunakan untuk memberikan hak akses terhadap sumber daya jaringan tertentu dalam suatu domain, misalnya printer, folder, file maupun hardware lainnya. Karakteristik domain local group adalah :

- Dapat beranggotakan user atau group dari domain manapun

- Hanya dapat digunakan untuk memberikan hak akses yang terdapat di domain dimana group tersebut   dibuat.

- Group ini hanya dapat dilihat di domain dimana group tersebut dibuat

Dengan kata lain, group lokal dapat mempunyai anggota group global, group universal dari domain lain, dan group lokal lain dalam domain yang sama asalkan Windows Server 2003 disetup dalam mode native.

b. Global Group

Group global biasanya digunakan untuk memberikan hak akses kepada user atau group yang memiliki kesamaan hak akses terhadap sumber daya jaringan tertentu.Group ini dapat beranggotakan user dan group global lain dari domain mana saja asal domain disetup dalam mode mixed. Sedangkan pada mode native, group global hanya dapat beranggotakan user atau group global yang terdapat di domain yang sama. Group ini dapat dilihat dari domain manapun dalam jaringan

c. Universal Group

Group universal hanya dapat dibuat jika server disetup pada mode native. Group ini memiliki karakteristik yang merupakan gabungan dari domain local group dan global group. Anggota group ini dapat berupa user, group global dan group universal lainnya dari domain mana saja dan dapat memberikan akses ke sumber domain apa saja. Group jenis ini biasa digunakan apabila terdapat user atau group yang memerlukan hak akses sumber daya jaringan lintas domain. Misalnya untuk mobile user yang sering berpindah kota, dan harus mengakses file di tiap-tiap kota tersebut. Group ini dapat dilihat dari domain manapun dalam jaringan.

Karena karakteristik group universal yang sangat fleksibel tersebut, disarankan kepada administrator untuk tidak menggunakan group ini kecuali benar-benar dibutuhkan. Penggunaan group universal tanpa kontrol yang baik akan memperbesar kemungkinan lubang keamanan dalam jaringan.

Group Type

Berdasarkan fungsinya, terdapat dua jenis group yaitu Security Group dan Distribution Group.

a. Security Group

Security group sama seperti user group pada Windows NT, yang digunakan untuk mengontrol pemberian hak dan akses terhadap sumberdaya jaringan tertentu. Windows Server 2003 menggunakan security group dalam penentuan hak suatu account, termasuk juga untuk melakukan suatu job tertentu untuk sekumpulan user. Penggunaan praktisnya antara lain pemberian hak akses terhadap suatu file, atau mendistribusikan e-mail ke sekelompok user. Security group memiliki semua kemampuan dan fungsi distribution group, tetapi tidak sebaliknya.

b. Distribution Group

Distribution group digunakan untuk berbagai fungsi yang tidak terkait dengan masalah security atau pemberian hak akses, melainkan hanya dipakai sebagai distribusi seperti distribution list pada exchange server, untuk mendistribusikan pesan kepada sekelompok user.Integrasi dengan active directory memungkinkan administrator menyampaikan pesan atau distribusi file ke sekelompok user yang dimasukkan dalam distribution group.

Group Default

Secara default, Windows Server 2003 telah membuatkan beberapa group, di antaranya group domain lokal yang juga telah diberikan hak izin pada group tersebut. Group domain lokal tersebut di antaranya terdiri dari:

a. Administrators

Administrators merupakan group yang memiliki kekuasaan tertinggi dan dapat mengontrol seluruh fasilitas kemampuan Windows Server 2003. User yang telah dibuatkan untuk menjadi anggota group ini adalah Administrator.

b. Server Operators

Anggota dari group ini dapat mengelola domain controller, mempunyai kekuasaan seperti anggota dari group Administrators seperti membuat, mengatur dan menghapus share printer, backup file dan direktori, logon pada komputer server dan mengakhiri server (shutdown). Group ini tidak dapat mengatur sekuritas pada server.

c. Account Operators

Anggota group ini dapat membuat, menghapus atau memodifikasi user, group global dan group lokal yang dibuatnya. Account operators tidak dapat menghapus atau memodifikasi group Administrators, Server Operators, Backup Operators, Print Operators dan Domain Admins.

d. Print Operators

Anggota group ini dapat membuat, mengelola dan menghapus share printer, logon pada komputer server dan melakukan shutdown server.

e. Backup Operators

Anggota dari group ini dapat melakukan proses backup file dan direktori dari server serta mengembalikannya kemudian (restore). Anggota group ini juga dapat logon pada server dan melakukan proses shutdown server.

f. Replicator

Anggota group ini difungsikan untuk melakukan proses replika folder / direktori.

g. Users Group

ini merupakan group default bagi setiap account user yang dibuat di server. Setiap user yang dibuat secara otomatis dimasukkan sebagai anggota group ini. Anggota groupini hanya dapat menjalankan program aplikasi, mengelola file dan direktori, menggunakan printer dan membuat profil miliknya sendiri. Anggota group ini juga tidak dapat logon pada komputer server, melainkan harus melalui workstation, kecuali telah diberi hak untuk logon pada server.

h. Guest Anggota

group ini hampir sama dengan group Users tetapi fasilitas yang dimiliki tidak sebanyak group Users, seperti tidak dapat membuat group lokal. Secara default, anggota group Guest adalah user Guest, namun belum dapat diakses karena status account semula adalah disabled.