Politika podvajanja gesla v RODC

Nadaljujem z nizom člankov o novi tehnologiji Active Directory - RODC (samo za branje krmilniki domen), rad bi se dotaknil teme politike podvajanja gesla - Politike podvajanja gesla (PRP). Na RODC privzeto niso shranjena nobena uporabniška ali računalniška gesla (razen lastnega računalniškega računa in posebnega računa krbtgt). Namen tega zapleta je povečati raven varnosti, kajti če je RODC ogrožen, vas ne bo skrbelo, da bodo dragocene informacije padle v roke napadalca.

Ali pa bi bilo lepo, če bi obstajala priložnost, da uporabnike posnamejo na njihovo spletno mesto s ciljem, da bi se lahko tudi, če je povezava WAN s sedežem prekinjena, prijavili. Te nastavitve si lahko ogledate na konzoli ADUC na kartici lastnosti računa RODC na zavihku Geslo
Podvajanje Politika (PRP). Tu lahko določite, katera gesla uporabnikov je treba ponoviti na ta RODC in katera ne.

Te nastavitve lahko določite tudi pri namestitvi vloge RODC z uporabo datoteke brez odgovora z uporabo naslednjih parametrov:

PasswordReplicationDenied =
PasswordReplicationAllowed =

Za več informacij lahko uporabite zavihek Napredno, tukaj lahko ugotovite, na katerih računih je mogoče overiti RODC, pa tudi druge koristne informacije, ki vam bodo pomagale optimalno konfigurirati PRP. Zavihek Rezultat Politika lahko vnesete uporabniško ime in ugotovite, ali bo geslo za tega uporabnika predpomnjeno v RODC ali ne.

Ko RODC prejme zahtevo za prijavo, poskuša ponoviti poverilnice iz običajnega krmilnika domene Windows 2008. "Ta možnost omogoči pisanje". Ta krmilnik dostopa do PRP in poskuša ugotoviti, ali naj bodo poverilnice tega uporabnika replicirane na RODC. Če je omogočen, navadni DC kopira poverilnice na RODC in RODC jih predpomni lokalno. Poznejša overitev uporabnika se nato izvede s pomočjo predpomnilnika na RODC in odsotnost povezave do običajnega enosmernega toka ni več kritična.

Vendar obstaja pomanjkljivost, ni možnosti, da počistite predpomnilnik gesla na regulatorju domene RODC. Edino, kar lahko stori skrbnik Active Directory v tem primeru, je ponastaviti gesla vseh predpomnjenih računov, nato pa predpomnilnik RODC postane nepomemben in teh podatkov ne bo mogoče uporabiti za vstop v sistem. Pred ponovno namestitvijo ogrožene RODC je treba izvesti isti postopek. To je veliko lažje kot ročno poskušati ugotoviti, katera gesla računa so bila predpomnjena v RODC. Ko poskušate odstraniti RODC s konzole ADUC, se bo pred vami prikazalo naslednje okno:

In potem kakšna funkcija PrepoluatGesla? Predstavljajte si situacijo, ko ima vaša podružnica več kot 100 uporabnikov in ste svojo skupino dodali v PRP. Recimo, da imate 100 uporabnikov v tej panogi in dodali ste njihove skupine PRP. In da ne bi čakali, da vsak uporabnik vstopi v sistem, lahko nadzorniku domene naročimo, naj nemudoma začne podvajati gesla. Tudi funkcijo PrepoluatGeslase lahko uporablja pri prevozu novega strežnika RODC iz centralnega podatkovnega centra do podružnice, da se zmanjša obremenitev WAN kanala med množično prijavo uporabnika.