Работа с Read Only Domain Controller (часть 2) | Windows для системных администраторов

Работа с Read Only Domain Controller (часть 2)

В моей предыдущей статье я объяснил основные причины, по которым Microsoft решила вернуться к технологии RODC в  Windows Server 2008. Эта статья продолжает серию, и мы перейдем к изучению некоторых практических аспектов работы с Read Only Domain Controllers.

Знакомимся с контроллерами домена Read-Only (RODC)

Учетные данные пользователя


В предыдущей статье я сказал, что на RODC  контроллеры домены не передается вся информация обо всех пользователях домена. На самом деле информация о учетных записях пользователей все-таки хранится на RODC, на такой контроллер домена просто не выполняется репликация паролей пользователей. И если кто-то украдет контроллер домена из филиала, он не сможет использовать информацию из базы данных Active Directory для получения паролей пользователей.

Атрибуты пользователей


По умолчанию пароли, это единственный атрибут пользователей, который не реплицируются на Read Only Domain Controller. Тем не менее, существует возможность ручной настройки Windows, позволяющей запретить реплицироваться и другие атрибуты пользователей.

Так в каких случаях можно использовать эту функцию? Если вы используете Active Directory только  в качестве механизма аутентификации, то вероятнее всего, вам она не понадобится. Однако имейте в виду, что есть организации, которые сильно зависят от базы Active Directory, которая применяется не только для аутентификации.

Достаточно часто в крупных организация, в которых используются различные пользовательские приложения и базы данных, для уменьшения количества ошибок и дублирования пользовательской информации, предпочитают использовать единое место хранения всей информации о сотрудниках (телефоны, адреса, контакты и т.д.), и отличным местом для этого является Active Directory.

Например, я знаю одну организацию, которая разработала  приложение для управления кадрами, которое они применяют внутри  своего периметра. И хотя основная часть данных хранится в базе данных SQL, но такие вещи, как имена сотрудников, должности, номера телефонов и т.д. хранятся в Active Directory, в качестве атрибутов учетной записи.  А в базе SQL Serverа хранятся  такие данные, как номера ИНН, информация о зарплате, и в этой базе не содержатся имена сотрудников. Единственно, что связывает базы данных AD и SQL – это номер сотрудника, который присутствует в обеих базах данных.

Я привел вам этот пример для того, чтобы было понятно, что в ряде организаций в атрибутах пользователя AD может содержаться конфиденциальная информация. И в том случае, если такая информация не требуется в филиале, вы можете заблокировать ее репликацию на контролер домена филиала.

Еще одной особенностью технологии Read Only Domain Controller является то, что такой контроллере также может быть настроен как DNS сервер, доступный только на чтение.  По существу это означает, что если злоумышленник получит доступ к серверу  Read Only Domain Controller, он не сможет парализовать работу корпоративного DNS.

Административные вопросы

Я уверен, что к настоящему времени  у вас появилось множество вопросов об администрировании rodc. Попробую сразу ответить на часть из них.

Как же аутентифицируются пользователей, если на контроллере домена нет информации об их паролях?

Здесь есть хитрость. Как вы знаете, и с учетной записью пользователя и с учетной записью компьютера ассоциирован пароль.  По умолчанию, Read Only Domain Controller хранит только свой собственный пароль (пароль учетки компьютера) и пароль специального аккаунта, под названием «krbtgt», который используется протоколом Kerberos.

Т.к. пароли локально не хранятся, все запросы на аутентификацию перенаправляются на обычный контроллер домена, запись на который разрешена. В том случае, если вы хотите, чтобы пользователи могли зайти в системы, даже если ни один обычный контроллер не доступен, вам необходимо включить функцию кэширования паролей. При включенном кэшировании в кэше будут храниться пароли только тех учеток, которые прошли проверку подлинности на контроллере домена. И даже если ваш домен контроллер будет скомпрометирован, вы с другого контроллера можете всегда выявить те учетные записи, пароли которых были кэшированы на rodc.

Административная работа с  rodc

Во многих филиальных офисах зачастую контроллер домена используется еще и в качестве сервера приложений. И в том случае, если в таком офисе нет отдельного ИТ специалиста, вы можете назначить кого-то из сотрудников офиса в качестве администратора rodc контроллера, не предоставляя ему прав администратора всего домена (можете почитать пост о делегировании прав управления контроллером домена rodc).  Таким образом, он будет иметь права только на локальное администрирование такого сервера, и не будет иметь возможности что-то изменить или испортить в Active Directory. В результате такой пользователь будет иметь права на установку обновлений ПО и выполнение других повседневных задач по администрированию и обслуживанию сервера.  Назначение кого-то  администратором Read Only Domain Controller похоже на процедуру назначения  определенного пользователя или группы в качестве локального администратора рядового или автономного сервера.

Ссылки на все статьи этой серии:

Работа с контроллерами домена Read-Only (RODC) (часть 1)

Работа с Read Only Domain Controller (часть 2)

Работа с Read Only Domain Controller (часть 3)

Еще записи по теме: Active Directory, Windows Server 2008
Понравилась статья? Скажи спасибо и расскажи друзьям!
Назад:
Вперед:

Комментариев: 2

Оставить комментарий
  1. Саша | 15.10.2013

    Как включить функцию кэширования паролей?

    Ответить
Полные правила комментирования на сайте winitpro.ru. Вопросы, не связанные с содержимым статьи или ее обсуждением удаляются.

Сказать Спасибо! можно на этой странице или (еще лучше) поделиться с друзями ссылкой на понравившуюся статью в любимой социальной сети(специально для этого на сайте присуствуют кнопки популярных соц. сетей).

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)



MAXCACHE: 0.25MB/0.00172 sec