Instalowanie kontrolera domeny RODC w systemie Windows Server 2016

Po raz pierwszy funkcjonalność kontrolera domeny tylko do odczytu (Rodc - kontroler domeny tylko do odczytu), został wprowadzony w systemie Windows Server 2008. Głównym zadaniem technologii RODC jest możliwość bezpiecznego zainstalowania własnego kontrolera domeny w zdalnych oddziałach i biurach, w których trudno jest zapewnić fizyczną ochronę serwera z rolą DC. Kontroler domeny RODC zawiera kopię tylko do odczytu bazy danych Active Directory. Oznacza to, że nikt, nawet po uzyskaniu fizycznego dostępu do takiego kontrolera domeny, nie będzie w stanie zmienić danych w AD (w tym zresetować hasło administratora domeny).

W tym artykule omówimy główne funkcje użytkowania i procedurę instalacji nowego kontrolera domeny RODC opartego na systemie Windows Server 2016.

Treść

  • Funkcje kontrolera domeny RODC
  • Zainstaluj kontroler RODC z interfejsu GUI Menedżera serwera
  • Zainstaluj RODC z PowerShell
  • Zasady replikacji hasła RODC

Funkcje kontrolera domeny RODC

Główne różnice między kontrolerami RODC a zwykłymi zapisywalnymi kontrolerami domeny (RWDC)

  1. Kontroler domeny RODC przechowuje kopię bazy danych AD tylko do odczytu. W związku z tym klienci takiego kontrolera domeny nie mogą wprowadzać w nim zmian..
  2. RODC nie replikuje danych AD i folderu SYSVOL do innych kontrolerów domeny (RWDC).
  3. Kontroler RODC przechowuje pełną kopię bazy danych AD, z wyjątkiem skrótów haseł obiektów AD i innych atrybutów zawierających poufne informacje. Ten zestaw atrybutów jest nazywany Filtrowany zestaw atrybutów (FAS). Obejmuje to takie atrybuty, jak ms-PKI-AccountCredentials, ms-FVE-RecoveryPassword, ms-PKI-DPAPIMasterKeys itp. W razie potrzeby możesz dodać inne atrybuty do tego zestawu, na przykład podczas korzystania z LAPS dodaj do niego atrybut ms-MCS-AdmPwd.
  4. Gdy kontroler RODC odbierze żądanie uwierzytelnienia od użytkownika, przekierowuje je do kontrolera RWDC.
  5. Kontroler RODC może buforować poświadczenia niektórych użytkowników (przyspiesza to szybkość autoryzacji i pozwala użytkownikom zalogować się do kontrolera domeny, nawet jeśli nie ma połączenia z pełnym kontrolerem domeny).
  6. Kontrolery domeny RODC mogą uzyskać dostęp administracyjny do zwykłych użytkowników (na przykład specjalisty technicznego w oddziale).

Wymagania dotyczące wdrażania kontrolera domeny tylko do odczytu.

  1. Serwer musi mieć przypisany statyczny adres IP
  2. Zapora musi być wyłączona lub poprawnie skonfigurowana, aby umożliwić ruch między kontrolerami domeny i dostęp od klientów
  3. Najbliższy kontroler RWDC musi zostać określony jako serwer DNS.

Zainstaluj kontroler RODC z interfejsu GUI Menedżera serwera

Otwórz konsolę Menedżera serwera i dodaj rolę Usługi domenowe w usłudze Active Directory (zgódź się zainstalować wszystkie dodatkowe komponenty i elementy sterujące).

Na etapie określania ustawień nowego kontrolera domeny określ, że chcesz dodać nowy kontroler domeny do istniejącej domeny (Dodaj kontroler domeny do istniejącej domeny), określ nazwę domeny i, jeśli to konieczne, informacje o koncie użytkownika z uprawnieniami administratora domeny.

Wybierz, co chcesz zainstalować role serwera DNS, wykazu globalnego (GC) i kontrolera RODC. Następnie wybierz miejsce, w którym będzie znajdować się nowy kontroler i hasło dostępu w trybie DSRM.

W następnym oknie określania parametrów kontrolera RODC musisz określić użytkowników, którzy muszą zapewnić dostęp administracyjny do kontrolera domeny, a także listę kont / grup, których hasła są dozwolone i zabronione do replikacji na tym kontrolerze RODC (można ustawić później).

Określ, że dane bazy danych AD mogą być replikowane z dowolnego kontrolera domeny.

Następnie określ ścieżki do bazy danych NTDS, jej dzienników i folderu SYSVOL (w razie potrzeby możesz później przenieść je na inny dysk).

To wszystko. Po sprawdzeniu wszystkich warunków możesz rozpocząć instalację roli.

Zainstaluj RODC z PowerShell

Aby wdrożyć nowy kontroler RODC za pomocą programu PowerShell, musisz zainstalować rolę ADDS i moduł ADDS programu PowerShell.

Add-WindowsFeature AD-Domain-Services, RSAT-AD-AdminCenter, RSAT-ADDS-Tools

Teraz możesz rozpocząć instalację kontrolera RODC:

Install-ADDSDomainController -ReadOnlyReplica -DomainName yourdimain.com -SiteName "Default-First-Site-Name" -InstallDns: $ true -NoGlobalCatalog: $ false

Po zakończeniu polecenia cmdlet zażąda ponownego uruchomienia serwera..

Możesz sprawdzić, czy serwer jest w trybie RODC, używając polecenia:

Get-ADDomainController -Identity S2016VMLT

Wartość atrybutu IsReadOnly musi wynosić True.

Zasady replikacji hasła RODC

Na każdym kontrolerze RODC można zdefiniować listę użytkowników i grup, których hasła można lub nie można replikować do tej kontroli domeny.

Domyślnie w domenie tworzone są dwie nowe grupy globalne

  1. Dozwolona grupa replikacji haseł RODC
  2. Odmowa grupy replikacji haseł RODC

Pierwsza grupa jest domyślnie pusta, a druga zawiera administracyjne grupy zabezpieczeń, których haseł użytkowników nie można replikować ani buforować na kontrolerze RODC w celu wyeliminowania ryzyka naruszenia bezpieczeństwa. Obejmuje to domyślnie grupy takie jak:

  • Właściciele twórców zasad grupy
  • Administratorzy domeny
  • Wydawcy certyfikatów
  • Administratorzy przedsiębiorstwa
  • Administratorzy schematu
  • Konto Krbtgt
  • Operatorzy kont
  • Operatorzy serwerów
  • Operatorzy kopii zapasowych

Z reguły w grupie dozwolonych replikacji haseł kontrolera RODC można dodawać grupy użytkowników oddziału obsługującego ten kontroler RODC.

Jeśli w domenie jest kilka kontrolerów domeny, warto utworzyć takie grupy osobno dla każdego kontrolera RODC. Grupy powiązań z kontrolerem domeny RODC są wykonywane we właściwościach serwera w konsoli ADUC na karcie Hasło
Zasady replikacji
(więcej szczegółów).

Gdy konsola ADUC łączy się z kontrolerem domeny z rolą RODC, nawet administrator domeny nie będzie mógł edytować atrybutów użytkownika / komputera (pól nie można edytować) ani tworzyć nowych.