Вперше функціонал контролера домену, доступного тільки на читання (RODC – read-only domain controller), був представлений в Windows Server 2008. Основне завдання, яке переслідує технологією RODC, можливість безпечної установки власного контролера домену в віддалених філіях і офісах, в яких складно забезпечити фізичний захист сервера з роллю DC. Контролер домену RODC містить копію бази Active Directory, доступну тільки на читання. Це означає, що ніхто, навіть при отриманні фізичного доступу до такого контролера домену, не зможе змінити дані в AD (в тому числі скинути пароль адміністратора домена).

В цей статті ми розглянемо основні особливості використання і процедуру установки нового контролера домену RODC на базі Windows Server 2016.

Особливості контролера домену RODC

Основні відмінності RODC від звичайних контролером домену, доступних для запису (RWDC)

  1. Контролер домену RODC зберігає копію бази AD, доступну тільки для читання. Відповідно, клієнти такого контролера домену не можуть вносити в неї зміни.
  2. RODC НЕ репліцірцірует дані AD і папку SYSVOL на інші контролери домену (RWDC).
  3. Контролер RODC зберігає повну копію бази AD, за винятком хеш паролів об’єктів AD і інших атрибутів, що містять чутливу інформацію. Цей набір атрибутів називається Набір відфільтрованих атрибутів (FAS). Сюди відносяться такі атрибути, як ms-PKI-AccountCredentials, ms-FVE-RecoveryPassword, ms-PKI-DPAPIMasterKeys і т.д. У разі необхідності в цей набір можна додати і інші атрибути, наприклад при використанні LAPS, в нього слід додати атрибут ms-MCS-AdmPwd.
  4. При отриманні контролером RODC запиту на аутентифікацію від користувача, він перенаправляє цей запит на RWDC контролер.
  5. Контролер RODC може кешувати облікові дані деяких користувачів (це прискорює швидкість авторизації і дозволяє користувачам авторизуватися на контролері домену, навіть при відсутності зв’язку з повноцінним DC).
  6. На контролери домену RODC можна давати адміністративний доступ звичайним користувачам (наприклад, технічного фахівця філії).

Вимоги, які повинні бути виконані для розгортання Read-Only Domain Controller.

  1. На сервері повинен бути призначений статичний IP
  2. Файервол повинен бути відключений або коректно налаштований для проходження трафіку між DC та доступу від клієнтів
  3. Як DNS сервера повинен бути вказаний найближчий RWDC контролер

Установка RODC з графічного інтерфейсу Server Manager

Відкрийте консоль Server Manager і додайте роль Доменні служби Active Directory (Погодьтеся з установкою всіх додаткових компонентів і засобів управління).

Установка ролі Active Directory Domain Services

На етапі вказівки налаштувань нового DC, вкажіть що потрібно додати новий контролер домену в існуючий домен (Додайте контролер домену до існуючого домену), Вкажіть ім’я домену та, якщо необхідно, дані облікового запису користувача з правами адміністратора домену.

Додайте контролер домену до існуючого домену

Виберіть, що потрібно встановити роль DNS сервера, глобального каталогу (GC) і RODC. Далі виберіть сайт, в якому буде знаходиться новий контролер і пароль для доступу в DSRM режимі.

Параметри нового контролера домену RODC

У наступному вікні вказівки параметрів RODC потрібно вказати користувачів, яким потрібно надати адміністративної доступ до контролера домену, а також список облікових записів / груп, паролі яких дозволено і заборонено реплицировать на даний RODC (можна задати і пізніше). параметри RODC

Вкажіть, що дані бази AD можна реплицировать з будь-якого DC.

Джерело реплікації для RODC

Потім вкажіть шляху до бази NTDS, її журналам і папці SYSVOL (в разі потреби їх можна перенести на інший диск пізніше).

Шляхи до NTDS і SYSVOL

На цьому все. Після перевірки всіх умов, можна запустити установку ролі.

Запуск установки RODC

Установка RODC за допомогою PowerShell

Для розгортання нового RODC за допомогою PowerShell, потрібно встановити роль ADDS і PowerShell модуль ADDS.

Add-WindowsFeature AD-Domain-Services, RSAT-AD-AdminCenter,RSAT-ADDS-Tools

Тепер можна запустити установку RODC:

Install-ADDSDomainController -ReadOnlyReplica -DomainName yourdimain.com -SiteName "Default-First-Site-Name" -InstallDns:$true -NoGlobalCatalog:$false

Після закінчення роботи командлет запросить перезавантаження сервера.

Перевірити, що сервер працює в режимі RODC можна за допомогою команди:

Get-ADDomainController -Identity S2016VMLT

Значення атрибута IsReadOnly має бути True.

Політики реплікації паролів RODC

На кожному RODC можна визначити список користувачів і груп, паролі яких можна або не можна реплицировать на даний контролі домену.

За замовчуванням в домені створюються дві нові глобальні групи

  1. Дозволена група реплікації паролів RODC
  2. Відмовлено групі реплікації паролів RODC

Перша група за замовчуванням порожня, а в другій містяться адміністративні групи безпеки, паролі користувачів яких не можна реплицировать і кешувати на RODC з метою виключення ризику їх компрометації. Сюди за замовчуванням входять такі групи, як:

  • Власники творців групової політики
  • Адміністратори доменів
  • Видавці Cert
  • Адміністратори підприємств
  • Розклад адміністраторів
  • аккаунт krbtgt
  • Оператори рахунків
  • Оператори серверів
  • Оператори резервного копіювання

группа Дозволена група реплікації паролів RODC

Як правило, в групу Allowed RODC Password Replication Group можна додати групи користувачів філії, який обслуговує даний RODC.

У тому випадку, якщо в домені кілька DC, варто створити такі групи індивідуально для кожного RODC. Прив’язка груп до контролера домену RODC виконується у властивостях сервера в консолі ADUC на вкладці Пароль
Політика реплікації
(Докладніше).

Політика відтворення пароля RODC

При підключенні консоллю ADUC до контролера домену з роллю RODC навіть адміністратору домену буде недоступно редагування атрибутів користувачів / комп’ютерів (поля недоступні для редагування) або створення нових.

Leave a Reply

Your email address will not be published. Required fields are marked *