GPO: User domain sebagai lokal administrator

User domain adalah user biasa yang digunakan dalam pekerjaan sehari-hari untuk masuk ke komputer dan melakukan pekerjaan normal. User ini tidak memiliki izin khusus yang berpotensi menyebabkan kerusakan atau kehilangan data. Akun ini biasanya merupakan anggota dari grup security Domain Users.

Pada kondisi tertentu, keterbatasan ini sangat merepotkan. Seperti ketika mereka ingin melakukan instalasi printer atau aplikasi pada komputer yang mereka gunakan, mereka (user domain) tidak memiliki ijin untuk melakukannya.

Untuk menjadikan user domain sebagai lokal administrator, kita bisa menggunakan GPO (Group Policy Objects) pada Domain Controller. Untuk cara membuat Domain Controller, bisa anda lihat pada Promosi Windows Server 2019 sebagai Domain Controller.

Langkah-langkah membuat user domain sebagai local administrator dengan GPO adalah sebagai berikut.

A. Membuat Security Group

1. Dari Server Manager >> Dashboard, klik Tools dan pilih Active Directory Users and Computers.

2. Selanjutnya buat Security Group. Klik Users, kemudian klik kanan dan pilih New dan selanjutnya pilih Group

3. Kemudian berikan nama pada grup tersebut, misalnya Local Admin dan selanjutnya klik tombol OK

4. Tambahkan anggota dengan cara double klik Local Admin, kemudian pilih tab Members dan klik tombol Add. Selanjutnya tambahkan user yang akan mendapatkan ijin sebagai lokal administrator pada komputer yang mereka gunakan, misalnya kita tambahkan User Test 01 dan User Test 02. Kemudian klik tombol OK.

B. Membuat GPO ( Group Policy Objects )

1. Dari Server Manager >> Dashboard, klik Tools dan pilih Group Policy Management.

2. Klik kanan pada Group Policy Objects, kemudian pilih New.

3. Buat nama GPO, misalnya Local Admin GPO.

4. Klik kanan Local Admin GPO (Nama GPO pada langkah 3), kemudian pilih Edit.

5. Klik kanan Computer ConfigurationPoliciesWindows SettingsSecurity SettingsRestricted Groups, dan pilih Add Group.

6. Kemudian klik Browse dan tambahkan user security group yang telah dibuat sebelumnya (Local Admin) dan klik OK dua kali.

7. Selanjutnya klik Add pada This group is a member of: dan klik Browse dan tambahkan Administrator dan Remote Desktop Users Group. Yang perlu anda perhatikan ketika menambahkan group adalah group tersebut harus ada dan sesuai dengan lokal group pada komputer target. Sebagai contoh jika anda menambahkan “Admins”, maka pada lokal group komputer target harus ada group dengan nama “Admins” juga.

8. Buka kembali Group Policy Management. Klik kanan nama domain (bardimin.local) dan pilih Link an Existing GPO.

9. Pilih Local Admin GPO dan klik OK.

10. Masuk pada PC yang tergabung dalam domain dengan user yang anda buat pada Security Group langka ke 4 di atas. Buka CMD dan jalankan perintah gpupdate /force. Periksa apakah user sudah mempunyai kewenangan sebagai administrator di PC tersebut.