October 2010 - Posts
Rekan-rekan, dalam mengelola policy dari suatu lingkungan forest yang masih memiliki sejumlah legacy operating system, seperti Windows Server 2003/2003 R2 kita sering dihadapkan pada keterbatasan dukungan yang secara built-in tidak tersedia dalam group policy Windows Server 2008 R2.
Sebagai contoh, jika dalam struktur Active Directory Domain Services kita memiliki suatu organizational unit (OU) katakanlah OU Legacy Server Branches dimana pada OU ini berisi server-server yang menggunakan legacy operating system, i.e. Windows Server 2003/2003 R2 dan kemudian kita dihadapkan pada keharusan melakukan hardening dengan mematikan sejumlah service yang tidak diperlukan, maka cara termudah adalah dengan menggunakan group policy. Bila dalam group policy ternyata tidak kita temukan service tertentu, semisal adalah world wide web publishing services, maka yang kita lakukan adalah mendefinisikan secara eksplisit service yang dimaksud dengan mencari tahu dulu nama dari service tersebut.
Berikut contoh cara mendefinisikan policy dalam mematikan service world wide web publishing services dan Help and support services yang terdapat pada Server Windows Server 2003/2003 R2 dengan menggunakan Preferences pada GPO di Windows Server 2008 R2:
Computer Configuration>Preferences>Control Panel Settings>Services. Klik-kanan Services, pilih New>Service
Untuk www publishing service, nama servicenya adalah W3SVC, sedangkan untuk Help and Support bernama helpsvc.
Masing-masing pada tab General, pastikan pada Startup:Disabled yang kita pilih.
Hasil seting secara final sebagai berikut:
Catatan penting :
- GPO baru ter-apply jika Server yg running Windows Server 2003 direstart
- Tiap Server Windows Server 2003/2003 R2 harus terinstal GPO preferences untuk Windows Server 2003 (http://www.microsoft.com/downloads/en/confirmation.aspx?FamilyId=29E83503-7686-49F3-B42D-8E5ED23D5D79&displaylang=en)
Semoga dapat bermanfaat….. :-)
Pesan kesalahan :
SQL Server Setup has encountered the following error: Invoke or BeginInvoke cannot be called on a control until the window handle has been created.
ini muncul saat saya menginstalasi MS SQL Server 2008 Express edition pada virtual machine yang menggunakan Windows Server 2008 R2 untuk keperluan pemenuhan persyaratan instalasi Active Directory Migration Tool (ADMT) 3.2. Karena ADMT 3.2 belum mendukung MS SQL Server 2008 R2 Express, saya mendownload versi lamanya dan kemudian saya jalankan executable filenya. Prosesnya adalah file ini akan melakukan ekstraksi ke sebuah folder dengan nama yang acak seperti ini.
Setelah selang beberapa saat kemudian, muncul pesan kesalahan seperti berikut:
Cara mengatasinya cukup mudah. Begitu hasil ekstraknya selesai, Anda cukup lakukan copy semua hasil ekstrak file installer SQL Server 2008 Express ini ke suatu folder, misalkan folder C:\Temp, kemudian jalankan file setup.exe nya kembali dan segera tutup Windows Explorer Anda yang terbuka.
Sesaat kemudian proses instalasinya akan berjalan normal seperti yang kita harapkan.
Dengan munculnya Wizard SQL Server Installation Center, Anda lakukan pemilihan ke tahapan Installation, dan pilih New SQL Server stand-alone installation or add feature to an existing SQL Server instance.
Dan seterusnya hingga instalasi selesai dilakukan……
Cara lainnya adalah dengan menginstal MS SQL Server 2008 Express SP1, bugs yang disebutkan di atas telah teratasi.
Semoga dapat bermanfaat…..
Kasus dimana ordinary user dapat melakukan joining ke domain dengan menggunakan privilege mereka, masih dapat dilakukan di domain Windows Server 2008 R2.
Misalkan kita memiliki sebuah user account, dan kita tempatkan di suatu OU (pada dasarnya tidak masalah berada di kontainer atau OU manapun).
Kemudian lakukan login ke sebuah komputer desktop sebagai local administrator. Jika kita tes untuk menjoinkan komputer desktop tersebut ke domain dengan menggunakan privilege user Andi, pasti dapat dilakukan dengan sukses, karena secara default, ordinary user dapat menjoinkan workstation maksimal 10 cukup dengan menggunakan privilege yang mereka miliki.
Bagaimana dengan disjoin domain? Apakah reguler user ini masih dapat melakukannya? Mari kita lihat. Kembali lakukan login sebagai user reguler ke domain.
Kembali buka Properti dari Computer.
Kemudian klik Change settings.
Kegagalan yang akan kita temui. Jadi reguler user hanya dapat menjoinkan workstation mereka tetapi tidak dapat mendisjoinkannya.
Mengapa hal ini dapat terjadi? Kita dapat menceknya dengan membuka Default Domain Controller Policy, melalui Group Policy Management, sebagai berikut. Yang kita perlu lihat adalah right untuk Add workstation to domain, seperti berikut ini.
Pada gambar di atas, terlihat bahwa Autenticated Users memiliki right untuk men-joinkan workstation ke domain. Dengan melakukan perubahan pada Group Policy ini, Anda dapat meningkatkan keamanan dari Active Directory Domain Services (ADDS) Anda. Semoga dapat bermanfaat….