Panduan lengkap untuk mengonfigurasi Direktori Aktif di Windows Server: instalasi, integrasi, dan praktik terbaik

Pembaharuan Terakhir: 30/04/2025
penulis: Isaac
  • Direktori Aktif memusatkan pengelolaan pengguna dan sumber daya dalam jaringan perusahaan.
  • Konfigurasi yang tepat memerlukan perencanaan dan perhatian terhadap peran, keamanan, dan DNS.
  • Integrasi dengan layanan lain dan autentikasi tingkat lanjut memperkuat infrastruktur.

 

direktori aktif

El Active Directory (AD) adalah salah satu bagian mendasar dalam setiap infrastruktur jaringan yang berbasis teknologi Microsoft. Meskipun kedengarannya seperti sesuatu yang diperuntukkan bagi perusahaan besar, penerapannya sama relevannya bagi UKM atau organisasi mana pun yang ingin memusatkan pengelolaan pengguna, perangkat, dan kebijakan keamanannya. Dalam artikel ini kami akan menunjukkan kepada Anda Cara menginstal dan mengonfigurasi Direktori Aktif langkah demi langkah, merinci semua detail, mengintegrasikan praktik terbaik, dan menangani semuanya mulai dari instalasi paling dasar hingga konfigurasi lebih lanjut dan skenario penggunaan di kehidupan nyata.

Jika Anda pernah bertanya-tanya bagaimana cara menyiapkan domain, cara membuat pengguna atau grup, persyaratan apa yang perlu Anda penuhi sebelum meluncurkan pengontrol domain pertama Anda, atau apa saja opsi autentikasi yang paling aman, kami akan menjelaskan semuanya secara praktis dan terperinci di sini. Jangan khawatir jika ini pertama kalinya Anda. Jika Anda sudah memiliki pengalaman, Anda pasti akan mempelajari sesuatu yang baru juga, karena kami membahas teori dan praktik dengan rekomendasi untuk menghindari kesalahan umum.

Apa itu Direktori Aktif dan mengapa itu begitu penting?

Active Directory Ini adalah sistem layanan direktori Microsoft, yang bertanggung jawab untuk memusatkan manajemen pengguna, komputer, sumber daya dan kebijakan dalam lingkungan jaringan. Fungsi utamanya adalah untuk menawarkan database yang terstruktur dan aman di mana semua informasi yang terkait dengan objek jaringan: pengguna, kelompok, komputer, printer, dan sejumlah elemen yang membentuk kehidupan sehari-hari perusahaan mana pun.

Di antara keuntungan yang paling menonjol adalah kontrol terpusat, yang standarisasi akses dan sumber daya, peningkatan dalam keamanan dan kemampuan untuk mendelegasikan tugas administratif tanpa melepaskan kendali. AD menggunakan protokol LDAP (Lightweight Directory Access Protocol) dan bergantung pada Layanan Domain (AD DS) untuk mengautentikasi pengguna dan memungkinkan administrasi berbagai sumber daya di jaringan.

El Direktori Aktif Ini lebih dari sekadar membuat pengguna; memungkinkan Anda untuk menentukan hierarki organisasi, menetapkan izin pada tingkat yang berbeda, mengotomatiskan tugas y memastikan kelangsungan bisnis berkat sistem replikasinya yang kuat dan toleransi kesalahan. Selain itu, integrasi dengan layanan lain seperti Exchange, Teams, dan sistem autentikasi multifaktor menjadikannya alat penting untuk operasi harian organisasi TI mana pun.

Prasyarat dan pertimbangan sebelum memulai

Sebelum Anda mulai menginstal dan mengonfigurasi Direktori Aktif, penting untuk memahami beberapa hal berikut: Prasyarat dan Rekomendasi. Poin-poin ini akan menyelamatkan Anda dari sakit kepala dan memastikan instalasi yang bersih dan efisien:

  • Perangkat keras minimum yang direkomendasikan: : Prosesor 64 GHz 1.4-bit, minimal 2 GB RAM (lebih banyak lebih baik), dan minimal 32 GB ruang disk kosong (lebih banyak direkomendasikan untuk lingkungan produksi).
  • Sistem operasi yang didukung: Windows Server 2016, 2019, 2022 (panduan ini berlaku untuk semua versi ini selama diperbarui).
  • Memiliki hak administrator pada mesin tempat Anda akan menginstal AD DS.
  • Tentukan alamat IP tetap untuk server Anda. Lupakan DHCP untuk pengontrol domain; IP harus statis.
  • Berikan server nama pengenal dan sesuai, mengikuti kebijakan penamaan internal Anda, dan membuat akun administrator lokal tambahan jika terjadi kejadian yang tidak terduga.
  • Perbarui sistem operasi dan instal semua patch keamanan sebelum Anda memulai.

Memenuhi persyaratan ini bukan hanya sekedar rekomendasi, namun merupakan fondasi yang akan Anda gunakan untuk membangun infrastruktur Anda selanjutnya, jadi jangan lewatkan langkah apa pun.

Menginstal Layanan Domain Direktori Aktif (AD DS)

ad

Langkah teknis pertama adalah Menginstal peran Layanan Domain Direktori Aktif, juga dikenal sebagai AD DS, di server Windows Anda. Peran ini mengaktifkan fungsionalitas server domain dan akan memungkinkan Anda menerapkan semua fitur Direktori Aktif di jaringan Anda.

Langkah-langkah untuk menginstalnya adalah sebagai berikut:

  • Buka administrator server. Pada versi Windows Server modern, biasanya akan terbuka secara otomatis saat Anda masuk, tetapi jika tidak, cari “Server Manager” di bilah pencarian dan luncurkan.
  • Klik pada “Tambahkan peran dan fitur” dari kanan atas.
  • Pilih opsi instalasi berbasis peran atau berbasis fitur.
  • Pilih server Anda dari daftar tujuan.
  • Centang kotak Layanan Domain Direktori Aktif (IKLAN DS). Jendela pop-up akan muncul untuk menambahkan fitur yang diperlukan. Konfirmasi dan lanjutkan.
  • Anda dapat membiarkan fitur default yang telah dipilih sebelumnya dan melanjutkan.
  • Tinjau ringkasan dan konfirmasikan penginstalan.
  • Setelah instalasi selesai, disarankan untuk memulai ulang server.
  Pelajari cara Mengizinkan Foto iCloud di iPhone dan iPad

Dan hati-hati! Proses ini menginstal peran, tetapi Anda belum mempromosikan server ke pengontrol domain atau membuat domain Anda. Kita akan melihatnya di bagian berikutnya.

Mempromosikan server ke pengontrol domain dan membuat domain

Menginstal peran AD DS hanyalah separuh dari perjuangan. Agar server benar-benar dapat mengelola pengguna, grup, dan kebijakan, Anda perlu mempromosikannya ke pengontrol domain dan definisikan Anda domain akar. Hal ini dilakukan dengan wizard yang disertakan panduan langkah demi langkah:

Domain Direktori Aktif Windows

  • Di Server Manager, setelah menginstal AD DS, Anda akan melihat peringatan kuning di bagian atas. Klik untuk memperluasnya dan pilih “Promosikan server ini ke pengontrol domain".
  • Pilih opsi Tambahkan hutan baru (jika ini adalah pengendali dan domain pertama Anda), dan masukkan nama domain root, seperti “perusahaan.lokal” atau apa pun yang telah Anda pilih. Jangan sampai kehabisan nama yang terlalu umum atau sudah digunakan.
  • Pilih tingkat fungsional untuk domain dan hutan (umumnya, pilih yang terbaru, asalkan Anda tidak memiliki driver lama lainnya).
  • Jika Anda menginginkannya, centang opsi untuk juga memasang layanan DNS pada server yang sama ini. Direkomendasikan dalam sebagian besar skenario karena menyederhanakan pengelolaan nama.
  • Masukkan kata sandi untuk memulihkan layanan direktori. Simpanlah dengan aman, karena akan sangat penting jika terjadi bencana.
  • Tinjau semua pilihan dan lanjutkan melalui panduan.
  • Sistem akan melakukan pemeriksaan sebelumnya. Jika semuanya benar, konfirmasikan dan mulai prosesnya.
  • Setelah selesai, server akan otomatis restart. Saat Anda masuk kembali, Anda akan masuk sebagai bagian dari domain baru.

Setelah langkah-langkah ini, server Anda secara resmi akan menjadi pengontrol domain pertama di infrastruktur Anda dan Anda akan dapat mulai bekerja dengan pengguna, grup, dan unit organisasi lainnya.

Konfigurasi DNS dan Resolusi Nama

El DNS (Sistem Nama Domain) Ini adalah pilar penting untuk berfungsinya Direktori Aktif. AD sendiri mengandalkan DNS untuk menemukan driver, layanan, dan menjaga keseluruhan sistem berjalan sebagaimana mestinya. Oleh karena itu, penting untuk mengonfigurasi layanan DNS dengan benar pada server yang sama atau pada server tambahan yang tersinkronisasi dengan baik.

Berikut adalah beberapa poin penting yang perlu diingat:

  • Saat Anda memasang dan mempromosikan server sebagai pengontrol domain, Anda juga dapat memasang peran DNS. Pilihan ini biasanya sudah dipilih sebelumnya secara default.
  • Pastikan alamat IP server DNS Anda sama dengan alamat IP pengontrol domain itu sendiri. Oleh karena itu, tim jaringan akan berkonsultasi dengan AD untuk penyelesaian internal.
  • konfigurasikan satu zona pencarian maju untuk domain Anda dan, jika diperlukan, tambahkan zona pencarian terbalik (ini membantu dengan resolusi IP terbalik).
  • Pada properti rekaman tipe-A server pengontrol, centang kotak untuk membuat rekaman PTR di zona pencarian terbalik, yang memudahkan administrasi dan keamanan.
  • Jangan lupa untuk mengatur pengirim barang domain eksternal dalam DNS sehingga komputer dapat menyelesaikan domain publik (misalnya, 8.8.8.8, 8.8.4.4 dari Google, IBM 9.9.9.9, atau Cloudflare 1.1.1.1).

Jika DNS tidak dikonfigurasi dengan benar, Direktori Aktif dapat mengalami masalah dengan replikasi, login, atau bahkan lokasi sumber daya dan layanan. Jadi berikan perhatian khusus pada bagian ini.

Membuat dan mengatur objek di Direktori Aktif

Setelah domain Anda aktif dan berjalan, langkah selanjutnya adalah mengatur objek direktori: pengguna, grup, komputer, dan unit organisasi (OU). Organisasi ini adalah kunci bagi manajemen yang efisien dan implementasi kebijakan yang mudah.

  Cara membuka dan menganalisis file ETL di Windows Performance Analyzer (WPA)

Proses umumnya meliputi:

  • Menciptakan unit organisasi (OU) untuk menyusun perusahaan (berdasarkan departemen, lokasi, jenis pengguna, dll.).
  • menambahkan pengguna dan menetapkannya ke OU yang sesuai.
  • Menciptakan kelompok keamanan atau distribusi untuk memfasilitasi penugasan izin, baik pada tingkat folder bersama maupun sumber daya jaringan.
  • Atur perangkat keras di OU yang sesuai, yang memungkinkan kebijakan grup tertentu diterapkan berdasarkan lokasi dalam struktur.

Pekerjaan administrasi ini dapat dilakukan dari Konsol Pengguna dan Komputer Direktori Aktif, alat visual yang disertakan dalam sistem itu sendiri. Dengan cara ini, Anda dapat menyeret pengguna, membuat OU baru, mengedit properti, atau memindahkan objek antar unit dengan cara yang sederhana dan visual.

Menciptakan struktur yang teratur dan koheren sejak awal akan menyelamatkan Anda dari banyak sakit kepala di kemudian hari. Selain itu, organisasi yang baik memudahkan penerapan GPO, mendelegasikan izin, dan mengidentifikasi insiden atau alur anomali.

Berbagi sumber daya domain dan keamanan

Salah satu keuntungan paling hebat dari Active Directory adalah manajemen terpusat izin dan sumber daya bersama. Dari folder di server hingga printer atau layanan jaringan, AD memungkinkan Anda menentukan secara tepat siapa yang dapat mengakses apa dan dengan tingkat izin apa.

Misalnya, Anda dapat membuat folder bersama di server, memberinya izin NTFS disesuaikan dengan grup terkait (“Sumber Daya Manusia” hanya untuk grup SDM, “Keuangan” hanya untuk grup akuntansi, dll.), dan mengontrol akses dan penulisan dari AD itu sendiri. Hal ini tidak hanya menyederhanakan pekerjaan sehari-hari pengguna, tetapi juga memperkuat keamanan dengan meminimalkan risiko akses tidak sah.

Triknya adalah selalu menetapkan izin ke grup, bukan pengguna. Jadi, saat pengguna berpindah departemen, cukup pindahkan mereka ke grup lain dan izin mereka akan otomatis diperbarui.

Praktik terbaik dalam administrasi Direktori Aktif

Mengelola AD bukanlah tugas satu kali, melainkan upaya berkelanjutan yang dipengaruhi oleh banyak faktor. Berikut adalah beberapa kiat dan rekomendasi untuk menjaga lingkungan Anda tetap aman dan efisien:

  • Membatasi penggunaan akun administrator domain. Gunakan hanya ketika benar-benar diperlukan dan bekerjalah dengan akun dengan hak istimewa terbatas bila memungkinkan.
  • Terapkan kebijakan kata sandi yang kuat, frekuensi perubahan dan pemblokiran akun setelah beberapa kali percobaan gagal.
  • Menetapkan audit dan pemantauan untuk mendeteksi upaya akses tidak sah, perubahan mencurigakan, dan potensi ancaman.
  • Dokumentasikan struktur dan perubahan Anda dilakukan untuk memfasilitasi pemeliharaan dan penyelesaian insiden.
  • Buat cadangan reguler status sistem dan pengontrol domain. Jadi, jika terjadi bencana, Anda dapat memulihkan domain Anda.
  • Hindari menggunakan akun bersama dan selalu gunakan akun individual untuk setiap pengguna dan administrator.

Dengan menerapkan praktik terbaik ini, Anda akan mengurangi risiko masalah keamanan dan membuat operasi sehari-hari departemen TI Anda lebih mudah.

Integrasi Lanjutan: Server Tambahan, Peran FSMO, dan Kepercayaan Lintas Domain

Di lingkungan perusahaan menengah dan besar, sering kali diperlukan untuk menerapkan lebih dari satu pengontrol domain untuk meningkatkan redundansi dan ketersediaan. Memasang pengontrol domain kedua (atau ketiga) mereplikasi informasi dan memastikan bahwa jaringan Anda terus berfungsi meskipun salah satu pengontrol gagal.

Selain itu, Direktori Aktif menetapkan serangkaian peran khusus yang disebut FSMO (Operasi Master Tunggal yang Fleksibel) yang menjalankan fungsi penting: Master Skema, Master Penamaan Domain, Master RID, Emulator PDC, dan Master Infrastruktur. Memahami di mana peran-peran ini berada, memantaunya, dan mentransfernya bila diperlukan sangat penting bagi berfungsinya domain dengan baik.

Yang tidak kalah penting adalah konfigurasi hubungan kepercayaan antar domain atau antar hutan, yang memungkinkan pengguna dari domain berbeda untuk mengakses sumber daya bersama di bawah aturan yang aman dan terdefinisi dengan baik.

Layanan Web Direktori Aktif (ADWS): Manajemen dan Otomatisasi Lanjutan

Sejak Windows Server 2008 R2, layanan Layanan Web Direktori Aktif (ADWS) Menyediakan antarmuka web modern yang memungkinkan Anda berinteraksi dengan instance AD ​​DS dan AD LDS dari aplikasi, skrip, dan alat eksternal seperti PowerShell atau Pusat Administrasi Direktori Aktif.

  Cara memodifikasi file .ini atau .cfg di video game dengan aman dan efektif

Jika layanan ADWS dihentikan, manajemen jarak jauh tidak akan tersedia lagi untuk alat seperti PowerShell. Oleh karena itu, disarankan untuk membiarkannya dikonfigurasi dalam mode otomatis:

  • Buka “Run” (Windows+R), ketik services.msc dan temukan layanan “Layanan Web Direktori Aktif”.
  • Edit propertinya, atur jenis startup ke “Otomatis”, dan jika tidak berjalan, klik “Mulai”.

Ulangi proses ini pada semua server AD yang relevan untuk memastikan manajemen terpusat dan aman.

Otentikasi aman dan opsi lanjutan: LDAP, LDAPS, SSO, dan autentikasi multifaktor

Inti dari Direktori Aktif adalah otentikasi. Keamanan akses bergantung pada protokol dan metode yang tepat untuk memvalidasi pengguna. Berikut ini beberapa kunci penting:

  • Direktori Aktif mendasarkan otentikasi pada LDAP, namun untuk memastikan kerahasiaan, disarankan untuk mengaktifkan LDAPS (LDAP melalui SSL/TLS) bila memungkinkan. Dengan cara ini, kredensial dikirimkan secara terenkripsi dan serangan penyadapan dapat dihindari.
  • Untuk lingkungan yang kompleks, dimungkinkan untuk menerapkan otentikasi multi-faktor (misalnya, dengan PhoneFactor), memungkinkan penggunaan kode satu kali, panggilan, SMS atau pemberitahuan push untuk memvalidasi identitas.
  • El Sistem Masuk Tunggal (SSO) membuat kehidupan lebih mudah bagi pengguna, karena dengan satu login mereka dapat mengakses beberapa aplikasi yang terintegrasi dengan domain.
  • Jangan lupa untuk memantau upaya yang gagal dan mengatur batas waktu atau kunci otomatis untuk melindungi Anda dari serangan brute force.

Mengonfigurasi layanan ini mungkin memerlukan pembuatan sertifikat, menyesuaikan kebijakan pada Firebox atau yang serupa, dan menguji koneksi dari antarmuka manajemen untuk memverifikasi bahwa semuanya berfungsi dengan benar.

Integrasi peralatan dan layanan eksternal (VPN, aplikasi, jaringan hybrid)

Dalam praktiknya, banyak lingkungan mengharuskan Direktori Aktif diintegrasikan dengan perangkat eksternal (firewall, peralatan, jaringan jarak jauh, layanan cloud, dll.). Faktanya, otentikasi pengguna untuk VPN, akses ke aplikasi web atau sistem pemantauan biasanya melalui AD.

Integrasi terdiri dari:

  • Konfigurasikan perangkat atau aplikasi eksternal untuk menunjuk ke server AD Anda sebagai sumber autentikasi LDAP/LDAPS.
  • Tambahkan parameter yang diperlukan (domain, nama pengontrol atau IP, basis pencarian).
  • Verifikasi koneksi dan izin, uji login dari perangkat eksternal sebelum memasukkannya ke produksi.
  • Untuk VPN atau firewall, Anda dapat menentukan beberapa domain, mengonfigurasi server cadangan, dan menggunakan opsi lanjutan seperti SSO untuk menyederhanakan pengalaman pengguna.

Untuk menjaga keamanan, selalu pastikan untuk menggunakan saluran terenkripsi dan validasi sertifikat server dengan benar pada semua koneksi eksternal.

Manajemen dan pemeliharaan: mengedit, menguji, dan menghapus domain dan server

Administrasi Active Directory sehari-hari melibatkan tugas-tugas seperti mengedit domain yang ada, memeriksa koneksi, dan menghapus domain atau server yang tidak lagi digunakan secara aman. Berikut adalah panduan praktis kecil:

  • Dari konsol manajemen (Fireware Web UI, misalnya), Anda dapat menguji koneksi ke server AD dan memverifikasi bahwa pengguna dapat melakukan autentikasi dengan sukses.
  • Jika Anda perlu menghapus domain, pilih domain target, tekan “Hapus” dan konfirmasikan tindakan; Jika server adalah pengontrol domain utama, Anda perlu mentransfer peran FSMO dan menurunkannya terlebih dahulu sebelum menghapusnya.
  • Selalu dokumentasikan perubahan yang dibuat dan pastikan untuk memperbarui infrastruktur Anda untuk menghindari referensi ke domain atau server yang tidak ada lagi.

Pemeliharaan proaktif, dengan pengujian, pemantauan, dan dokumentasi rutin, adalah dasar untuk infrastruktur yang stabil dan aman.

Konfigurasikan dan kelola Active Directory Ini adalah tugas yang rumit tetapi sangat bermanfaat yang membuat perbedaan dalam lingkungan TI apa pun. Dengan mengikuti langkah-langkah dan praktik baik ini, jaringan Anda akan memiliki struktur yang kuat dan terorganisir yang siap untuk tumbuh, mengintegrasikan layanan baru, dan menghadapi ancaman saat ini. cybersecurity. Dengan akal sehat dan perencanaan, manajemen direktori aktif akan menjadi sekutu terbaik Anda dalam memastikan pengelolaan semua sumber daya perusahaan yang efisien dan aman.