Kontynuując serię artykułów na temat nowej technologii Active Directory - RODC (kontrolery domeny tylko do odczytu), chciałbym poruszyć temat zasad replikacji haseł - Zasady replikacji haseł (PRP). Domyślnie na RODC nie są przechowywane hasła użytkownika ani komputera (z wyjątkiem własnego konta komputera i specjalnego konta krbtgt). Celem tej komplikacji jest zwiększenie poziomu bezpieczeństwa, ponieważ w przypadku naruszenia RODC nie będziesz się martwić, że cenne informacje dostaną się w ręce atakującego.
Lub byłoby miło, gdyby istniała możliwość replikacji użytkowników na ich stronie internetowej w celu, aby nawet w przypadku rozłączenia połączenia WAN z centralą mogliby się zalogować. Te ustawienia można zobaczyć w konsoli ADUC na karcie właściwości konta RODC na karcie Hasło
Replikacja Zasady (PRP). Tutaj możesz określić, które hasła, których użytkowników należy powielić na tym kontrolerze RODC, a które nie.
Te ustawienia można również określić podczas instalowania roli RODC przy użyciu pliku odpowiedzi nienadzorowanej, używając następujących parametrów:
PasswordReplicationDenied =
PasswordReplicationAllowed =
Aby uzyskać więcej informacji, możesz użyć karty Zaawansowane, tutaj możesz dowiedzieć się, na których kontach można uwierzytelnić RODC, a także inne przydatne informacje, które pomogą ci optymalnie skonfigurować PRP. Tab Wypadkowa Zasady możesz wpisać nazwę użytkownika i dowiedzieć się, czy hasło dla tego użytkownika będzie przechowywane w pamięci podręcznej na kontrolerze RODC, czy nie.
Gdy kontroler RODC otrzymuje żądanie logowania, próbuje replikować poświadczenia ze zwykłego kontrolera domeny Windows 2008 z włączoną funkcją zapisu. Kontroler ten uzyskuje dostęp do PRP i próbuje ustalić, czy poświadczenia tego użytkownika powinny zostać zreplikowane na kontroler RODC. Jeśli ta opcja jest włączona, zwykły kontroler domeny replikuje poświadczenia na kontrolerach RODC, a kontroler RODC buforuje je lokalnie. Następnie przeprowadzane jest późniejsze uwierzytelnianie użytkownika przy użyciu pamięci podręcznej na kontrolerze RODC, a brak łącza do zwykłego kontrolera domeny nie jest już krytyczny.
Istnieje jednak wada, nie ma możliwości wyczyszczenia pamięci podręcznej haseł na kontrolerze domeny RODC. Jedyne, co administrator Active Directory może zrobić w tym przypadku, to zresetować hasła do wszystkich kont, które są buforowane, po czym pamięć podręczna na kontrolerze RODC stanie się nieistotna i nie będzie można użyć tych danych do wejścia do systemu. Tę samą procedurę należy wykonać przed ponowną instalacją uszkodzonego kontrolera RODC. Jest to o wiele łatwiejsze niż ręczne ustalenie, które hasła do kont były buforowane na kontrolerze RODC. Podczas próby usunięcia kontrolera RODC z konsoli ADUC pojawi się następujące okno:
A potem jaką funkcję PrepoluatHasła? Wyobraź sobie sytuację, w której Twój oddział ma ponad 100 użytkowników i dodałeś ich grupę do PRP. Załóżmy, że masz w tej branży 100 użytkowników i dodałeś ich grupy PRP. Aby nie czekać na wejście każdego użytkownika do systemu, możemy poinstruować kontroler domeny, aby natychmiast rozpoczął replikację haseł. Działa również PrepoluatHasłamoże być używany podczas transportu nowego serwera RODC z centralnego centrum danych do oddziału w celu zmniejszenia obciążenia kanału WAN podczas logowania użytkownika masowego.