Продовжуючи цикл статей про нову технологію Active Directory – RODC (Read-Only Domain Controllers), хотілося б торкнутися докладніше тему політики реплікації паролів – Password Replication Policy (PRP). За замовчуванням на RODC не зберігається ні паролі користувачів ні комп’ютерів (за винятком його власного облікового запису комп’ютера і спеціального облікового запису krbtgt). Мета цього ускладнення – підвищення рівня безпеки, так як якщо RODC буде скомпрометований, ви не будете хвилюватися про те, що цінна інформація потрапить в руки до зловмисника.

А може бути було б непогано, якщо була б можливість реплицировать користувачів на їх сайт з тією метою, що якщо навіть з’єднання WAN з головним офісом буде розірвано, вони могли б здійснювати вхід в систему. Саме такі настройки побачити в консолі ADUC на вкладці властивостей облікового запису RODC на вкладці Пароль
Реплікація Політика (PRP). Тут ви можете вказати, паролі яких користувачів повинні бути реплікуються на цей RODC, а які ні.

Ці настройки можна також задати при установці ролі RODC за допомогою файлу відповідей Unattended, для цього використовують такі параметри:

PasswordReplicationDenied=
PasswordReplicationAllowed=

Для отримання додаткової інформації можна скористатися вкладкою Розширений, Тут можна дізнатися яким облікових записів можна аутентифицироваться на RODC, і також іншу корисну інформацію, яка допоможе вам оптимально налаштувати PRP. на вкладці Результат Політика можна ввести ім’я користувача і дізнатися чи буде пароль цього користувача збережена в кеші на RODC чи ні.

Коли RODC отримує запит на вхід в систему, він намагається реплицировать повноваження зі звичайного «доступного на запис» контролера домену Windows 2008. Цей контролер звертається до PRP, і намагається визначити, чи повинні бути реплікуються на RODC облікові дані цього користувача чи ні. Якщо дозволено, то звичайний DC реплицирует повноваження на RODC і RODC кешируєт їх локально. Подальша перевірка справжності користувача потім здійснюється з використанням кешу на RODC і відсутність каналу зв’язку зі звичайним DC вже не критично.

Однак є і недолік, не існує можливості очистити кеш паролів на контролері домену RODC. Єдине, що може зробити адміністратор Active Directory в цьому випадку – це скинути паролі всіх облікових записів, які закеширувалася, після чого кеш на контролері RODC стане неактуальним і ці дані не можуть бути використані для входу в систему. Цю ж процедуру потрібно виконати перед перевстановлення скомпрометованого RODC. Це набагато простіше, ніж вручну спробувати з’ясувати, паролі яких учеток були кешованими на RODC. При спробі видалить RODC з консолі ADUC, перед вами з’явиться наступне вікно:

А що ж тоді за функція ПреполюатПаролі? Уявіть ситуацію, коли в вашому філії більше 100 користувачів і ви додали їх групу в PRP. Ну, скажімо, у вас є 100 користувачів в цій філії, і ви додали їх групи PRP. І щоб не чекати входу кожного користувача в систему, ми можемо вказати контролеру домену негайно почати реплікацію паролів. також функцію ПреполюатПаролі можна використовувати при транспортуванні нового сервера RODC з центрального датацентру до філії, з тим, щоб зменшити навантаження на канал WAN при масовому вході користувачів в систему.

Leave a Reply

Your email address will not be published. Required fields are marked *