Политика репликации паролей в RODC | Windows для системных администраторов

Политика репликации паролей в RODC

Продолжая цикл статей о новой технологии Active Directory – RODC (Read-Only Domain Controllers), хотелось бы затронуть подробнее тему политики репликации паролей — Password Replication Policy (PRP).   По умолчанию на RODC не хранятся ни пароли пользователей ни компьютеров (за исключением его собственной учетной записи компьютера и специального учетной записи krbtgt). Цель этого усложнения – повышение уровня безопасности, так как если RODC будет скомпрометирован, вы не будете волноваться о том, что ценная информация попадет в руки к злоумышленнику.

А может быть было бы неплохо, если была бы возможность реплицировать пользователей на их сайт с той целью, что если даже соединение WAN с головным офисом будет разорвано, они могли бы осуществлять вход в систему.  Именно такие настройки увидеть в консоли  ADUC на вкладке свойств учетной записи RODC на вкладке Password
Replication Policy (PRP). Здесь вы можете указать, пароли каких пользователей  должны быть реплицированы на этот  RODC, а какие нет.

Эти настройки можно также задать при установке роли RODC при помощи файла ответов  Unattended, для этого используют следующие параметры:

PasswordReplicationDenied=
PasswordReplicationAllowed=

Для получения дополнительной информации можно воспользоваться вкладкой Advanced, здесь можно узнать каким учетным записям можно аутентифицироваться на RODC, и также другую полезную информацию, которая поможет вам оптимально настроить PRP. На вкладке Resultant Policy можно ввести имя пользователя и узнать будет ли пароль этого пользователя сохранена в кэше на RODC или нет.

Когда RODC получает запрос на вход в систему, он пытается реплицировать полномочия с обычного «доступного на запись» контроллера домена Windows 2008. Этот контроллер обращается к PRP, и пытается определить, должны ли быть реплицированы на RODC учетные данные этого пользователя или нет. Если разрешено, то обычный DC реплицирует полномочия на RODC и RODC кэширует их локально. Последующая проверка подлинности пользователя затем осуществляется с использованием кэша на RODC и отсутствие канала связи с обычным DC уже не критично.

Однако есть и недостаток, не существует возможности очистить кэш паролей на контроллере домена RODC. Единственное, что может сделать администратор Active Directory в этом случае – это сбросить пароли всех учетных записей, которые закешированы,  после чего кэш на контроллере  RODC станет неактуальным и эти данные не могут быть использованы для входа в систему. Эту же процедуру нужно выполнить перед переустановкой скомпрометированного RODC. Это гораздо проще, чем вручную попытаться выяснить, пароли каких учеток были кэшированы на RODC. При попытке удалит RODC  из консоли ADUC, перед вами появится следующее окно:

А что же тогда за функция PrepoluatePasswords? Представьте ситуацию, когда в вашем филиале больше 100 пользователей и вы добавили их группу в PRP. Ну, скажем, у вас есть 100 пользователей в этом филиале, и вы добавили их группы PRP. И чтобы не ждать входа каждого пользователя в систему, мы можем указать контроллеру домена немедленно начать репликацию паролей.  Также функцию PrepoluatePasswords можно использовать при транспортировании нового сервера RODC из центрального датацентра в филиал, с тем, чтобы уменьшить нагрузку на канал WAN при массовом входе пользователей в систему.

Еще записи по теме: Active Directory
Понравилась статья? Скажи спасибо и расскажи друзьям!
Назад:
Вперед:

Есть 1 комментарий

Оставить комментарий
  1. CaveMan | 05.04.2011

    «здесь можно узнать каким учетным записям можно аутентифицироваться на RODC»

    Мне кажется там такого нету. Или чьи пароли закешированы на RODC, или кто аунтентифировался на этом контроллере домена.

    Ответить
Полные правила комментирования на сайте winitpro.ru. Вопросы, не связанные с содержимым статьи или ее обсуждением удаляются.

Сказать Спасибо! можно на этой странице или (еще лучше) поделиться с друзями ссылкой на понравившуюся статью в любимой социальной сети(специально для этого на сайте присуствуют кнопки популярных соц. сетей).

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)



MAXCACHE: 0.24MB/0.00106 sec