Berlanjut dengan yang sebelumnya
D. Penentuan pemakaian Policy, Site, Subnet, Site-Link, OU, group etc.
1. Site : kita sudah mendapatkan KP & CBNGJKT berdasarkan penamaan yang kita pakai tadi. (site digunakan oleh
client/pc/server yang join domain untuk login (authentikasi) ke server yang ada pada site tersebut, site dibuat hanya
atau ketika pada site tersebut mempunyai Server AD(minimal RODC, ADC, ataupun DC).
2. Subnet : Masukkan semua subnet list yang ada pada masing-masing site.
Contoh : KP : 192.168.1.0/24, 192.168.2.0/24, 192.168.3.0/24 (apabila subnet nya bisa di simpulkan (summarize)
lebih baik di summarize apabila tidak bisa maka kita harus memasukkannya 1 per 1. CBNGJKT : 192.168.100.0/24
192.168.101.0/24, 192.168.102.0/24. (subnet akan di link pada masing-masing site, maka ketika pC atau klien login
DNS akan mengecek, PC tersebut harus nya login ke Server AD yang mana.).
3. Site Link : Sitelink seperti yg dijelaskan sebelumnya untuk menghubungkan antar masing-masing site. kita sudah
mendapatkan sitelink kita berdasarkan konvensi penamaan KP-CBNGJKT dengan cost 180 (gunakan default cost)
site link juga menentukan jarak terdekat dan waktu replikasi priority). Karena cabang kita hanya satu jadi kita tidak
perlu membuat beberapa site-link.
4. OU : kegunaan utama OU ada untuk pengelompokan Objek yang di dalam AD dan untuk memberikan Policy
specific kepada setiap objek .Untuk OU sendiri seperti yang saya jelaskan sebelumnya pada penamaan, OU best
practice dari Microsoft tidak lebih dari 3 level. kita akan untuk level 1, kita akan pakai Cabang atau wilayah masing-
masing untuk level 2 kita akan pakai account apa yang digunakan, level 3 kita akan pakai specific account, atau
detail untuk masing-masing account tersebut.
Contoh :
KP
UserAccount
Employees
ComputerAccount
ServerAccount
Apps
ServiceAccount
AdminAccount
CBNGJKT
UserAccount
Employees
ComputerAccount
ServerAccount
Apps
ServiceAccount
AdminAccount
Biasa nya akan selalu ada pertanyaan, apabila semua user pada kantor pusat di letakkan pada OU Employees
bagaimana apabila kita akan membuat policy hanya untuk user marketing / helpdesk yang tidak bisa internetan ?
Penjelasannya, pada Group Policy AD, didalam masing-masing policy kita bisa bikin lebih specific lagi kepada siapa
policy itu digunakan, by default nya AD policy akan kena oleh semua user (authenticated users), nah kita tinggal
menremove default user tersebut menggantikannya dengan Group Marketing misalnya, jadi tiap group atau divisi
atau organisasi dalam suatu perusahaan akan tetap mendapatkan policy (aturan) sesuai dengan hak masing2.
5. Policy : policy sebaiknya di pecah-pecah menjadi beberapa bagian
a. Default Domain Policy (policy yang dikenakan untuk semua user, biasa nya password, wallpaper, dll)
b. Default Domain Controller Policy (Policy yang hanya dikenakan untuk Active Directory Servers, biasa nya siapa saja
yang boleh login pada server tersebut, audit log pada server AD tersebut, dll)
c. Member Server Policy (policy yang dikenakan untuk setiap server ada, perlakuannya sedikit berbeda dengan
member komputer karena server lebih sedikit harus di lindungi seperti DC, biasa nya kurang lebih sama seperti DC
siapa saja yang boleh login pada server tersebut, audit log pada server AD tersebut, dll)
d. Spesifik cabang atau juga spesific divisi. Ada baiknya jangan terlalu banyak membuat masing-masing divisi, contoh
helpdesk, marketing, accounting, finance, system engineer, network engineer, dan lain lain, apabila sudah terlalu
banyak seperti ini, maka ketika mendapatkan suatu masalah / problem maka akan cukup rumit untuk melakukan
troubleshooting masalah tersebut.
Biasanya saya akan membuat hanya 4/5 policy
1. Default Domain Policy,
Password
- Complexity : enabled, history : 10, length : 8, changed : 1 month.
Account lockout
- duration : 30 minutes, wrong : 5x.
USB drives storage : disabled all users
USB device (printer, cd drive) tergantung policy perusahaan better close.
Wallpaper : sama semua user.
- Run Command : disabled (mencegah user untuk otak-atik system)
- CMD command : disabled (mencegah user untuk otak-atik system)
- Control Panel : disabled (mencegah user melakukan installasi program ilegal)
- folder sharing : disabled (menggunakan folder sharing yg ada di server)
Notes : biasa nya perlu di lakukan test apps, karena ada karena beberapa policy aplikasi tertentu tidak berjalan
dengan baik. ( the more secure = the less effectiveness <—harus di seimbangkan.)
2. Default Domain Controller Policy,
3. Member Server Policy,
4. specific policy sebaiknya hanya di gunakan untuk apabila di masing-masing cabang perlu setting an proxy yang
berbeda atau untuk level direksi yang memerlukan akses lebih, selain itu sebaiknya sama. karena akan amat sangat
kompleks.
Notes
~Untuk Detail policy masing-masing nya, belum bisa saya berikan saat ini, karena cukup banyak, apabila ada yang
membutuhkan, bisa email saya ke bobby_primasta@yahoo.com mungkin saya akan bantu kirim file nya.
~Desain ini merupakan desain simple AD, yang hanya di implementasikan pada 2 cabang, mungkin berikut nya saya
juga akan memberikan desain yang lebih advanced dari ini. Keep waiting & keep reading ya guys.
~Apabila ada pertanyaan just asking aja lewat wss-id.org mailing list, atau forum, atau melalui blogs ini juga boleh
untuk desain yang di atas, maka saya akan dengan senang hati membantu.
Semoga membantu ya.
Terima kasih.
Terakhir dalam satu tahun ini cukup banyak proyek Active Directory yang saya kerjakan.
Mau share sedikit dengan teman – teman sekalian,
Mulai dari :
1. Bangun Baru AD dari 0.
2. Upgrade AD dari 2003 to 2008 R2 atau 2008 ke 2008 R2.
3. Migrate AD Forest with Multiple domain 2003 R2 ke 2008 R2.
dan sebagai nya :).
Yang ingin saya share mungkin dari hal yang paling simple terlebih dahulu, seperti yang pada point 1
Membangun Active Directory dari 0
Terdapat lima fase ketika kita akan membangun AD :
1. Fase Desain. (penentuan Implementasi AD yang akan dilakukan pada server pusat)
2. Fase Testing Aplikasi. (pengetestan Apps dengan policy yang sudah kita buat)
3. Fase Implementasi (pembangunan Server Pusat).
4. Fase Staging untuk server yang di cabang.
5. Fase Piloting, dimana kita akan mencoba testing di salah satu cabang terlebih dahulu kemudian.
Kita akan bahas satu – satu untuk kelima fase ini, yang akan menentukan sukses tidak nya Active Directory
yang akan kita implementasi. Mulai dari tahap awal yang paling simple yaitu fase desain, simple akan tetapi
sangat menentukan kedepan nya.
1. Fase Desain (Design Phase).
Kurang lebih Fase desain meliputi sebagai berikut :
a. Assessment (survei).
b. Penentuan server hardware, berapa banyak server yang di pakai dan penempatannya.
c. Penentuan penamaan Policy, Site, Site-Link, OU, group, user, computer etc.
d. Penentuan pemakaian Policy, Site, Subnet, Site-Link, OU, group etc.
A. Assessment.
Sebelum memulai desain biasa nya kita akan melakukan assessment (survei) pada kantor yang bersangkutan.
Untuk melihat keadaan yang ada di kantor (customer tersebut) misalnya Ada berapa cabang, ada berapa
komputer dan user, kemudian kira-kira pertumbuhan pegawai mereka berapa banyak setiap tahun nya. dan
lain sebagainya.
Kita akan ambil contoh simpel, terdapat 1 Perusahaan yang mempunyai sekitar 230 karyawan, terdapat 2 kantor,
1 kantor pusat dan kantor cabang, di kantor cabang kurang lebih terdapat 150 karyawan, sedangkan pada
kantor cabang terdapat kurang lebih 80 karyawan. Dan growth Perusahaan (perkembangan perusahaan nya)
kurang lebih 30 karyawan pertahunnya.
B. Penentuan server hardware, berapa banyak server yang di pakai dan penempatannya.
Setelah selesai fase awal, kita akan memulai hal berikut nya yaitu menentukan berapa banyak server yang kira2
kita butuhkan. Berdasarkan assessment kita paling sedikit kita membutuhkan 2 server untuk high availability AD
biasa nya minimum tersebut selalu saya pakai, untuk karyawan di bawah <1000 termasuk skala kecil, sehingga
kita juga tidak memerlukan spec server yang wah. Untuk Contoh ini saya akan memakai 3 server HP DL360 G7 8Gb
memory, harddisk 146gb x3 (RAID 5) untuk HA Server, 2 NIC 1Gbit, seharusnya ini sudah cukup. Bahkan untuk
perkembangan kedepannya. 3 server tersebut, akan kita lokasikan 2 di pusat untuk High Availability (HA) /
redundancy dan 1 server di cabang, karena best practice nya Microsoft untuk menempatkan 1 server lagi di cabang
minimum user >30 agar tidak mengganggu bandwidth dari cabang ke pusat ketika user melakukan login /
authentikasi.
C. Penentuan penamaan Policy, Site, Site-Link, OU, group, user, computer etc.
Untuk penamaan sendiri sebenarnya tergantung pada perusahaan yang bersangkutan, apakah mereka sudah
terdapat standarisasi penamaan (implement naming convention) ? apabila belum, maka kita bisa mengajukan /
memberi masukan ke mereka.
Contoh untuk penamaan (berdasarkan skenario kita diatas 2 cabang) :
1. Site Name : kita punya 2 site, yaitu kantor pusat dan kantor cabang. Apabila perusahaan tersebut perusahaan
asing bukan perusahaan lokal (mengutamakan bahasa inggris) kita bisa memberi nama HQ(HeadQuarters) &
BRCHJKT (Branch-Jakarta). Apabila perusahaan lokal, kita bisa memberi nama KP(kantor pusat) & CBNGJKT
(Cabang-Jakarta). Penamaan site sebaiknya sesuai dengan daerah masing-masing, karena ketika kita
troubleshooting lebih memudahkan kita untuk mencari akar permasalahannya.
2. Site-Link Name : site link singkat nya adalah penghubung antar 2 site, pada AD, ini harus di configure, karena
default konfigurasi dari Microsoft adalah Full-Mesh, apabila tidak configure maka apabila terdapat banyak cabang,
maka akan terkoneksi ke sembarang site, bukan terpusat (Star Topology). Untuk Site link biasanya kita akan
namakan sesuai dengan link yang terhubung, contohnya KP-CBNGJKT.
3. OU Name : best practice dari Microsoft adalah yang paling depan berdasarkan site masing-masing untuk
penamaan nya, contohnya ketika kita membangun AD pertama x akan terdapat default OU users, domain
controllers, computers dan lain-lain. Itu dinamakan level 1, untuk desain terbaik OU max 3 level di dalamnya.
Contoh :
KP
UserAccount
Employees
ComputerAccount
ServerAccount
Apps
ServiceAccount
AdminAccount
CBNGJKT
UserAccount
Employees
ComputerAccount
ServerAccount
Apps
ServiceAccount
AdminAccount
4. Group Name : untuk penamaan Group biasa nya tergantung penggunaannya (pengelompokannya) di dalam AD
terdapat 2 jenis Group, Security Group dan Distribution Group. Security group (grup untuk kasih permisi di file
system dan untuk distribusi email), sedangkan distribution group (grup hanya untuk pendistribusian email).
biasa nya sistem penamaannya kurang lebih SG-<organization>-01, atau DG-<organization>-01, contohnya :
untuk Direksi SG-Direksi-01 atau untuk Helpdesk DG-Helpdesk-01.
5. Computer Name : untuk penamaan komputer biasa nya berdasarkan cabang yang bersangkutan, spesifikasi
pekerjaan / organisasi nya, kemudian penomoran. atau pun juga biasa nya ada yang memakai serial number / kode
kode untuk masing-masing cabang mereka. contoh nya : KP-Direksi-01 atau CBNGJKT-IT-01.
6. User Name : untuk penamaan user biasa nya berdasarkan user firstname.lastname (namaawal.namaakhir).
karena memudahkan user juga apabila email nya terintegrasi dengan Exchange-Server. atau pun juga bisa dengan
namaawal_namaakhir. Contoh nya : bobby.primasta atau bobby_primasta.
berlanjut keblogs berikut nya, karena yang akan didiskusi kemudian agak panjang mengenai desain AD nya.
Semoga Membantu teman2 ketika implementasi.
Terima kasih.