bobby iskandar zulkarnain

Batasi Right dari Domain Users di Active Directory Domain Services Anda

Kasus dimana ordinary user dapat melakukan joining ke domain dengan menggunakan privilege mereka, masih dapat dilakukan di domain Windows Server 2008 R2.

Misalkan kita memiliki sebuah user account, dan kita tempatkan di suatu OU (pada dasarnya tidak masalah berada di kontainer atau OU manapun).

clip_image001

Kemudian lakukan login ke sebuah komputer desktop sebagai local administrator. Jika kita tes untuk menjoinkan komputer desktop tersebut ke domain dengan menggunakan privilege user Andi, pasti dapat dilakukan dengan sukses, karena secara default, ordinary user dapat menjoinkan workstation maksimal 10 cukup dengan menggunakan privilege yang mereka miliki.

clip_image003

Bagaimana dengan disjoin domain? Apakah reguler user ini masih dapat melakukannya? Mari kita lihat. Kembali lakukan login sebagai user reguler ke domain.

clip_image005

Kembali buka Properti dari Computer.

clip_image006

Kemudian klik Change settings.

clip_image008

clip_image009

Kegagalan yang akan kita temui. Jadi reguler user hanya dapat menjoinkan workstation mereka tetapi tidak dapat mendisjoinkannya.

Mengapa hal ini dapat terjadi? Kita dapat menceknya dengan membuka Default Domain Controller Policy, melalui Group Policy Management, sebagai berikut. Yang kita perlu lihat adalah right untuk Add workstation to domain, seperti berikut ini.

clip_image011

Pada gambar di atas, terlihat bahwa Autenticated Users memiliki right untuk men-joinkan workstation ke domain. Dengan melakukan perubahan pada Group Policy ini, Anda dapat meningkatkan keamanan dari Active Directory Domain Services (ADDS) Anda. Semoga dapat bermanfaat….