Kertas Penerangan DKB4213 K1 (2) PDF

Summary

This document is a lecture note for a Teknologi Maklumat course, semester 4/2022. It covers the introduction to directory services and active directory. The lecture note provides a general overview of directory services and their importance in network administration.

Full Transcript

BAHAGIAN PENDIDIKAN TEKNIK DAN VOKASIONAL
KEMENTERIAN PENDIDIKAN MALAYSIA
ARAS 5 & 6, BLOK E14, KOMPLEKS E,
PUSAT PENTADBIRAN KERAJAAN PERSEKUTUAN

NOTA KULIAH
(LECTURE NOTES)

KOD DAN NAMA
TEKNOLOGI MAKLUMAT
PROGRAM
TAHAP DAN SEMESTER SEMESTER 4/2022

KOD DAN TAJUK
DKB4213 ADMINISTERING SERVER
KURSUS
K1 INTRODUCTION TO DIRECTORY SERVICES AND
ACTIVEDIRECTORY
K2 IMPLEMENTING DOMAIN NAME SYSTEM (DNS) AND
ACTIVE DIRECTORY (AD)
K3 DOMAIN NAME SYSTEM (DNS) AND ACTIVE
NO.DAN TAJUK
DIRECTORY (AD) INTEGRATION
KOMPETENSI
K4 USER ACCOUNT AND GROUP ACCOUNT
ADMINISTRATION
K5 ADMINISTERING GROUP POLICY
K6 ADMINISTERING SHARED FOLDERS, ACTIVE
DIRECTORY AND SECURITY CONFIGURATION
NO. KOD KSKV DKB4213/NK(1/6) Muka Surat : 1 Drp : 22
1. Apply the term, concept and usage of Directory Services in
Server administration(C3,PLO3,LOD2)
2. Demonstrate the installation, Configuration and management of
Hasil Pembelajaran Kursus Active Directory features.(P3,PLO2,LOD3a)
3. Practice Personal skills in active directory administration through
the use of security features,group policy and software
deployment tools. (A2,PLO6,LOD4a)

TAJUK/TITLE :
C1-INTRODUCTION TO DIRECTORY SERVICES AND ACTIVE DIRECTORY

TUJUAN/PURPOSE :

Kertas Penerangan ini adalah bertujuan untuk menerangkan mengenai :
 Konsep Perkhidmatan Direktori
 Konsep Direktori Aktif
 Senibina Directori Aktif
o Struktur Logikal
o Struktur Fizikal
 Muka Surat / Page : 2
NO. KOD / CODE NO. DKB4213/NK (1/3)
Drpd / of : 22

1.1 Konsep perkhidmatan direktori (DS)

Direktori adalah struktur hierarki yang menyimpan maklumat mengenai objek di rangkaian.
Perkhidmatan direktori (Directory service) adalah sistem perisian yang menyimpan, menyusun
dan memberikan akses kepada maklumat direktori untuk menyatukan sumber rangkaian.
Perkhidmatan direktori adalah perkhidmatan rangkaian yang mengenal pasti setiap sumber
seperti alamat e-mel, peranti peripheral dan komputer di rangkaian, dan menjadikan sumber ini
dapat diakses oleh pengguna dan aplikasi. Perkhidmatan direktori memetakan nama rangkaian
sumber rangkaian kepada alamat rangkaian dan menentukan struktur penamaan untuk
rangkaian.

Perkhidmatan direktori, seperti Perkhidmatan Domain Direktori Aktif (AD DS), menyediakan
kaedah untuk menyimpan data direktori dan menjadikan data ini tersedia untuk pengguna dan
pentadbir rangkaian. Sebagai contoh, AD DS menyimpan maklumat mengenai akaun pengguna,
seperti nama, kata laluan, nombor telefon, dan sebagainya, dan membolehkan pengguna lain
yang dibenarkan pada rangkaian yang sama untuk mengakses maklumat ini.

Perkhidmatan direktori memberikan ketelusan (transparency) kepada protokol dan topologi
rangkaian, membenarkan pengguna mengakses sumber tanpa perlu mengetahui lokasi fizikal
peranti. Ia merupakan komponen penting dalam sistem operasi rangkaian dan merupakan
repositori maklumat pusat untuk platform penyampaian perkhidmatan.

Directory services (DS) adalah sistem perisian yang menyimpan, mengatur dan memberikan
akses kepada maklumat-maklumat yang ada dalam direktori rangkaian dengan tujuan untuk
menyatukan sumber-sumber dalam rangkaian tersebut.

Directory services memetakan network name bagi sesuatu sumber rangkaian ke network
address dan menentukan struktur penamaan untuk rangkaian.

Directory services memberikan ketelusan kepada protokol dan topologi rangkaian, yang
membolehkan pengguna mengakses sumber tanpa perlu mengetahui lokasi fizikal peranti. Ini
adalah komponen penting dalam sistem operasi rangkaian dan merupakan pusat penyimpanan
maklumat utama untuk platform penyampaian perkhidmatan.

Directory services adalah perkhidmatan rangkaian yang mengenal pasti setiap sumber seperti
alamat e-mel, peranti periferal dan komputer dalam rangkaian. Ia menjadikan semua sumber-
sumber ini dapat diakses oleh pengguna dan aplikasi.
 Muka Surat / Page : 3
NO. KOD / CODE NO. DKB4213/NK (1/3)
Drpd / of : 22

Terdapat satu directory services khusus yang dipanggil naming services yang berfungsi untuk
memetakan nama sumber dalam rangkaian ke alamat rangkaian masing-masing. Perkhidmatan
direktori ini memudahkan pengguna agar mereka tidak perlu mengetahui alamat fizikal bagi
sesuatu sumber rangkaian. Directory services juga menentukan namespace untuk rangkaian,
yang menyimpan satu atau lebih objek sebagai entri nama (name entries).

Directory services mengandungi infrastruktur maklumat yang boleh dikongsi dalam rangkaian
yang digunakan untuk mentadbir, mengurus, mengesan dan mengatur item dan sumber
rangkaian. Ia juga merupakan komponen penting dalam sistem operasi rangkaian.

Directory services adalah sebahagian daripada inisiatif Open Systems Interconnection (OSI)
untuk standard rangkaian umum dan kebolehoperasian pelbagai vendor. Sekitar tahun 1980-an,
ITU (International Telecommunication Union) dan ISO telah membuat satu set piawai untuk
directory services, pada mulanya untuk menyokong keperluan pemesejan elektronik antara
syarikat telekominikasi (carrier) dan pencarian nama rangkaian (network-name lookup).

Dua contoh directory services adalah Lightweight Directory Access Protocol (LDAP), yang
digunakan untuk alamat e-mel, dan Netware directory service, yang digunakan dalam rangkaian
Novell Netware.

Contoh-contoh directory services lain yang popular ialah:
1. 389 Directory Server
Ia merupakan pelaksanaan pelayan sumber terbuka percuma oleh Red Hat, dengan
mendapat sokongan komersil dari Red Hat dan SUSE.
2. Active Directory:
Ia merupakan directory services milik Microsoft untuk kegunaan sistem operasi Windows.
Ia berasal dari direktori X.500, dibuat untuk kegunaan dalam Exchange Server bagi
Windows Server 2000. Ia terus digunakan dalam versi-versi Windows seterusnya.
3. Apple Open Directory:
Directory services kepunyaan Apple untuk kegunaan Mac OS X. Ia boleh didapati melalui
Mac OS X Server.
4. Sun Java System Directory Server
Ia merupakan directory service kepunyaan Sun Microsystems

Definisi Directory: Merujuk kepada koleksi data sesuatu objek yang disimpan dan ianya
berkaitan satu sama lain. Contoh: Directory Telefon.
 Muka Surat / Page : 4
NO. KOD / CODE NO. DKB4213/NK (1/3)
Drpd / of : 22

Kebaikan Directory:
 Direktori dapat menyusun dan mempermudahkan lagi akses pada sesebuah objek
 Ianya juga memudahkan penguatkuasaan keselamatan
 Ianya memudahkan proses agihan tugas
 Ianya membolehkan mereplikasi pada kegagalan sesuatu rintangan

Directory

manage
Objects Locate and use
Administrator s (Users, Computers, Users
Servers,Printers, Applications,
Database)

1.2 Konsep direktori aktif (AD)

Direktori Aktif (Active Directory) disusun secara dalaman dengan kerangka hierarki. Setiap nod
dalam struktur seperti tree disebut sebagai objek dan dikaitkan dengan sumber rangkaian,
seperti pengguna atau perkhidmatan. Seperti konsep skema topik pangkalan data, skema
Direktori Aktif digunakan untuk menentukan atribut dan jenis untuk objek Direktori Aktif yang
ditetapkan, yang memudahkan mencari sumber rangkaian yang berkaitan berdasarkan atribut
yang ditetapkan. Sebagai contoh, jika pengguna perlu menggunakan pencetak dengan
keupayaan percetakan warna, atribut objek boleh ditetapkan dengan kata kunci yang sesuai,
sehingga lebih mudah untuk mencari seluruh rangkaian dan mengenal pasti lokasi objek
berdasarkan kata kunci tersebut.

Direktori Aktif menyediakan antara muka (interface) umum untuk mengatur dan menyelenggara
maklumat yang berkaitan dengan sumber yang berkaitan dengan pelbagai direktori rangkaian.
Direktori mungkin berasaskan sistem (seperti Windows OS), sumber khusus aplikasi atau
rangkaian, seperti pencetak. Direktori aktif berfungsi sebagai satu pusat penyimpanan data
tunggal untuk akses data pantas kepada semua pengguna dan mengawal akses pengguna
berdasarkan polisi keselamatan direktori.

Domain terdiri daripada objek yang tersimpan di sempadan keselamatan tertentu dan saling
berhubungan dalam struktur seperti tree. Domain tunggal mungkin mempunyai beberapa
pelayan - masing-masing mampu menyimpan pelbagai objek. Dalam kes ini, data organisasi
disimpan di beberapa lokasi, jadi domain mungkin mempunyai beberapa tapak untuk satu
domain. Setiap tapak mungkin mempunyai pengawal domain berganda untuk sebab sokongan
dan skala. Pelbagai domain mungkin disambungkan untuk membentuk sebuah tree domain,
 Muka Surat / Page : 5
NO. KOD / CODE NO. DKB4213/NK (1/3)
Drpd / of : 22

yang berkongsi skema biasa, konfigurasi dan katalog global (digunakan untuk mencari di seluruh
domain). Forest dibentuk oleh satu set tree domain yang berganda dan dipercayai dan
membentuk lapisan paling atas Direktori Aktif.

Direktori Aktif menyediakan perkhidmatan rangkaian berikut:
 Protokol Akses Direktori Lightweight (LDAP) - Satu standard terbuka yang digunakan
untuk mengakses perkhidmatan direktori lain
 Perkhidmatan keselamatan menggunakan prinsip-prinsip Lapisan Keselamatan Soket
(SSL) dan pengesahan berasaskan Kerberos
 Penyimpanan data orgabisasi berhierarki dan dalaman di lokasi berpusat untuk akses
yang lebih cepat dan pentadbiran rangkaian yang lebih baik
 Ketersediaan data di pelbagai pelayan dengan kemas kini serentak untuk menyediakan
skala yang lebih baik

Manfaat Direktori Aktif –
 Struktur organisasi berhierarki.
 Pengesahan Multimaster & Multimaster replikasi (keupayaan untuk mengakses dan
mengubah suai AD DS dari pelbagai titik pentadbiran)
 Satu titik akses kepada sumber rangkaian.
 Keupayaan untuk mewujudkan hubungan yamh dipercayai dengan rangkaian luaran
yang menjalankan versi lama Direktori Aktif bahkan Unix.

Active Directory (AD) adalah directory service Microsoft yang menyimpan maklumat mengenai
objek-objek dalam rangkaian. AD juga memudahkan data yang disimpan untuk diakses oleh
pengguna yang diberikan autoriti (authorized users).
Antara contoh-contoh objek Active Directory ialah pengguna (users), komputer (computers),
pencetak (printers) dan sumber-sumber lain dalam rangkaian.

Rajah 1.1: Gambaran Fungsi Active Directory
 Muka Surat / Page : 6
NO. KOD / CODE NO. DKB4213/NK (1/3)
Drpd / of : 22

Pengguna mestilah disahkan terlebih dahulu (authenticated) sebelum dibenarkan masuk ke
dalam sesuatu rangkaian AD. Pengesahan (authentication) biasanya dibuat dengan
mengesahkan (verifying) nama pengguna (username) dan kata laluan pengguna (password).
Setelah pengguna log masuk ke dalam rangkaian, Active Directory yang menyimpan maklumat
mengenai kebenaran pengguna (keahlian kumpulan, dll) dan juga hak akses akan memulakan
tugasnya. Apabila pengguna meminta akses terhadap sesuatu sumber, AD akan bertindak
memberikan atau menolak akses. Proses pemberian atau penolakan akses disebut sebagai
Authorization.

1.2.2 Istilah Penting Mengenai Active Directory

Active Directory mempunyai beberapa konsep yang sangat penting yang perlu anda fahami
sebelum melakukan deployment dan menguruskannya dengan berkesan. Berikut adalah
beberapa konsep penting tersebut:

1) AD Domain Controller
AD Domain Control (AD DC) adalah server Windows yang berfungsi menggunakan AD Domain
Services. Bagi sesebuah Windows Server yang hendak berfungsi menggunakan AD DC, ia
harus dipromosikan (promoted) menjadi Domain Controller menggunakan Server Manager.

Rajah 1.2: Kedudukan Domain Controller dalam Rangkaian

2) Active Directory Schema
Konsep penting seterusnya adalah AD schema. AD schema berfungsi untuk menentukan kelas
objek dan atributnya. Contoh kelas objek AD adalah users, computers dan OU. Users
mempunyai beberapa atribut seperti users first name, managers, last name, password, office
number, telephone number dll.
 Muka Surat / Page : 7
NO. KOD / CODE NO. DKB4213/NK (1/3)
Drpd / of : 22

Rajah 1.3: Contoh Active Directory Schema

Active Directory menyimpan kelas objek dan atributnya menggunakan Active Directory schema.
Active Directory Schema mempunyai objek standard seperti users, computers, printers, dll.
Namun, sekiranya anda memerlukan objek-objek tambahan, anda boleh memperluas (extend)
schema tersebut. Sebagai contoh, anda perlu memperluaskan (extend) AD schema sebelum
anda memasang Microsoft Exchange atau SCCM.
3) Active Directory Forest
Dalam struktur hierarki AD, forest berada di puncak struktur logik (logical structure) sesebuah
Active Directory. Tahap hierarki seterusnya adalah domain, diikuti dengan organization unit
(OU). Kemudian di dalam OU anda mempunyai users dan computers.
Berdasarkan struktur hirarki ini, sebuah AD forest boleh mengandungi beberapa domain Active
Directory yang saling berkaitan (interconnected) antara satu dengan lain. Saling kaitan antara
domain dilakukan menggunakan Trust Relationship.
 Muka Surat / Page : 8
NO. KOD / CODE NO. DKB4213/NK (1/3)
Drpd / of : 22

Rajah 1.4: Hirarki Active Directory Forest

1.2.3 Trust Relationship
Untuk berkongsi sumber antara dua domain, kedua-dua domain tersebut mestilah mempunyai
trust (atau beberapa trust) yang menghubungkan kedua-duanya. Trust ini tidak memberikan
akses, tetapi ia hanya membuat laluan ke destinasi yang hendak diakses.

Bayangkan trust ini adalah umpama sebuah jalan raya: jika anda hendak ke rumah A dan ada
jalan raya antara anda dan rumah A, anda boleh memandu ke destinasi. Sekiranya rumah A
dikunci, anda tidak akan dapat masuk melainkan anda mempunyai kunci. Perkara yang sama
berlaku dengan trust: anda memerlukan jalan menuju ke sesuatu sumber melalui trust dan anda
juga memerlukan kunci iaitu permission untuk mengakses sumber tersebut.

Semua trust antara domain dalam sebuah Active Directory forest adalah trust jenis transitif
(transitive trust) dan dua hala (2-way). Oleh itu, anda tidak perlu mencipta trust antara domain
yang berada dalam Active Directory forest yang sama, tetapi anda perlu untuk mencipta trust
antara domain Active Directory forest yang berbeza sekiranya anda perlu membenarkan
pengguna dari satu domain mengakses sumber dalam domain lain pada Active Directory forest
yang berbeza.

Trust direction (sehala atau dua hala)
Trust boleh menjadi sehala atau dua hala. Sekiranya trust itu adalah dua hala, maka domain di
kedua-dua belah pihak dapat mengakses satu sama lain. Sekiranya trust adalah sehala, istilah
yang digunakan untuk menggambarkan kepercayaan tersebut adalah "Domain A mempercayai
Domain B." Ini bermaksud bahawa domain A adalah domain yang mempercayai (trusting
 Muka Surat / Page : 9
NO. KOD / CODE NO. DKB4213/NK (1/3)
Drpd / of : 22

domain) dan domain B akan menjadi domain yang dipercayai (trusted domain). Bagi sesuatu
pengguna dalam sesuatu domain tertentu mengakses sumber dalam domain lain, pengguna itu
harus berada dalam domain yang dipercayai.

Rajah 1.5: Arah Trust (Sehala)

Transitive trust
Transitive trust adalah hubungan dua arah yang dicipta secara automatik antara parent domain
dan child domain yang berada dalam Active Directory Forest yang sama. Apabila domain baru
dibuat, ia berkongsi sumber dengan parent domainnya secara default, membolehkan pengguna
yang disahkan mengakses sumber dalam kedua-dua parent dan child domain.

Non-transitive trust
Non-transitive trust adalah trust yang hanya boleh digunakan dalam domain di mana ia dicipta.
Ia tidak boleh digunakan diluar domainnya sendiri.
Sebagai contoh, sekiranya domain A dihubungkan ke domain B dan domain B disambungkan ke
domain C menggunakan non-transitive trust, perkara berikut akan berlaku: Domain A dan
domain B dapat saling mengakses. Domain B dapat mengakses domain C. Wlaubagaimanapun,
domain A tidak dapat mengakses domain C, walaupun domain tersebut dihubungkan secara
tidak langsung melalui domain B. Ini adalah kerana apabila menggunakan non-transitive trust,
sambungan akan berhenti sebaik sahaja sampai ke domain B. Untuk membolehkan domain A
dan domain C berkomunikasi dengan menggunakan non-transitive trust, anda perlu mewujudkan
satu trust lain antara domain A dan domain C. Ada dua jenis default trust yang dicipta secara
automatik seperti yang ditunjukkan dalam rajah di bawah.
 Muka Surat / Page : 10
NO. KOD / CODE NO. DKB4213/NK (1/3)
Drpd / of : 22

1. Parent and Child trust
Secara default, apabila child domain ditambahkan pada pokok parent domain, 2-way transitive
trust dicipta.

Rajah 1.6: Parent-Child Trust
2. Tree-root trust
Apabila pokok domain baharu ditambahkan ke dalam forest sedia ada, maka 2-way transitive
trust dicipta. Apabila anda membuat tree baru di dalam Forest, tree trust akan dibuat secara
automatik antara root domain (domain pertama yang dibuat di dalam forest) dan tree yang
baharu. Setiap tree baharu akan mempunyai tree trust yang dicipta antara tree itu dan root
domain. Trust ini bersifat transitive dan pada dasarnya sama dengan transitive trust yang
menghubungkan parent domain dan child domain.
 Muka Surat / Page : 11
NO. KOD / CODE NO. DKB4213/NK (1/3)
Drpd / of : 22

Rajah 1.7: Tree-Root Trust
Selain itu, ada empat jenis Active Directory trust iaitu:
1. external trusts
2. realm trusts
3. forest trusts
4. shortcut trusts

External Trust
External trust hanya dibuat secara manual sekiranya sumber terletak dalam AD forest yang
berbeza. Ia sentiasa bersifat tak transitif dan boleh menjadi sehala atau dua hala.
Contohnya external trust ini diwujudkan antara domain yang berada di forest yang berlainan atau
antara domain AD DS (Contoso.com) dan domain Windows NT 4.0. external trust membolehkan
pengguna akses ke sumber dalam domain di luar forest.

Rajah 1.8: External Trust
 Muka Surat / Page : 12
NO. KOD / CODE NO. DKB4213/NK (1/3)
Drpd / of : 22

Realm Trust
Realm trust selalu diwujudkan antara Active Directory forest dan direktori non-Windows Kerberos
seperti Directory dan Unix Directory, dll. Trust ini boleh bersifat transitif dan tidak transitif dan
arah trust boleh menjadi satu hala atau dua hala. Sekiranya anda mengoperasikan direktori yang
berlainan (non-Windows) pada persekitara anda dan perlu membenarkan pengguna mengakses
sumber dari direktori tersebut, anda perlu mewujudkan realm trust.

Rajah 1.9: Realm Trust

Forest Trust
Ia diwujudkan sekiranya jika anda perlu membenarkan sumber dikongsi antara Active Directory
forest. Forest trust sentiasa transitif dan arahnya boleh menjadi sehala atau dua hala.

Rajah 1.10: Forest Trust
 Muka Surat / Page : 13
NO. KOD / CODE NO. DKB4213/NK (1/3)
Drpd / of : 22

Shortcut Trust
Ia diwujudkan antara domain Active Directory forest yang sama jika anda perlu meningkatkan
pengalaman log masuk pengguna (improve the user login experience). Shortcut trust sentiasa
transitif dan arah boleh menjadi sehala atau dua hala.

Rajah 1.11: Shortcut Trust

Secara umumnya jenis-jenis trust boleh diterangkan melalui rajah berikut.

Rajah 1.12: Jenis-jenis Trust
 Muka Surat / Page : 14
NO. KOD / CODE NO. DKB4213/NK (1/3)
Drpd / of : 22

1.3 Senibina Direktori Aktif (AD-Active Directory)
Dalam sebuah rangkaian yang menggunakan Active Directory, komponen struktur logikal
dan fizikal adalah sangat penting. Subtopik ini akan membincangkan mengenai struktur
logikal dan fizikal bagi Active Directory.

1.3.1 Struktur logikal

Direktori Aktif memenuhi semua keperluan sesebuah organisasi dengan merancang
struktur direktori. Ia menyediakan fleksibiliti dalam merekabentuk struktur perniagaan
mengikut keperluan semasa dan masa depan organisasi, jadi ia perlu diperiksa sebelum
memasang direktori aktif. Dalam Direktori Aktif, sumber-sumber diorganisasikan dalam
struktur logik, dan kumpulan sumber-sumber ini membolehkan sumber dapat dijumpai
secara logik dengan namanya dan bukannya oleh lokasi fizikalnya.

Komponen struktur logik mempunyai hubungan antara satu sama lain, jadi ia dapat
mengawal akses kepada data yang disimpan dan mendapati bagaimana data akan
diuruskan antara domain yang berlainan di dalam forest.

1. Objek - seperti pengguna, komputer, kumpulan, pencetak dan sebagainya

Objek adalah satu set ciri-ciri yang berbeza dan dinamakan yang mewakili satu
sumber rangkaian. Atribut objek adalah ciri-ciri objek dalam direktori. Contohnya,
atribut akaun pengguna mungkin termasuk nama awal dan nama akhir, jabatan
dan alamat e-mel (lihat Rajah 5.8).

Figure 5.8??Active Directory objects and attributes
 Muka Surat / Page : 15
NO. KOD / CODE NO. DKB4213/NK (1/3)
Drpd / of : 22

Objek yang memegang objek lain dirujuk sebagai kontena objek atau hanya sebuah
kontena semata-mata. Tempat penyimpanan data itu sendiri adalah kontena yang
mengandungi kontena dan objek lain. Objek yang tidak boleh mengandungi objek lain
ialah leaf objek. Setiap objek yang dicipta dalam direktori adalah tergolong dalam jenis
atau kelas tertentu. Kelas objek ditakrifkan dalam skema. Antara jenis objek termasuk:

Pengguna
Kumpulan
Komputer
Pencetak

Apabila anda mencipta objek dalam direktori, anda mesti mematuhi peraturan skema
untuk kelas objek tersebut. Bukan sahaja peraturan skema menentukan atribut yang ada
untuk sesuatu kelas objek, mereka juga menentukan atribut-atribut yang mana wajib dan
yang mana pilihan. Apabila anda mencipta objek, atribut-atribut mandatori mesti
ditakrifkan. Sebagai contoh, anda tidak boleh membuat objek pengguna tanpa
menyatakan nama penuh dan nama log masuk pengguna. Sebabnya ialah atribut-atribut
ini adalah mandatori.

Beberapa peraturan untuk atribut juga ditakrifkan dalam polisi. Sebagai contoh, dasar
keselamatan lalai untuk Windows Server menyatakan bahawa sebuah akaun pengguna
mesti mempunyai kata laluan dan kata laluan mesti memenuhi kompleksiti keperluan
tertentu. Sekiranya anda mencuba mencipta akaun pengguna tanpa kata laluan atau
dengan kata laluan yang tidak memenuhi kompleksiti keperluan ini, penciptaan akaun
akan gagal kerana polisi keselamatan.

Skema ini juga boleh dilanjutkan atau diubah. Ini membolehkan pentadbir menentukan
kelas objek baru, menambah atribut kepada objek sedia ada, dan mengubah cara atribut
digunakan. Walau bagaimanapun, anda memerlukan keizinan dan keistimewaan akses
khas untuk bekerja secara langsung dengan skema. Secara khususnya, anda mesti
menjadi ahli kumpulan Skema Admins.
 Muka Surat / Page : 16
NO. KOD / CODE NO. DKB4213/NK (1/3)
Drpd / of : 22

2. Unit Organisasi (Organizational Unit) - seperti mana-mana folder tetapi mengawal
Direktori Aktif

OU adalah kontena yang digunakan untuk mengatur objek dalam domain ke
dalam kumpulan pentadbiran logik. OU boleh mengandungi objek seperti akaun
pengguna, kumpulan, komputer, pencetak, aplikasi, fail yang dikongsi dan OU
yang lain (lihat Rajah 5.9).

Figure 5.9 Resources organized in a logical hierarchical structure
Hierarki OU dalam domain adalah bebas daripada struktur hierarki OU domain lain-setiap
domain boleh melakschildan hierarki OUnya sendiri. Tiada sekatan terhadap kedalaman
hierarki OU. Walau bagaimanapun, hierarki yang lebih cetek melakukannya lebih baik
daripada yang lebih dalam, jadi anda tidak sepatutnya mencipta hierarki OU yang lebih
mendalam daripada yang diperlukan.
Anda boleh mewakilkan tugas pentadbiran dengan memberikan kebenaran kepada OUs.

3. Domain - Sempadan logik untuk objek
Kumpulan logik objek yang membolehkan pengurusan berpusat objek-objek
tersebut dipanggil domain. Di dalam tree direktori, domain itu sendiri diwakili
sebagai objek. Sebenarnya, ia adalah objek induk bagi semua objek yang ia
kandung. Domain Direktori Aktif boleh mengandungi berjuta-juta objek. Anda
boleh membuat satu domain yang mengandungi semua sumber yang anda mahu
 Muka Surat / Page : 17
NO. KOD / CODE NO. DKB4213/NK (1/3)
Drpd / of : 22

untuk mengurus secara berpusat. Dalam Rajah 10-8, objek domain diwakili oleh
segitiga besar dan objek yang terkandungnya adalah seperti yang
ditunjukkan.Domain berkongsi ciri-ciri berikut:
Semua objek rangkaian wujud dalam domain, dan setiap domain hanya
menyimpan maklumat mengenai objek yang dikandungnya sahaja. Secara
teorinya, direktori domain boleh mengandungi sehingga 10 juta objek, tetapi 1 juta
objek setiap domain adalah jumlah yang lebih praktikal.
Domain adalah sempadan keselamatan. Akses Senarai Kawalan (ACL)
mengawal akses kepada objek domain. ACLs mengandungi keizinan yang
berkaitan dengan objek yang mengawal pengguna mana yang boleh mendapat
akses kepada objek dan apa jenis akses yang boleh diperolehi oleh pengguna. Di
Windows 2000, objek termasuk fail, folder, perkongsian, pencetak dan objek
Direktori Aktif. Semua polisi dan tetapan keselamatan-seperti hak pentadbiran,
polisi keselamatan, dan ACLs-tidak merentasi dari satu domain ke domain lain.
Pentadbir domain mempunyai hak mutlak untuk menetapkan polisi hanya dalam
domain tersebut sahaja.

Figure 10-8 An Active Directory domain.

4. Trees - Sempadan logik untuk pelbagai domain

Dalam direktori, objek disusun menggunakan struktur tree hirarki yang dipanggil
directory tree. Struktur hierarki diperolehi dari skema dan digunakan untuk
menentukan hubungan parent-child objek yang disimpan dalam direktori. Tree
mempunyai ciri-ciri berikut:
 Muka Surat / Page : 18
NO. KOD / CODE NO. DKB4213/NK (1/3)
Drpd / of : 22

Mengikut piawaian DNS, nama domain bagi child domain adalah nama relatif
child domain yang dilampirkan dengan nama parent domain.

Semua domain di dalam satu tree berkongsi skema yang sama, yang mana
merupakan definisi formal bagi semua jenis objek yang boleh anda simpan dalam
penggunaan Direktori Aktif.

Semua domain di dalam single tree berkongsi Katalog Global yang sama, iaitu
pusat penyimpanan maklumat tentang objek dalam tree.

Tree direktori digunakan untuk mewakili hierarki objek, menunjukkan hubungan
parent-child antara objek tersebut. Oleh itu, apabila bercakap mengenai tree
domain, kita melihat hubungan antara domain parent-child. Domain di bahagian
atas tree domain disebut sebagai domain root (menggunakan konsep pokok
secara terbalik, root berada di atas). Lebih khusus lagi, domain root adalah
domain pertama yang dibuat dalam tree baru dalam Direktori Aktif.

Active Directory menyediakan kaedah yang fleksibel dalam merekabentuk struktur
perniagaan atau organisasi yang ada sekarang dengan mengambil kira keperluan
organisasi pada masa akan datang. Memahami Active Directory adalah penting untuk
merekabentuk struktur AD bagi organisasi. Dalam AD semua sumber akan disusun
dalam struktur logikal yang membolehkan sebarang sumber boleh dikesan menggunakan
nama, tidak dengan lokasi fizikal.

Dalam AD, terdapat pelbagai jenis sumber dan objek yang menjelaskan mengenai
struktur logikal sesuatu organisasi, iaitu:

Objek - User, computer, group, printer, dan objek yang di kongsi rangkaian
(network shared objects)
Organizational Units
Domains – Sempadan logikal (logical boundaries) bagi objek
Trees/Domain trees – Sempadan logikal bagi beberapa domain
Forests – Sempadan logikal bagi beberapa trees.
 Muka Surat / Page : 19
NO. KOD / CODE NO. DKB4213/NK (1/3)
Drpd / of : 22

 object

object

Rajah: Struktur Logikal AD

Semua komponen AD ini bekerja bersama-sama dalam membentuk struktur logikal.
Seperti yang dinyatakan di atas, Forest merupakan sempadan logikal bagi satu atau lebih
Tree manakala Tree merupakan sempadan logikal bagi satu atau lebih domain.

Oleh itu, terdapat beberapa faedah dalam mempunyai struktur AD yang baik yang
dibangunkan mengikut struktur ini. Salah satu nya adalah keselamatan yang lebih baik
dengan menggunakan OU dan Security Groups. OU juga boleh dikaitkan (linked) secara
terus kepada Group Policy Objects (GPO) bagi menambah lagi ciri-ciri keselamatan.
Pengurusan rangkaian dan pentadbiran boleh dipermudahkan. Begitu juga dengan
hubungan antara domain dan Forest akan membenarkan perkongsian sumber dalam
organisasi.

Apabila anda sedang merangka reka bentuk AD dan anda tiba ke fasa menetapkan
Organisational Units, dua pendekatan yang boleh diambil adalah:

Layout OU berdasarkan lokasi pejabat fizikal bagi organisasi anda
Layout OU berdasarkan hirarki fungsi (functional hierarchy) bagi Jabatan dalam
organisasi anda

Secara peribadi, saya lebih menggemari mencipta OU berdasarkan functional layout bagi
jabatan dalam organisasi. Kaedah ini boleh memberi manfaat kepada staf dalam
organisasi, contohnya katakanlah organisasi anda mempunyai Jabatan Pemasaran. Staf
Jabatan Pemasaran boleh bekerja di pelbagai lokasi pejabat yang berbeza dalam
organisasi tetapi dalam masa yang sama mereka boleh mempunyai security permission
dan akses kepada sumber rangkaian bagi lokasi-lokasi pejabat yang berbeza tanpa perlu
meletakkan mereka ke dalam OU pejabat fizikal (contohnya: Pejabat Zon Timur). Dengan
meletakkan user account bagi staf Jabatan Pemasaran, anda tidak perlu memikirkan
 Muka Surat / Page : 20
NO. KOD / CODE NO. DKB4213/NK (1/3)
Drpd / of : 22

mengenai lokasi fizikal staf pada ketika itu, mereka akan mendapat permission yang
betul dan Group Policy yang ditentukan khas untuk Jabatan Pemasaran.

Komponen Logical AD Huraian
Object Objek adalah satu set ciri-ciri yang berbeza dan dinamakan
yang mewakili satu sumber rangkaian. Atribut objek adalah ciri-
ciri objek dalam direktori. Contohnya, atribut akaun pengguna
mungkin termasuk nama awal dan nama akhir, jabatan dan
alamat e-mel.
Organization Unit Merupakan objek kontena (container).
Berdasarkan perniagaan, geografical atau kelas objek tunggal
Tujuan : mudah untuk mencari, mengurus dan mewakili kuasa
(authority) untuk mentadbir OU.
OU tersarang untuk memudahkan pentadbiran terutamanya
peraturan keselamatan dan pentadbiran.
Domains Unit fungsi teras.
Tujuan/fungsi : sempadan pentadbiran, menguruskan
keselamatan untuk sumber yang dikongsikan dan unit replikasi
untuk objek.
Domain Trees Dikumpulkan dalam bentuk struktur hierarki.
Jenis : root, child dan parent domain
Namespace (ruang nama ) yang bersebelahan (contiguous)
Forests Diperbuat daripada 1 atau lebih tree
Mengandungi keseluruhan contoh(instance) AD
1st domain = forest root domain.
Maklumat AD ditukar hanya dengan forest sahaja.

1.3.2 Physical Structure of Active Directory

Struktur fizikal bagi AD terdiri daripada database yang direplikasi kepada semua DC
dalam sebuah forest. Struktur fizikal AD digunakan untuk melakukan konfigurasi dan
menguruskan trafik dalam rangkaian. Struktur fizikal bagi AD terdiri daripada sites dan
domain controllers.
 Muka Surat / Page : 21
NO. KOD / CODE NO. DKB4213/NK (1/3)
Drpd / of : 22

Rajah: Striktur Fizikal Active Directory

Sites digunakan untuk komunikasi antara domain controller yang berada dalam site yang
sama. Anda juga boleh menggunakan site untuk melakukan pengoptimuman bandwidth
antara DC yang berada di lokasi fizikal yang berbeza. Semua subnet IP yang berkongsi
LAN yang sama adalah menjadi sebahagian dari site yang sama.

Sebagai contoh, satu site mempunyai subnet seperti berikut 10.10.25.x dan 10.10.35.x,
di mana 10.10.25.x adalah sebuah komputer yang berada pada subnet yang terletak di
Shah Alam dan 10.10.35.x adalah komputer yang berada pada subnet yang terletak di
Kuala Lumpur. Disebabkan oleh kedua-dua komputer berada pada subnet yang berbeza,
admin mencipta satu site bagi setiap subnet dalam Active Directory. Setiap site akan
mempunyai domain controller pada lokasi masing-masing. Untuk memastikan tiada isu
timbul ketika melakukan replication antara dua domain controller, admin perlu
memastikan bandwidth antara kedua-dua site adalah baik dan optimum.

Struktur fizikal bagi AD berfungsi menentukan bila dan di mana replikasi dan trafik logon
berlaku. Memahami komponen fizikal bagi AD adalah kritikal dalam mengoptimumkan
trafik dan proses logon. Sebagai tambahan maklumat mengenai komponen fizikal ini
boleh membantu dalam melakukan troubleshooting masalah yang berkaitan replikasi dan
logon.

Selain dari sites dan domain controller, terdapat Data Store yang mengendalikan akses
kepada database dan terdiri daripada servis dan fail fizikal yang menjadikan direktori
sentiasa tersedia (available). Senibina storage bagi sebuah AD mempunyai empat
bahagian:-
 Muka Surat / Page : 22
NO. KOD / CODE NO. DKB4213/NK (1/3)
Drpd / of : 22

Forests, Domains, dan Organizational Units - merupakan elemen paling utama
DNS - memberikan resolusi nama (name resolution) bagi domain controller (DC)
Schema - memberikan Definisi kepada objek yang disimpan dalam direktori.
Data Store - menguruskan storan dan pencarian data (manages storage and retrieval
of data)

Selain itu, terdapat juga Active Directory Partitions. Setiap domain controller mempunyai
partition bagi schema, domain dan aplikasi. Domain partition mengandungi salinan
semua objek dan replikasi bagi objek-objek tersebut hanya berlaku pada domain
controller yang berada pada domain yang sama. Schema partition pula merangkumi
keseluruhan forest. Setiap forest mempunyai schema yang direplikasikan kepada semua
domain controller dalam forest.
Application partition boleh digunakan oleh aplikasi dan tidak mempunyai sebarang
security object (seperti users, groups). Partition ini direplikasikan kepada semua domain
comtroller dalam forest.

Soalan Latihan:

1) Nyatakan definisi directory services.
2) Senaraikan tiga fungsi directory services.
3) Berikan dua contoh directory services.
4) Terangkan apa yang anda faham mengenai Active Directory.
5) Apakah fungsi Active Directory Schema?
6) Senaraikan dua jenis default trust.
7) Senaraikan empat jenis Active Directory Trust.
8) Berdasarkan Rajah 1.4, labelkan jenis trust antara Domain A dan Domain B.

Rujukan:

1. https://www.windows-active-directory.com/active-directory-schema.html
2. https://simpleitpro.com/index.php/2018/08/28/active-directory-trusts/
3. http://itfreetraining.com/70-640/trust/
4. https://blogs.msmvps.com/acefekay/2016/11/02/active-directory-trusts/
5. https://activedirectorypro.com/glossary/
6. https://www.distributednetworks.com/active-directory/module3/activeDirectory-physical-
structure.php
7. https://www.monitis.com/blog/active-directory-structure/