Mengenal Active Directory pada Windows Server

Ryan Runako
MII Cyber Security Consulting Services
5 min readMar 26, 2023
(Sumber: https://www.solusitraining.com/mengenal-active-directory-domain-service/)

Apa itu Active Directory?

Apakah anda pernah memperhatikan saat mengunjungi suatu website, dimana kita hanya membuat dan memiliki satu account namun kita dapat melakukan login dengan kredensial yang sama pada situs lain dengan domain lain yang memiliki fungsi berbeda maupun situslain yang mungkin adalah partner seperti pada domain1.univ.co.id, domain2.univ.ac.id, domain1.abc.ac.id dll. Namun kita dapat melakukan login secara langsung dengan kredensial sama tanpa membuat akun baru lagi, Nah itu berarti situs yang anda kunjungi menggunakan teknologi Active directory.

Active directory (AD) adalah layanan yang dikembangkan Microsoft untuk menyimpan informasi dalam bentuk objek dalam jaringan seperti user, computer, server, printer, group, dan lainnya. Adapun tujuan AD ini untuk menciptakan sistem manajemen yang terpusat yaitu pada domain controller yang akan dijelaskan setelah ini, sehingga kontrol atas semua objek yang berada dalam jaringan dapat dikelola dengan mudah dan efisien. AD juga menyediakan fitur bawaan untuk otorisasi dan autentikasi atas servis pada jaringan.

Untuk mengorganisir objek-objek AD menggunakan sistem hirarki domain

Active Directory Services

Active directory memiliki beberapa servis diantaranya Domain Service (AD DS), Lightweight Directory Services (AD LDS), Certificate Services (AD CS), Federation Services (AD FS) and Rights Management Services (AD RMS).

  • Domain Services Active Directory Domain Service merupakan servis utama dalam Active directory dimana servis ini menyimpan informasi direktori dan untuk pengelolaan oleh admin pada objek seperti user, group, computer, dan resource lainnya dalam domain. Banyak kekeliruan yang mengartikan bahwa active directory dan active directory domain service merupakan hal yang sama, padahal hal ini merupakan elemen yang berbeda dimana AD DS merupakan salah satu layanan yang merupakan layanan utama pada teknologi AD.
  • Lightweight Directory Services merupakan versi lightweight dari AD DS dan memiliki fungsi yang serupa dengan AD DS, namun yang membedakan bisa berjalan di beberapa instance pada satu server atau biasa digunakan aplikasi yang membutuhkan direktori lokal dan menyimpan data pada data store dengan Lightweight Directory Access Protocol.
  • Certificate Services berfungsi untuk menghasilkan, mengelola, dan membagikan sertifikat yang digunakan pertukaran informasi antara user pada internet dengan sistem enkripsi.
  • Federation Services Memiliki fungsi untuk proses autentikasi pengguna untuk memiliki akses pada beberapa aplikasi meski berada pada jaringan/domain yang berbeda menggunakan teknologi single sign on (SSO).
  • Right Management Services Mengontrol hak dan pengelolaan atas suatu resource oleh admin dengan teknologi digital right dan enkripsi, misalnya digunakan untuk enkripsi microsoft word document atau email pada server.

Hirarki Active Directory

  • Forest struktur paling atas dalam hierarki AD. Forest terdiri dari satu atau beberapa domain atau biasa dikelompokkan menjadi 1 yang disebut tree yang saling terhubung melalui trust relationship. Setiap forest memiliki nama domain unik, dan setiap domain dalam forest berbagi skema dan konfigurasi AD yang sama.
  • Tree Merupakan sekumpulan Domain yang terhubung satu-sama lain melalui trust relationship. Dalam tree memiliki satu root domain yang memiliki root domain controller dan berhubungan dengan domain pada tree lainnya.
  • Domain unit dasar dalam AD berupa suatu struktur dan memiliki domain controller (DC) untuk mengelola objek-objek seperti pengguna, komputer, grup, dan objek lainnya. Setiap domain memiliki nama domain unik dan terhubung pada domain lainnya melalui trust relationship.
  • Organizational Unit (OU) kontainer logis yang digunakan untuk mengelompokkan objek-objek dalam domain seperti pengelompokan user berdasarkan divisi. OU digunakan untuk mengatur hak akses, menerapkan kebijakan keamanan, dan menyederhanakan manajemen objek dalam AD.
  • Domain Controllers (DC) server yang menjalankan perangkat lunak AD dan menyimpan database AD. Setiap domain harus memiliki minimal satu DC yang bertanggung jawab untuk autentikasi pengguna dan memberikan akses ke objek dalam domain, sehingga DC ini juga memiliki peran untuk menyimpan kredensial pengguna.

Trust Relationship

Pada hirarki diatas banyak disebutkan trust relationship yang menghubungkan antar domain, jadi trust relationship sendiri merupakan teknologi yang digunakan pada Active Directory untuk menjembatani antar domain atas hak akses resource dari satu domain ke domain lainnya. Trust relationship dapat dibagi menjadi:

  • One-way trust Jika domain utama memberi akses pada user pada domain kedua untuk akses resource pada domain utama, maka user pada domain kedua dapat mengakses resource pada domain utama.
  • Two-way trust jika 2 domain memberi hak akses satu sama lain atas resource maka user domain utama dapat mengakses resource domain kedua, dan sebaliknya user domain kedua dapat mengakses resource pada domain utama

Trust Relationship ini tidak terbatas hanya 2 domain namun satu domain dapat memiliki trust ke beberapa domain juga.

Active Directory Authentication

Pada Active directory penyimpanan kredensial pengguna berada pada domain controller pada suatu domain, sehingga pada saat proses autentikasi pengguna pada suatu layanan, maka DC akan melakukan verifikasi dengan menggunakan protokol:

  • Kerberos protokol default yang digunakan di windows domain pada versi windows baru-baru ini, dimana protokol ini bekerja dengan autentikasi menggunakan metode tiket. Saat user pertama kali autentikasi, maka user tersebut akan memiliki ticket Granting ticket (TGT) dan tiket ini sebagai penanda bahwa user telah melakukan autentikasi sebelumnya, kurang lebih cara kerja tiket ini seperti cookies pada website. Namun pada protokol ini, untuk akses ke suatu layanan, maka TGT user digunakan untuk menukar menjadi Ticket Granting Service (TGS) atau tiket untuk akses layanan yang diminta. Sederhananya, autentikasi diperlukan untuk mendapat TGT, sedangkan TGT diperlukan untuk mendapat TGS, dan TGS berguna untuk mendapatkan akses atas resource yang diminta.
  • NetNTLM Protokol yang bekerja dengan metode three-way handshake, namun NetNTLM ini sudah tidak digunakan pada domain windows dikarenakan banyaknya kerentanan pada sisi penyimpanan kredensial dan penyerangan biasa dengan metode bruteforce hashed password dengan menggunakan rainbow table.

--

--