bobby iskandar zulkarnain

Exchange 2010 Installation Issue : Hub Transport Role Installation Fails

Rekans, disaat proses instalasi Exchange 2010 untuk instalasi tipikal di atas Windows Server 2008 R2 dengan Exchange 2010 RTM version, yang akan diinstal meliputi Hub Transport Server, Client Access Server dan Mailbox Server role, dengan menggunakan command line seperti pada gambar berikut ini:

Terdapat kemungkinan kita akan mengalami kegagalan dengan pesan kesalahan sbb:

Error: The execution of: “$error.Clear(); if ($RoleStartTransportService) { start-SetupService -ServiceName MSExchangeTransport }”, generated the following error: “Service ‘MSExchangeTransport’ failed to reach  status ‘Running’ on this server.”

Hal ini umum terjadi jika kita mendisable IPv6 di Local Area Connection, solusinya hanya cukup enable IPv6, restart server dan jalankan kembali perintah untuk menginstal Hub Transport role-nya saja, karena role lainnya sudah pasti sukses terinstal.

Jalankan perintahnya, sbb: Setup /mode:install /roles:ht

Atau jika instalasinya menggunakan GUI, jalankan kembali setup untuk Hub Transport rolenya.

Demikian, semoga bermanfaat….

Share this post: | | | |

The Setup /PrepareDomain and its effect

Dear Friends,
As we know, the last step in preparing the Active Directory is to prepare our domain which is going to host Exchange Server 2010.

We type the setup /PrepareDomain at command prompt

Do you know that during the preparation of the domain, there shall be a container created at the root of the domain called "Microsoft Exchange Security Groups" ?

This container holds the following Security Groups:

• Exchange all hosted organizations
• Exchange organization administrators
• Exchange Public Folder administrators
• Exchange Recipient Administrators
• Exchange Self-Service users
• Exchange Servers
• Exchange Trusted Subsystem
• Exchange view-only administrators.
• Exchange Windows permissions.
• ExchangeLegacyInterop.

Share this post: | | | |

A Number of XML Files on \scripts folder from Exchange 2010 Installation Media

Rekan-rekan, jika saat memulai instalasi MS Exchange 2010, untuk instalasi prerequisuite, kita menggunakan perintah berikut dari command prompt:

ServerManagerCmd -i RSAT-ADDS

Dan kemudian setelah merestart server, kita lanjutkan kembali dengan menjalankan perintah berikut:

ServerManagerCmd -i Web-Server
ServerManagerCmd -i Web-ISAPI-Ext
ServerManagerCmd -i Web-Metabase
ServerManagerCmd -i Web-Lgcy-Mgmt-Console
ServerManagerCmd -i Web-Basic-Auth
ServerManagerCmd -i Web-Digest-Auth
ServerManagerCmd -i Web-Windows-Auth
ServerManagerCmd -i Web-Dyn-Compression
ServerManagerCmd -i Web-Net-Ext
ServerManagerCmd -i RPC-over-HTTP-proxy (Jika menggunakan Outlook Anywhere)
ServerManagerCmd -i Net-HTTP-Activation
ServerManagerCmd -i Desktop-Experience (Saat UM role diperlukan)

Atau dapat dibuat lebih ringkas menjadi:
ServerManagerCmd -i Web-Server Web-ISAPI-Ext Web-Metabase Web-Lgcy-Mgmt-Console Web-Basic-Auth Web-Digest-Auth Web-Windows-Auth
Web-Dyn-Compression Web-Net-Ext RPC-over-HTTP-proxy Net-HTTP-Activation Desktop-Experience

Seluruh perintah di atas diketikkan manual, dan rawan akan kesalahan/kekeliruan mengetikkan perintah, walau dapat juga menggunakan script, harus dibuatkan dulu scriptnya.

Microsoft mempermudah Exchange Administrator, dengan menyediakan sejumlah file XML (satu untuk tiap Server Role) yang mengautomatisasi instalasi seluruh software prerequisite yang terdapat pada folder Scripts di media instalasi Exchange 2010.

File-file tersebut misalkan Exchange-Hub.XML, Exchange-CAS.XML dan Exchange-MBX.XML. File-file ini dapat digunakan sebagai file input untuk aplikasi ServerManagerCmd.exe

Isi dari file Exchange-All.XML (file yang dapat digunakan untuk menginstal seluruh software prerequisite) seperti berikut:

Untuk menginstal software prerequisite untuk instalasi tipikal dari Exchange 2010, cukup gunakan perintah: ServerManagerCmd.exe -InputhPath Exchange-Typical.XML

Dengan demikian pekerjaan instalasi exchange menjadi lebih nyaman dan menyenangkan….:-))

Ok, semoga info sesaat ini dapat bermanfaat…..

Share this post: | | | |

Installing Components Using ServerManagerCmd

Kita dapat menentukan role, services, dan feature yang terinstal di suatu server dengan mengetikkan servermanagercmd -query di command prompt. Tiap-tiap role, role service dan feature di-highlight dan diberikan tanda, seperti yang tampil dalam beberapa gambar berikut ini:

Untuk tujuan dokumentasi dari konfigurasi server, kita dapat menyimpannya ke sebuah dile text standar dengan menggunakan simbol redirection (>) seperti yang ditunjukkan berikut:
servermanagercmd -query > MyServerConf.txt

Atau bisa dalam bentuk format xml:
servermanagercmd -query > MyServerConf.xml

Ketika dibuka hasil dari file format txt tadi sebagai berikut:

Instalasi componen menggunakan ServerManagerCMd

Kita dapat menginstal role, role service, dan features dengan mengetikkan servermanagercmd -install ComponentName pada command prompt. Kita dapat menginstal subordinat component dengan memasukkan seluruh parameternya, contohnya sbb:

servermanagercmd -install fs-dfs –allsubfeatures

Perintah di atas untuk menginstal Distributed File System role service dan juga sekaligus subordinat DFS Namespaces dan DFS Replication role services.

Saat kita menginstal berbagai komponen seperti sebelumnya, ServerManagerCMD menuliskan extended logging info ke %SystemRoot%\Logs\Servermanager.log Log ini berisi info detail tiap operasi yang dijalankan oleh ServerManagerCmd. Kita dapat menuliskan info detail ke lokasi alternatif dengan menyertakan parameter -logPath atau -l. Contohnya, untuk menuliskan info ke C:\Logs\Install.log

servermanagercmd -install fs-dfs -allsubfeatures -logPath c:\logs\install.log

Removing Components

Untuk menghapus komponen yang diinstal sebelumnya, kita menggunakan perintah servermanagercmd -remove component_name

contohnya, untuk menghapus komponen DFS tadi, kita bisa menggunakan:
servermanagercmd -remove fs-dfs –allsubfeatures

Info lebih jauh tentang ServerManagerCMD ini dapat merujuk ke sini http://technet.microsoft.com/en-us/library/ee344834(WS.10).aspx

Demikian, semoga bermanfaat…

Share this post: | | | |

Windows Firewall with Advanced Security Part 4 -Monitoring Windows Firewall and Advanced Security

Setelah kita tambahkan inbound dan outbound rules dan menseting connection security rules for Windows Firewall, kita dapat memonitor semua itu. Buka console tree dibagian Windows Firewall with Advanced Security dan klik Monitoring.

Secara default, halaman monitoring ini menampilkan profile yang sedang aktif.

Saat kita mengekspansi console tree, kita temukan beberapa pilihan untuk monitoring :

• Firewall: Memonitor seluruh rule firewall yang aktif untuk profile-profile yang aktif . Juga memonitor firewall rule yang didistribusikan oleh GPO.
• Connection Security Rules: Memonitor seluruh connection rule yang di-enable. Juga menyediakan informasi detail tentang connection tersebut.
• Security Associations (SA): Memonitor komunikasi dari sender dan receiver, berdasarkan pada security connections rule yang didefinisikan pada saat membuat SA tersebut.

Terdapat dua tipe dalam monitoring SA : Main Mode dan Quick Mode. Keduanya menyediakan view dari tiap IP address dari tiap endpoint.

Catatan penting : Policy-policy yang dibuat dengan menggunakan snap -in IPsec Security Policy tidak dapat dimonitor dengan tool ini.

Demikianlah, sekilas info tentang Monitoring Windows Firewall and Advanced Security ini, semoga bermanfaat...

Share this post: | | | |

Windows Firewall with Advanced Security Part 3 - Creating Connection Security Rules

Dengan Windows Firewall rules, kita dapat menseting connection security rules. Buka console tree Windows Firewall and Advanced Security dan lihat Connection Security Rules. Pada menu Action, kita dapat mem-filter berbagai rule yang ada dengan menggunakan profile dan dengan state.

Untuk membuat connection security rule yang baru, langkah-langkahnya sebagai berikut:

1. Pilih Action, New Rule. Terdapat lima tipe connection security rule yang berbeda untuk dipilih:

· Isolation: Membatasi koneksi berdasarkan pada authentication prerequisites (sebagai contoh, health status, domain membership).

· Authentication Exemption: Tidak melakukan proses autentikasi koneksi yang berasal dari komputer tertentu.

· Server-to-Server: Mengautentikasi koneksi antar Server-server tertentu.

· Tunnel: Mengautentikasi koneksi antar komputer-komputer gateway.

· Custom: Membuat custom authentication dan endpoint criteria untuk connection security.

Pilih Custom untuk membuat custom rule dan klik Next.

2. Pilih endpoints untuk koneksi yang lebih aman. Dalam hal ini diset sebagai endpoint 1 dan endpoint 2. (Untuk tunnel endpoint, kita perlu menyediakan IP address untuk tunnel computers yang terdekat ke endpoint 1 dan endpoint 2.) Kita juga dapat mengkustomisasi tipe interface, kemudian pilihan untuk menerapkan rule ke seluruh interfaces atau ke local area network tertentu, remote access, atau wireless. Pilih seting endpoint untuk rule yang diinginkan dan klik Next.

3. Pada halaman Requirements, pilih satu dari empat pilihan:

· Request Authentication for Inbound and Outbound Connections: Autentikasi dilakukan disaat yang memungkinkan, tapi autentikasi sebenarnya tidak diperlukan.

· Require Authentication for Inbound Connections and Request for Outbound Connections: Inbound connections harus diautentikasi. Outbound connections diautentikasi ketika memungkinkan, tapi autentikasi sebenarnya tidak diperlukan.

· Require Authentication for Inbound and Outbound Connections: Baikinbound dan outbound connection harus diautentikasi.

· Do Not Authenticate: Tidak diperlukan autentikasi untuk connection.

Klik Next.

4. Pada halaman Authentication methods, pilih satu dari lima pilihan:

· Default: Menggunakan metode yang ditentukan di dalam halaman profile properties.

· Computer and User (Kerberos V5): Membatasi komunikasi untuk koneksi-koneksi yang berasal dari user dan computer yang telah join domain.

· Computer (Kerberos V5): Membatasi komunikasi untuk koneksi yang berasal dari komputer yang join domain.

· Computer Certificate: Membatasi komunikasi untuk koneksi yang berasal dari komputer yang memiliki sertifikat dari CA tertentu.

· Advanced: Memungkinkan kita dalam menentukan pilihan satu dari dua metode autentikasi. Kita juga memiliki pilihan dalam menentukan apakah metode autentikasi pertama atau yang kedua yang menjadi metode autentikasi yang bersifat pilihan (optional).

Klik Next.

5. Menentukan saat connection security rule ini diterapkan dengan memilih profile. Sekali lagi, tipe profile yang tersedia adalah Domain, Private, dan Public. Klik Next.

6. Dalam langkah terakhir, berikan nama untuk connection security rule ini dan berikan description yang berfungsi membantu dalam mengidentifikasi inbound rule ini di jaringan kita nantinya.Klik Finish.

Ketika connection security rule ini telah terbentuk, kita dapat mengubah berbagai seting yang telah kita konfigurasi sebelumna dengan cara meng-klik halaman properties di dalam panel Actions. Kita dapat juga men- disable connection security rule ini dari menu Action.

Demikianlah, semoga bermanfaat…

Share this post: | | | |

Windows Firewall with Advanced Security Part 2 - Creating Inbound and Outbound Rules

Jika kita membuka console tree dari Windows Firewall and Advanced Security dan memperhatikan Inbound or Outbound Rules, kita akan melihat bahwa Windows Server 2008 telah memiliki predefined rules untuk Windows Firewall. Jumlah dari rules yang didefinisikan bergantung pada role mana saja yang diinstal. Dari menu Action, kita dapat memfilter hasil berdasarkan profile, state, dan group.

Berikut langkah-langkah cara membuat inbound dan outbound rules:

1. Untuk membuat firewall rule baru, klik New Rule.

2. Saat wizard dari New Inbound/Outbound Rule muncul, pilih tipe dari rule yang akan dibuat:

• Program: rule yang mengontrol berbagai koneksi untuk suatu program
• Port: rule yang mengontrol berbagai koneksi untuk port TCP atau UDP
• Predefined: rule yang mengontrol berbagai koneksi untuk Windows experience
• Custom: rule yang dikustomisasi berdasarkan pada seluruh atau sebagian tiga tipe di atas tadi.

Pilih tipe dari custom rule (hal ini akan membuat kita dapat melihat berbagai pilihan untuk semua tipe rule yang disebutkan di awal) dan klik Next.

3. Pada tampilan selanjutnya, pilhannya adalah : terapkan (apply) rule tersebut ke seluruh program, terapkan (apply) rule tersebut ke program path (sebagai contoh : <d:\path\executable>), atau terapkan (apply) rule tersebut ke sebuah service. Kita dapat mengkustomisasi service rule dalam hal menerapkannya ke seluruh program dan services, ke service-service tertentu, atau hanya ke sebuah service tertentu saja.

Setelah kita pilih tentang apa saja yang kita inginkan untuk diterapkan ke rule ini, klik Next.

4. Pada tampilan Protocol and Ports, pilih protocol type, local port, dan remote port. (Jika kita pilih ICMP, kita dapat mengkustomisasi tipe ICMP ) Klik Next.

5. Kemudian pilih cakupan/ scope untuk rule ini. Kita dapat memilih untuk menerapkan rule tersebut ke IP address manapun, ke satu IP address,ke suatu subnet, atau ke sebuah range dari IP address. Cakupan/ scope merupakan sekumpulan untuk koneksi-koneksi yang bersifat local ataupun remote. Kita dapat juga mengkustomisasi tipe interface, memilih untuk menerapkanrule ini ke seluruh interface atau ke local area network tertentu saja, ke remote access, atau wireless. Pilih cakupan/ scope seting untuk rule yang kita miliki dan klik Next.

6. Pada tampilan berikutnya, perhatikan bahwa kita memiliki berbagai pilihan sebagai berikut:

• Allow the Connection: Mengizinkan koneksi, tidak peduli apakah koneksi ini diproteksi oleh IPSec atau tidak.
• Allow the Connection if It Is Secure: Hanya mengizinkan koneksi yang telah diautentikasi dan diproteksi oleh IPSec. Sebagai tambahan, kita dapat memilih untuk penggunaan enkripsi jika memang diperlukan. Kita juga dapat melakukan override block rules (hanya untuk inbound rules saja). Jika kita pilih Allow the Connection if It Is Secure, kita juga perlu menentukan authorized computers atau computer groups untuk inbound rules. Sebagai tambahan, kita perlu untuk memilih authorized computers jika dipilih untuk outbound rule.
• Block the Connection: Tidak menerima koneksi untuk port, service, atau program.

Pada kasus ini, pilih Allow the Connection if It Is Secure dan klik Next.

7. Pilih computer atau user yang akan diizinkan untuk melakukan koneksi ke komputer ini menggunakan inbound rule ini dan klik Next.

8. Kemudian dilanjutkan dengan pemilihan profile. Sekali lagi, tipe profile adalah Domain, Private, dan Public. Pilih profile sesuai dengan kebutuhan, klik Next.

9. Beri nama inbound rule ini dan berikan deksripsi (bersifat optioanal) yang akan membantu kita untuk mengidentifikasi inbound rule ini di jaringan kita nantinya. Klik Finish.

Setelah rule ini dibuat, kita dapat mengubah berbagai seting yang telah kita konfigurasi sebelumnya dengan cara klik halaman properties pada panel Actions. Kita dapat juga menseting pilihan yang tidak tersedia saat kita membuat rule tersebut, yaitu: Allow edge traversal. Kita dapat juga men-disable this inbound rule dari menu Action.

Semoga bermanfaat…..

Share this post: | | | |

Windows Firewall with Advanced Security Part 1 - Introduction

Pembahasan tentang Windows Firewall with Advanced Security sudah sering diulas di blog ini, rekan-rekan dapat melihatnya banyak artikel yang membahas tentang WFAS di portal ini , dan mungkin tidak ada salahnya jika saya ulas kembali secara mendasar.

Windows Firewall terinstal dan aktif secara default. Dapatkah kita mengkonfigurasi Windows Firewall untuk meningkatkan keamanan, dan bagaimana cara melakukan kustomisasi Windows Firewall untuk dapat difungsikan di organisasi kita?

Windows Firewall with Advanced Security  sangat terintegrasi secara penuh dan merupakan solusi keamanan yang dapat dikonfigurasi sesuai dengan kebutuhan. Pada dasarnya firewall ini merupakan dua solusi keamanan yang dikombinasikan: host based firewall dan IPSec. Keuntungan kedua dari Windows Firewall adalah proteksi dari serangan yang berasal dari  jaringan internal. Karena semua inbound request yang menuju ke server memerlukan baik firewall maupun connection rule, sehingga server kita aman dari serangan yang berasal dari dalam jaringan.

Windows Firewall merupakan statefull firewall, yang artinya bahwa tiap paket diinspeksi dan kemudian diizinkan atau tidak diizinkan berdasarkan pada status dari paket tersebut. Hal ini ditentukan oleh Firewall rule dan Connection Security rule yang diimplementasikan oleh Windows Firewall.

Windows Firewall with Advanced Security hadir dalam bentuk preconfigured, tapi dapatkah kita menambahkan rule tambahan untuk firewall dan untuk connection ke server ? Untuk mengkonfigurasi Windows Firewall with Advanced Security, lakukan langkah-langkah berikut:

1. Dari Server Manager, pada Security Information, klik Go to Windows Firewall. (Alternatif lain kita dapat mengekspansi configuration tree di Server Manager dan pilih Windows Firewall, atau bisa juga dengan cara klik Start>Administrative Tools>Windows Firewall)

2. Pada screen overview yang menunjukkan seting-seting untuk Domain, Private dan Public profiles, klik Windows Firewall Properties.

3. Perhatikan pada bagian Properties-nya ini, Windows Firewall with Advanced Security memiliki 4 tab:

Domain Profile: Pada tab ini, kita dapat menentukan firewall behavior untuk saat komputer terkoneksi ke domain. Kita dapat mengubah firewall state (On atau Off) dan mensetting bagaimana firewall menangani koneksi inbound atau outbound (Block, Allow, atau Block All Connections). Kita dapat melakukan kustomisasi seting untuk firewall profile, termasuk dalam hal menampilkan notifikasi, perizinan respon unicast, dan merging rules. Kita dapat juga melakukan kustomisasi logging untuk profile, seting nama dan lokasi untuk log, pemilihan log size, dan pemilihan untuk logging paket-paket yang drop dan/atau yang sukses.


Private Profile: Pada tab ini, kita dapat menentukan firewall behavior untuk saat komputer terkoneksi ke private network. Kita dapat mengubah firewall state (On atau Off) dan menseting bagaimana firewall akan menangani koneksi inbound ataupun aoutbound (Block, Allow, atau Block All Connections). Kita dapat melakukan kustomisasi seting untuk firewall profile, termasuk menampilkan notifikasi, perizinan respon paket unicast, dan merging rule. Kita juga dapat melakukan kustomisasi logging untuk profile tersebut, melakukan seting nama dan lokasi untuk log tersebut, pemilihan log size, dan pemilihan untuk logging paket yang di drop dan/atau yang sukses.


Public Profile: Pada tab ini, kita dapat menentukan firewall behavior untuk saat komputer terkoneksi ke public network. Kita dapat mengubah firewall state (On atau Off) dan menseting bagaimana firewall akan menangani koneksi inbound ataupun aoutbound (Block, Allow, atau Block All Connections). Kita dapat melakukan kustomisasi seting untuk firewall profile, termasuk menampilkan notifikasi, perizinan respon paket unicast, dan merging rule. Kita juga dapat melakukan kustomisasi logging untuk profile tersebut, melakukan seting nama dan lokasi untuk log tersebut, pemilihan log size, dan pemilihan untuk logging paket yang di drop dan/atau yang sukses.


IPSec Settings: Pada tab ini, kita dapat melakukan kustomisasi IPSec default. Kita dapat mengubah dan mengkustomisasi key exchange, data protection dan authentication method. Kita bahkan dapat menseting IPSec exemptions.
Kustomisasi seting dilakukan di sini sebatas yang diperlukan saja.



 

Semoga bermanfaat….

Share this post: | | | |

Auditing - How to Use The User Account Management

Rekan-rekan, auditing merupakan satu hal penting bagi network administrator, apalagi jika dalam suatu organisasi yang cukup besar dimana terdapat sejumlah group yang menjadi Admin Branch, yang diberi tugas dalam mengelola account.

Aktivitas siapa yang melakukan create user atau delete user dalam auditing sebenarnya hal yang klasik tapi seringkali terlupakan.

Ok, dalam tulisan berikut, just to reminds for anyone who are interested in auditing, especially auditing account management, berikut langkah-langkahnya.

Kita awali dengan mengaktifkan Audit Account Management untuk level domain policy, dengan membuka snap-in Group Policy Management. 

Kemudian kita lakukan sedikit editing…

Dengan membuka Properties-nya.

Dan kemudian mengaktifkan baik Success maupun Failure-nya.

Setelah klik OK, dan menutup snapi-in Group Policy Management, jalankan gpupdate /force untuk merefresh policy….as usual :))

Setelah itu kita dapat lakukan pengujian, misalkan login dengan user account lain dengan privilege Domain Admin atau Enterprise Admin, dan lakukan aktivitas pengelolaan Account, seperti melakukan pembuatan account baru dan penghapusan Account…..

…..dan kemudian kita dapat melihat rekaman/ log di Event Viewer….

Sejumlah event yang terkait dengan kategori User Account Management terlihat seperti pada gambar berikut…

Untuk mempermudah dalam melihat log yang terkait dengan Account Management, kita dapat lakukan Filtering…..

Berikut contoh event user account dibuat oleh account tertentu….

Kalau mau di copy dan di-paste ke notepad juga bisa….

Berikut contoh event terjadinya penghapusan account oleh user account tertentu…

Dan jika mau di-copy dan paste ke notepad bisa juga…

Dengan demikian mengaudit aktivitas group admin menjadi lebih mudah dan juga murah, karena tanpa harus membeli third party tools….

Semoga bermanfaat….

Share this post: | | | |

Weekend with MUGI Bandung @Politeknik Pos Indonesia

Seperti yang telah diberitakan oleh rekan Dani di sini dan juga Pak Firstman di sini, pada hari sabtu minggu lalu, tanggal 9 Januari 2010, saya memperoleh kesempatan untuk mengisi acara di PoltekPos, Sarimanah, Bandung.

Acara MUGI Bandung untuk kali kedua ini (pertama kali dapat dilihat di sini) sekaligus meresmikan MUGI Kampus Politeknik Pos Indonesia oleh Pak Firstman.

Materi seminar yang dibawakan cukup mendapat perhatian serius dari peserta, materi-materi tersebut adalah :

• WPF  - Ronald RajaGukguk dan Pudja (MIC ITB Leader)
• Robotik Studio – Narenda Wicaksono
• Windows 7 - Agam Fuja Kuniawan (MSP Cianjur)  dan  Billi MSP (Poltek Pos)
• MSDNAA – Dani R Taufani (MSP Unikom) dan Firstman Marpaung
• Imagine Cup  - Wirawan (MSP IT Telkom)
• Hyper-V – Bobby Zulkarnain

Pada kesempatan itu saya membawakan materi Microsoft Hyper-V yang materinya sendiri tidak hanya fokus ke Hyper-V, tapi mendemokan bagaimana membangun Web Server dengan IIS 7.5 untuk menghosting aplikasi web, terutama ASP.NET.

Isi materi yang saya bawakan sebenarnya merupakan kupasan dari ebook yang saya susun, Membangun ASP.NET Application Server di Windows Server Core 2008 R2, hanya saja dengan menggunakan versi Windows Server 2008 R2 full installation.

Terimakasih kepada segenap civitas akademika Politeknik Pos Indonesia, kepada teman-teman MSP Poltek pos, seperti Billi, Roy Seyasa, ketua Himpunan Informatika Poltek Pos Ari Kuswanto dan juga Ketua Pelaksana Seminar, Rio Ardinata yang berperan penting dalam mensukseskan acara ini.

Semoga acara seminar ini menjadi pemicu untuk makin aktif lagi bagi rekan-rekan di MUGI Politeknik Pos Indonesia….!

Share this post: | | | |

Mengenal Best Practices Analyzer (BPA) di Windows Server 2008 R2

Best Practices Analyzer (BPA) merupakan server management tool yang terdapat pada Windows Server 2008 R2 untuk beberapa server role berikut:

• Active Directory Domain Services (AD DS)
• Active Directory Certificate Services (AD CS)
• DNS Server
• Terminal Services

AD DS BPA dapat kita gunakan untuk mengimplementasikan best practices dalam konfigurasi Active Directory. Kita dapat menggunakannya untuk melakukan scanning server role AD DS yang telah terinstal pada domain controller Windows Server 2008 R2. Kita dapat melakukan pemfilteran; dari report AD DS BPA yang tidak ingin kita lihat. Kita dapat menjalankan AD DS BPA baik dengan menggunakan Server Manager graphical user interface (GUI) atau melalui penggunaan cmdlets di interface Windows PowerShell command-line. Informasi lebih lengkap bisa dilihat pada Running and Filtering Scans in Best Practices Analyzer ( http://go.microsoft.com/fwlink/?LinkId=134007).

Menjalankan Scan AD DS BPA dengan menggunakan Server Manager

Berikut ini contoh sederhana dalam melakukan scan AD DS BPA di Server Manager.

Catatan: Server Manager dapat digunakan untuk melakukan scan lokal komputer atau remote komputer. Untuk melakukan scan remote komputer, cukup gunakan pilihan Connect to Another Computer di Server Manager.

1. Logon ke domain controller Windows Server 2008 R2 sebagai Administrator.

2. Buka Server Manager.

3. Pada Server Manager, buka Roles, dan kemudian pilih role Active Directory Domain Services.

4. Geser ke bawah ke bagian Best Practice Analyzer.

5. Klik pada link Scan This Role. Lihat pada gambar berikut ini.

6. AD DS BPA scan akan melakukan scan terhadap lokal domain kita.

Hasilnya dapat kita lihat pada gambar berikut ini:

Dari hasil scan seperti yang ditunjukkan pada gambar di atas, terutama pada bagian Severity: Error dan Warning, dengan klik-ganda pada tiap hasilnya, kita dapat melakukan pemeriksaan dan koreksi lebih jauh.

Secara umum AD DS BPA menscan beberapa seting konfigurasi antara lain sebagai berikut:

1. Hal-hal yang terkait dengan DNS, antara lain:

• Apakah domain controller dapat terhubung ke server DNS dan memperoleh berbagai record yang terkait dengan domain controller.
• Apakah seluruh host (A atau AAAA) resource record untuk domain controller ini terregistrasi dalam DNS.
• Apakah seluruh host (A atau AAAA) resource record untuk domain controller ini diregistrasikan dengan alamat IP yang tepat.
• Apakah seluruh site-spesific dan global service(SRV) resource record untuk domain controller ini diregistrasi di DNS.
• Apakah resource record untuk alias (CNAME) untuk domain ini diregistrasikan dalam DNS.

2. Operations master role ownership rules, yang melakukan pemeriksaan kondisi berikut:

• Apakah schema master role dan domain naming master role dimiliki oleh domain controller yang sama pada forest tersebut.
• Apakah RID master role dan PDC emulator master role dimiliki oleh domain controller yang sama pada domain tersebut.

3. Operations master connectivity rules (yang dikenal juga sebagai flexible single master operations atau FSMO), yang melakukan pengecekan apakah domain controller dapat terhubung ke relative ID (RID) operations master dan primary domain controller (PDC) emulator operations master pada domain ini.

4. Jumlah dari domain controller di dalam suatu domain rule, yang memeriksa kondisi bahwa domain harus sedikitnya memiliki dua domain controller.

Dan masih banyak lagi yang lainnya.

Referensi :

http://technet.microsoft.com/en-us/library/dd378893(WS.10).aspx

Semoga dapat bermanfaat……………….

Share this post: | | | |

Panduan Langkah demi langkah Menggunakan Fitur Active Directory Recycle Bin

Mengenal Active Directory Recycle Bin

Melengkapi artikel sebelumnya di sini, penghapusan objek Active Directory secara tidak sengaja dapat terjadi untuk user-user Active Directory Domain Services (AD DS) dan Active Directory Lightweight Directory Services (AD LDS).

Pada domain Windows Server 2008 Active Directory, kita dapat mengembalikan objek secara tidak sengaja terhapus ini dari backup AD DS yang diperoleh dari Windows Server Backup. Kita masih dapat menggunakan perintah ntdsutil authoritative restore untuk menandai objek secara authoritative untuk memastikan bahwa data yang direstore direplikasikan di domain. Kekurangan dari solusi authoritative restore adalah proses ini harus dilakukan pada Directory Services Restore Mode (DSRM). Selama proses DSRM berlangsung, domain controller (DC) yang direstore harus dalam status offline. Akibatnya DC ini tidak dapat melayani client.

Pada Windows Server 2003 Active Directory dan Windows Server 2008 AD DS, kita dapat melakukan recover objek Active Directory yang terhapus melalui tombstone reanimation. Di Windows Server 2003 dan Windows Server 2008, sebuah objek Active Directory yang terhapus tidak secara fisik dihapus dari database. Distinguished Name (DN) dari objek tersebut dihancurkan, hampir seluruh non-link-valued attributes dari objek dibersihkan, seluruh link-valued attributes dari objek secara fisik juga dihapus, dan objek dipindahkan ke kontainer khusus di dalam naming context (NC) dari objek yang disebut Deleted Objects. Objek tersebut kemudian disebut sebagai tombstone, karena menjadi tidak terlihat (invisible) terhadap aktivitas sistem yang normal. Tombstone dapat di reanimated kapan saja dalam kurun waktu tombstone lifetime dan menjadi objek Active Directory yang hidup dan aktif kembali. Default tombstone lifetime adalah 180 hari di Windows Server 2003 dan Windows Server 2008. Kita dapat menggunakan tombstone reanimation untuk melakukan penyelamatan objek-objek yang terhapus tanpa harus membuat offline domain controller atau instance dari AD LDS kita. Akan tetapi link-valued attributes dari objek-objek hasil proses reanimasi (sebagai contoh, keanggotaan group dari user account) yang secara fisik dihapus dan juga non-link-valued attributes dari objek tidak dapat di-recover. Oleh sebab itu, administrator tidak dapat menjadikan tombstone reanimation sebagai solusi yang terbaik dalam menyelamatkan objek-objek yang terhapus secara tidak sengaja.

Active Directory Recycle Bin di Windows Server 2008 R2 dibentuk berdasarkan infrastruktur tombstone reanimation dan juga peningkatan kemampuan pemeliharaan dan penyelamatan objek-objek yang terhapus secara tidak sengaja. Informasi lebih lengkap tentang tombstone reanimation, bisa di lihat pada Reanimating Active Directory Tombstone Objects (http://go.microsoft.com/fwlink/?LinkID=125452).

Windows Server 2008 R2 Active Directory Recycle Bin bermanfaat dalam meminimalkan directory service downtime melalui peningkatan dalam pemeliharaan dan penyelamatan objek Active Directory yang terhapus secara tidak sengaja dengan tanpa melakukan restoring Active Directory data dari backup, me-restart AD DS, atau rebooting domain controller.

Saat kita mengaktifkan Active Directory Recycle Bin, seluruh link-valued dan non-link-valued attributes dari objek-objek yang terhapus tetap disimpan dan dipelihara dan objek-objek diselamatkan kembali dalam kondisi yang lengkap seperti halnya sebelum dihapus. Sebagai contoh, sebuah user account yang diselamatkan akan kembali memiliki keanggotaan groupnya dan juga berbagai access right yang sebelumnya dimiliki sebelum dihapus. Active Directory Recycle Bin dapat difungsikan baik untuk lingkungan AD DS maupun AD LDS.

Mengaktifkan Active Directory Recycle Bin

Untuk dapat mengaktifkan Active Directory Recycle Bin kita harus melakukan dua hal:

• Meningkatkan (raising) forest functional level
• Mengaktifkan Active Directory Recycle Bin

Kita dapat mengaktifkan Active Directory Recycle Bin hanya jika forest functional level dari lingkungan jaringan kita diset ke Windows Server 2008 R2. 

Metode Mengaktifkan Active Directory Recycle Bin

Setelah forest functional level dari lingkungan jaringan kita diset ke Windows Server 2008 R2, kita dapat mengaktifkan Active Directory Recycle Bin dengan menggunakan salah satu dari metode berikut ini:

• Enable-ADOptionalFeature Active Directory module cmdlet (Ini merupakan metode yang direkomendasikan)
• Menggunakan perintah Ldp.exe

Untuk mengaktifkan Active Directory Recycle Bin dengan menggunakan Enable-ADOptionalFeature cmdlet, yang kita dapat lakukan dengan tahapan sebagai berikut:

1. Pastikan logon sebagai Administrator

2. Klik Start>Administrative Tools>Active Directory Module for Windows PowerShell.

3. Pada command prompt Active Directory module for Windows PowerShell, ketikkan perintah berikut dan kemudian tekan Enter:

Enable-ADOptionalFeature -Identity <ADOptionalFeature> -Scope <ADOptionalFeatureScope> -Target <ADEntity>

Sebagai contoh, untuk mengaktifkan Active Directory Recycle Bin untuk wirecat.com, ketikkan perintah berikut dan tekan Enter:

Enable-ADOptionalFeature –Identity ‘CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, DC=wirecat,DC=com’ –Scope ForestOrConfigurationSet –Target ‘wirecat.com’

Setelah ditekan Enter, akan muncul kotak konfirmasi sebagai berikut, dan ketikkan “Y”

Untuk metode penggunaan perintah ldp.exe, kita dapat mereferensi ke sini http://technet.microsoft.com/en-us/library/dd379481(WS.10).aspx

Mengembalikan objek yang terhapus dari Active Directory Recycle Bin

Setelah Active Directory Recycle Bin diaktifkan, maka kita telah dapat menggunakannya untuk mengembalikan objek-objek Active Directory. Sebagai contoh dari langkah-langkah pengembalian objek ini, terlebih dahulu kita perlu membuat skenario objek tersebut berada pada suatu organizational unit tertentu dan juga merupakan anggota dari suatu group tertentu. Oleh karena itu penulis sengaja membuat langkah-langkah tambahan dari mulai membuat organizational unit, membuat domain user account dan juga membuat group serta menambahkan keanggotaan dari group dengan tahapan-tahapan sebagai berikut ini. Dan hasil dari langkah pengembalian objek user yang dihapus nantinya dari proses ini kita dapat membuktikan user tersebut masih memiliki keanggotaan dari group yang kita buat.

Membuat Organizational Unit, Domain User Account, dan Group

Membuat objek Organizational Unit

Tahapannya sebagai berikut:

1. Buka console Active Directory Users and Computers

2. Klik-kanan pada nama_domain, pilih New>Organizational Unit

3. Pada kotak dialog New Object=Organizational Unit, pada Name: ketikkan nama OU, misalkan Finances dan kemudian klik OK.

Membuat objek Domain User Account di dalam OU

1. Kemudian klik-kanan pada OU Finances tadi, kemudian pilih New>User

2. Lalu pada kotak isian New Object – User, isikan nama user yang dikehendaki, misalkan Finance01. Setelah itu klik Next.

3. Kemudian isikan passwordnya, dan pastikan tanda cek untuk pilihan User must change password at next logon dibersihkan. Klik Next.

4. Kemudian klik Finish untuk mengakhiri.

Membuat Group di dalam OU Finances

1. Klik-kanan OU Finances, pilih New>Group

2. Kemudian pada kotak isian New Object – Group, isikan nama group dan pilih juga Group scopenya Domain local. Misalkan nama groupnya adalah DL_Finances, dan kemudian klik OK.

Sehingga pada OU Finances telah terdapat dua objek, yaitu Domain User Account Finance01 dan Domain Local Group, DL_Finances.

Menjadikan Domain User Account sebagai member dari Group

Pada tahapan ini kita akan menjadikan User Account Finance01 sebagai member dari group DL_Finances.

Pada Active Directory Users and Computers, pada OU Finances, klik-kanan Finance01, lalu pilih Add to a group...

Kemudian pada kotak dialog Select Groups, pada bagian Enter the object names to select, ketikkan DL_Finances, dan klik tombol Check Names, dan kemudian klik OK.

Kemudian akan muncul kotak konfirmasi sebagai berikut, klik OK.

Dengan demikian, user Finances01 telah menjadi member dari DL_Finances dan juga Domain Users (secara default). Bisa kita cek kembali dengan melihat properti dari user account Finance01, pada tab Member Of.

Mengembalikan objek yang terhapus

Sebelum kita mengembalikan objek yang terhapus, kita hapus dulu objeknya, dalam hal ini kita menghapus objek user account Finance01.

Tahapan menghapus user account

1. Pada console Active Directory Users and Computers, pada OU Finances, klik-kanan Finance01 dan kemudian pilih Delete.

2. Kemudian pada kotak konfirmasi seperti berikut ini, klik Yes.

Dengan demikian user Finance01 telah terhapus.

Mengembalikan objek dengan menggunakan Active Directory Recycle Bin

Kita dapat menggunakan Get-ADObject and Restore-ADObject Active Directory module for Windows PowerShell cmdlets untuk mengembalikan objek yang terhapus.

Untuk mengembalikan satu objek yang terhapus dengan menggunakan cmdlet Get-ADObject dan Restore-ADObject.

Kita akan mengembalikan objek user Finance01 dengan menggunakan Active Directory Recycle Bin, dengan tahapan sebagai berikut:

1. Klik Start>Administrative Tools, kemudian klik-kanan Windows Powershell Modules dan pilih Run As Administrator.

2. Pada command prompt Active Directory module for Windows PowerShell, ketikkan perintah berikut dan kemudian tekan Enter: Get-ADObject -Filter {String} -IncludeDeletedObjects | Restore-ADObject. Sebagai contoh, jika kita ingin melakukan restore suatu objek user dengan nama Finance01, ketikkan perintah berikut ini dan kemudian tekan Enter: Get-ADObject -Filter {displayName -eq "Finance01"} -IncludeDeletedObjects | Restore-ADObject

Hasilnya, kita bisa cek pada Active Directory Users and Computers, pada OU Finances, setelah kita refresh, akan muncul kembali user account Finance01.

Demikian juga ketika kita periksa properti dari user Finance01, kita lihat pada tab Member Of: keanggotaan dari user Finance01 dari group DL_Finances tetap utuh seperti sebelum account ini dihapus.

Semoga dapat bermanfaat………………

Share this post: | | | |

Panduan Konfigurasi Langkah demi langkah Fitur AppLocker di Windows Server 2008 R2

Pengantar Singkat Tentang AppLocker

Windows AppLocker merupakan fitur baru di Windows 7 dan Windows Server 2008 R2 yang menggantikan fitur Software Restriction Policies. AppLocker memiliki kemampuan baru dan juga extentions yang menurunkan administrative overhead dan membantu administrator untuk mengontrol user dalam mengakses dan menggunakan file-file seperti file .exe, scripts, Windows Installer files (.msi dan .msp files), dan DLL.

Dengan menggunakan AppLocker, kita dapat:

1. Mendefinisikan berbagai rule/aturan berdasarkan atribut-atribut file yang diperoleh dari digital signature, termasuk publisher, product name, file name, dan file version. Sebagai contorh kita dapat membuat aturan yang mentargetkan ke suatu file tertentu dengan versi tertentu ***. Catatan penting: AppLocker rules menentukan file-file mana yang diperbolehkan untuk dijalankan. File-file yang tidak termasuk di dalamnya tidak diperbolehkan untuk dijalankan.
2. Menerapkan aturan (rule) terhadap suatu security group atau user tertentu. Catatan: Kita tidak dapat menerapkan rule dalam AppLocker untuk zona Internet, komputer tertentu, atau berbagai registry path.
3. Membuat pengecualian untuk file-file .exe. Sebagai contoh, kita dapat membuat sebuah aturan yang mengizinkan seluruh proses Windows untuk berjalan kecuali Regedit.exe.
4. Menggunakan audit-only mode untuk mengindentifikasi file-file yang tidak diizinkan untuk dijalankan jika ternyata terdapat pengaruh dari policy.
5. Melakukan impor dan ekspor aturan (Import and export rules).

Beberapa pertimbangan dalam penggunaan AppLocker ini antara lain:

1. Secara default, AppLocker rules tidak mengizinkan user untuk membuka atau menjalankan file-file yang tidak secara spesifik diizinkan. Administrator harus selalu melakukan update daftar dari berbagai aplikasi yang diizinkan.
2. Terdapat penurunan performa karena terdapat pengecekan secara run time.
3. Karena AppLocker mirip dengan mekanisme Group Policy, administrator harus juga memahami cara pembuatan Group Policy dan deployment-nya.
4. AppLocker rules tidak dapat digunakan untuk mengelola komputer-komputer yang menggunakan sistem operasi sebelum generasi Windows 7.

Jika AppLocker rules didefinisikan di dalam GPO, maka hanya rule/aturan tersebut saja yang akan diterapkan. Untuk memastikan interoperabilitas antara Software Restriction Policies rules dan AppLocker rules, maka definisikanlah Software Restriction Policies rules dan AppLocker rules pada GPO yang berbeda.

Saat terdapat AppLocker rule di-set ke Audit only, maka aturan tersebut tidak diberlakukan. Ketika terdapat user menjalankan aplikasi yang terdapat pada rule tersebut, aplikasi tersebut dibuka dan dapat dijalankan secara normal, dan informasi tentang aplikasi tersebut ditambahkan ke AppLocker event log.

Petunjuk Konfigurasi Applocker

Komputer yang digunakan

Pada artikel ini penulis menggunakan satu komputer dengan sistem operasi Windows Server 2008 R2 Enterprise Edition, yang dikonfigurasi menjadi domain controller dengan nama host: DC01 dan nama domain: wirecat.com.

Menjalankan service AppIDSvc

Sebelum kita melakukan konfigurasi Applocker, kita harus menjalankan service tertentu, yaitu service Application Identity yang secara default service ini tidak dalam kondisi start, kita lakukan dengan tahapan sebagai berikut.

1. Logon ke DC01 sebagai Administrator

2. Buka snap-in Services dengan cara klik Start> Administrative Tools, kemudian pilih Services. Lalu pada window Services, klik ganda pada Application Identity. Lihat pada gambar berikut ini.

3. Lalu pada kotak dialog Application Identity Properties (Local Computer), pada Startup type: pilih Automatic. Kemudian pada bagian Service status: klik Start, lalu klik Apply dan OK.

Dengan demikian service Application Identity telah berjalan.

Membuat user account baru untuk keperluan uji Applocker

Langkah selanjutnya adalah kita memerlukan satu user account sebagai pengujian Applocker ini nantinya, oleh karena itu kita buat user account dengan nama TestAppLocker, dan kita jadikan member dari group Backup Operators, agar user ini dapat melakukan logon ke domain controller secara interaktif (tanpa harus mengubah policy di level default domain controller policy untuk user right logon locally). User account baru ini kita buat di kontainer Users

1. Buka snap-in Active Directory Users and Computers, kemudian klik-kanan Users, pilih New User.

2. Lalu isikan pada bagian FirstName:TestAppLocker, dengan membiarkan Initials dan Lastnamenya dikosongkan.

3. Kemudian isikan passwordnya, dan bersihkan tanda cek pada pilihan User must change password at next logon. Kemudian klik Next.

4. Dan klik Finish untuk mengakhiri proses ini.

5. Selanjutnya kita bisa memeriksa user account yang baru saja kita buat tersebut pada snap-in Active Directory Users and Computers.

Tahapan selanjutnya adalah menjadikan user account tadi sebagai anggota dari group Backup Operators (hal ini ditujukan untuk pengujian saja, dimana user ini dapat melakukan logon locally ke domain controller, sebagai alternatif lainnya dari pengubahan Default Domain Controller Policy).

Menjadikan TestApplocker sebagai anggota dari group Backup Operators.

1. Masih dalam kondisi logon ke DC01 sebagai Administrator, klik-kanan user account TestAppLocker, kemudian pilih Add to a group…

2. Kemudian muncul kotak dialog Select Groups seperti berikut ini.

3. Kemudian klik tombol Advanced…, akan muncul kotak dialog seperti berikut ini. Kemudian klik Find Now.

4. Setelah kita klik Find Now, cari pada bagian Search results: Backup Operators. Kemudian klik OK.

5. Setelah itu, akan muncul kotak dialog Select Groups dengan isian pada bagian Enter the object names to select (examples): telah terisi Backup Operators. Kemudian klik OK.

6. Kemudian akan muncul konfirmasi berikut ini. Klik OK.

Mengubah Policy pada Default Domain Controller Policy

1. Buka snap-in Group Policy Management dengan cara klik Start>Administrative Tools>Group Policy Management.

2. Setelah window dari Group Policy Management muncul, pada bagian Domains, klik ganda pada nama_domain (wirecat.com) lalu buka kontainer Domain Controllers, dan klik-kanan pada Default Domain Controller Policy, kemudian pilih Edit….Perhatikan pada gambar berikut ini.

3. Kemudian pada Group Policy Management Editor, pada bagian Computer Configuration, buka Windows Settings, kemudian buka Security Settings, lalu buka Application Control Policies, dan buka Applocker. Perhatikan pada gambar berikut ini. Pada bagian Applocker, terdapat Executable rules, Windows Installer Rules, dan Script Rules.

4. Dan kalau kita periksa, telah terdapat 3 default rule yang diterapkan pada default domain policy ini.

5. Kita tambahkan satu role lagi. Klik-kanan pada Executable Rules, dan pilih New Rule…

6. Setelah itu akan muncul halaman wizard Before You Begin. Klik Next.

7. Kemudian pada halaman Permissions, pada bagian Action: pilih deny. Kemudian pada bagian User or group: klik tombol Select, dan pastikan pilih user account TestAppLocker. Kemudian klik Next.

8. Kemudian pada halaman Conditions, pilih Path dan bacalah deskripsi tentang Path ini, kemudian klik Next.

9. Kemudian pada halaman Path, pada bagian Path: arahkan ke file executable, misalkan pada contoh ini adalah file WINWORD.EXE dari aplikasi MS Office Professional 2007, untuk aplikasi MS Word. Lihat pada gambar berikut ini untuk lebih jelasnya. Kemudian klik Next.

10. Setelah itu, kita akan menjumpai halaman Exceptions. Kita tidak membuat pengecualian untuk rule ini, jadi kita lanjut saja dengan klik Next.

11. Kemudian pada halaman Name and Description, kita dapat menambahkan kata-kata pada bagian Description, dan hal ini bersifat optional, jadi bisa dikosongkan. Selanjutnya klik Create.

12. Hasilnya dapat kita lihat kembali pada window Group Policy Management Editor seperti tampak pada gambar berikut ini.

13. Kita tutup dulu window Group Policy Management Editor. Kemudian buka command prompt, dan jalankan perintah gpupdate /force untuk mempercepat proses update dari perubahan policy yang baru saja kita lakukan.

Pengujian Konfigurasi AppLocker

1. Log off sebagai Administrator, dan logon sebagai user TestAppLocker

2. Kemudian klik Start> All Programs> Microsoft Office> Microsoft Office Word 2007

3. Jika seting konfigurasi AppLokcer dilakukan dengan benar, maka akan muncul pesan error seperti tampak pada gambar berikut ini, yang menunjukkan bahwa user TestAppLocker tidak diizinkan untuk menggunakan aplikasi Microsoft Word. Klik OK.

Catatan: Untuk aplikasi client server, perlu diperhatikan masalah penentuan path (lihat pada langkah 8 pada tahapan Mengubah Policy pada Default Domain Controller Policy, dan pada langkah nomor 9, harus ditentukan path yang tepat yang mengarah pada lokasi dari aplikasi yang terpasang dan di-share pada application server.

……Semoga dapat memberikan manfaat……

Share this post: | | | |

Konfigurasi Langkah demi langkah Fine-Grained Passwords di Windows Server 2008/2008 R2

Pendahuluan – Pada versi Windows Server sebelumnya

Pada Microsoft Windows 2000 dan Windows Server 2003 Active Directory domains, kita hanya dapat menerapkan satu password dan account lockout policy saja, yang ditentukan dalam Default Domain Policy dari suatu domain, ke seluruh users di domain tersebut. Jika kita menginginkan seting password dan account lockout yang berbeda untuk sekumpulan dari user, maka kita harus membuat password filter atau membuat multiple domain.

Fine-Grained Passwords in Windows Server 2008

Pada Windows Server 2008, kita dapat menggunakan fine-grained password policy untuk menentukan multi password policy dan menerapkan berbagai policy untuk password dan account lockout terhadap sejumlah user yang berbeda dalam satu domain. Sebagai contoh, untuk meningkatkan security dari privileged accounts, kita dapat menerapkan seting-seting yang ketat ke privileged accounts tersebut dan menerapkan seting yang kurang ketat ke account dari user lainnya.

Konfigurasi langkah demi langkah Fine-Grained Passwords di Windows Server 2008

Kita asumsikan bahwa kita memiliki sejumlah user yang merupakan Special Administrators dan memerlukan password group policy yang lebih kuat/kompleks daripada user biasa.  Kita berikan nama dari group ini: SpecialAdmins

Kita akan mengkonfigurasi sebuah fine-grained password policy di Windows Server 2008 dengan seting-seting sebagai berikut:

Table 1: Password Policy

Note: nama_domain_Anda pada langkah-langkah berikut harus diganti dengan nama NETBIOS dari domain Anda.

1. Logon ke Windows Server 2008 domain controller dengan menggunakan account yang memiliki keanggotaan di dalam group Domain Admins , atau permission yang ekivalen.
2. Klik Start, Administrative Tools, dan kemudian pilih Active Directory Users and Computers
   
3. Buka nama_domain_Anda.com, klik-kanan kontainer Users, pilih New, dan kemudian pilih Group.
4. Pada window New Object - Group, masukkan SpecialAdmins kedalam isian Group Name, dan kemudian klik OK
   
5. Tutup Active Directory Users and Computers
6. Klik Start, klik RUN, ketikkan ADSIEDIT.MSC, dan kemudian klik OK
   
7. Di dalam snap-in ADSI Edit, klik-kanan ADSI Edit, dan kemudian klik Connect to
8. Di dalam isian Name, masukkan nama_domain_Anda.com, dan kemudian klik OK
9. Klik ganda nama_domain_Anda.<topleveldomain> pada console tree, klik ganda DC=nama_domain_Anda,DC=com, klik ganda CN=System, dan kemudian klik CN=Password Settings Container
   
10. Klik-kanan CN=Password Settings Container di dalam console tree, klik New, dan kemudian klik Object
    
11. Di dalam kotak dialog Create Object, di bawah Select a class, klik msDC-PasswordSettings, dan kemudian klik Next.
    
12. Di dalam kotak dialog Create Object, masukkan SpecialAdmins pada isian Value, dan kemudian klik Next.

1. Untuk Value dari msDS-PasswordSettingsPrecedence, masukkan 1, dan kemudian klik Next
   
2. Untuk value dari msDS-PasswordReversibleEncryptionEnabled, masukkan false, dan kemudian klik Next
   
3. Untuk value dari msDS-PasswordHistoryLength, masukkan 24, dan kemudian klik Next
   
4. Untuk value dari msDS-PasswordComplexityEnabled, masukkan false, dan kemudian klik Next
   
5. Untuk value dari msDS-MinimumPasswordLength, masukkan 12, dan kemudian klik Next
   
6. Untuk value msDS-MinimumPasswordAge, masukkan 1:00:00:00, dan kemudian klik Next
   
7. Untuk value msDS-MaximumPasswordAge, masukkan 30:00:00:00, dan kemudian klik Next
   
8. Untuk value msDS-LockoutThreshold, masukkan 3, dan kemudian klik Next
   
9. Untuk value msDS-LockoutObservationWindow, masukkan 0:00:30:00, dan kemudian klik Next
   
10. Untuk value msDS-LockoutDuration, ketikkan (never), dan kemudian klik Next, kemudian klik Finish
    
11. Klik-kanan pada CN=SpecialAdmins di dalam console tree, dan kemudian pilih Properties
    
12. Pada window CN=SpecialAdmins Properties, pilih atribut msDS-PSOAppliesTo, dan kemudian klik tombol Edit
    
13. Pada window Multi-valued Distinguished Name With Security Principal Editor, klik tombol Add Windows Account
    
14. Pada window Select Users, Computers, or Groups, masukkan SpecialAdmins di dalam isian Enter the object names to select, dan kemudian klik OK
    
15. Klik OK pada window Multi-valued Distinguished Name With Security Principal Editor
16. Klik OK pada window CN=SpecialAdmins Properties
    

Kesimpulan

Pedoman konfigurasi langkah demi langkah ini menunjukkan proses dalam bagaimana mengkonfigurasi fine-grained passwords di Windows Server 2008.  Kita dapat mendefinsikan sejumlah seting password yang berbeda dan menerapkannya ke sebuah group Active Directory.  Ketika semua itu telah dilakukan maka seluruh anggota dari group tersebut terkena dampak dari penerapan password policy yang kita definisikan.

Referensi

AD DS Fine-Grained Password and Account Lockout Policy
http://technet.microsoft.com/en-us/library/cc770842.aspx

Active Directory Domain Services
http://technet.microsoft.com/en-us/library/cc770357.aspx

Windows Domain Password Policies
http://technet.microsoft.com/en-us/magazine/cc137749.aspx

Share this post: | | | |

Tutorial Gratis: Pemanfaatan Restricted Group Dalam membuat Group Desktop Support

Melanjutkan sejumlah tulisan berseri tentang security sebelumnya di sini dan juga di sini, kali ini saya mencoba untuk mengungkap cara yang efektif dalam membuat sebuah group dimana group ini berisi sejumlah user yang bertugas menjadi Desktop Support Technician. Group ini memegang peranan penting dalam membantu network administrator dalam sejumlah tugas-tugasnya.

Rights dari group ini tentu saja harus dibatasi, misalkan group ini harus memiliki administrative rights untuk seluruh member computers di domain, tetapi tidak boleh memiliki rights ke domain controller. Apa saja yang harus kita lakukan agar group ini menjadi menjadi member dari  local administrator group pada seluruh komputer yang bukan domain controller?

Tutorial ini dapat diunduh langsung ke link berikut:

http://cid-878aff2ea30d9624.skydrive.live.com/self.aspx/.Public/Seri%20Tutorial%20Keamanan%20Windows/Pemanfaatan%20Restricted%20Group.pdf

Semoga dapat bermanfaat….

Share this post: | | | |