V svojem prejšnjem članku sem razložil glavne razloge, zakaj se je Microsoft odločil, da se vrne k tehnologiji RODC v sistemu Windows Server 2008. Ta članek nadaljuje serijo, nadaljevali pa bomo z nekaterimi praktičnimi vidiki dela s krmilniki domene samo za branje.
Uporabniške poverilnice
V prejšnjem članku sem rekel, da se vsi podatki o vseh uporabnikih domene ne prenašajo na krmilnike domen RODC. V resnici so informacije o uporabniških računih še vedno shranjene na RODC; uporabniška gesla se preprosto ne kopirajo na tak regulator domene. Če nekdo ukrade krmilnik domene iz podružnice, ne bo mogel uporabiti podatkov iz baze podatkov Active Directory za pridobitev uporabniških gesel.
Lastnosti uporabnika
Gesla so privzeto edini uporabniški atribut, ki ni podvojen v bralnik samo za nadzor domene. Vendar je mogoče ročno konfigurirati sistem Windows, da preprečite kopiranje drugih uporabniških atributov..
Torej, v katerih primerih je to funkcijo mogoče uporabiti? Če uporabljate Active Directory samo kot mehanizem za preverjanje pristnosti, ga najverjetneje ne boste potrebovali. Upoštevajte pa, da obstajajo organizacije, ki se močno zanašajo na bazo podatkov Active Directory, ki se ne uporablja samo za preverjanje pristnosti..
Pogosto v velikih organizacijah, ki uporabljajo različne uporabniške aplikacije in baze podatkov, za zmanjšanje števila napak in podvojenih podatkov o uporabnikih raje uporabijo eno mesto za shranjevanje vseh informacij o zaposlenih (telefoni, naslovi, stiki itd.), In odlično mesto za to je Active Directory.
Na primer poznam eno organizacijo, ki je razvila aplikacijo za upravljanje osebja, ki jo uporabljajo znotraj svojega območja. Čeprav je večina podatkov shranjena v bazi podatkov SQL, so stvari, kot so imena zaposlenih, položaji, telefonske številke itd. shranjene v Active Directory kot atributi računa. In v bazi podatkov SQL Server so shranjeni podatki, kot so številke TIN, podatki o plačah, ta baza podatkov pa ne vsebuje imen zaposlenih. Edina stvar, ki povezuje baze podatkov AD in SQL, je številka zaposlenih, ki je prisotna v obeh bazah podatkov.
Ta primer sem vam dal, da bi bilo jasno, da lahko v številnih organizacijah zaupne informacije vsebujejo uporabniške atribute AD. V primeru, da takšne informacije na podružnici niso potrebne, lahko blokirate njegovo podvajanje na krmilniku domene podružnice.
Druga značilnost tehnologije samo za branje domene je, da je tak krmilnik lahko konfiguriran tudi kot DNS strežnik samo za branje. V bistvu to pomeni, da če napadalec pridobi dostop do strežnika regulatorja domene samo za branje, ne bo mogel paralizirati korporativnega DNS-a.
Upravna vprašanja
Prepričan sem, da imate do zdaj že veliko vprašanj glede administracije rodc. Poskusil bom takoj odgovoriti na nekatere od njih.
Kako so uporabniki overjeni, če regulator domene nima informacij o svojih geslih??
Tu je trik. Kot veste, je geslo povezano tako z uporabniškim računom kot z računalniškim računom. Privzeto Reader Controller shrani samo svoje geslo (geslo računalniškega računa) in geslo za poseben račun z imenom "krbtgt", ki ga uporablja protokol Kerberos.
Ker gesla se ne shranjujejo lokalno; vse zahteve za preverjanje pristnosti se preusmerijo na običajen krmilnik domene, katerega snemanje je dovoljeno. Če želite, da se uporabniki lahko prijavijo v sistem, tudi če ni na voljo navadni krmilnik, morate omogočiti funkcijo predpomnjenja gesla. Ko je predpomnjenje omogočeno, bo predpomnilnik shranil gesla samo za tiste račune, ki so bili overjeni na regulatorju domene. In tudi če je vaš krmilnik domene ogrožen, lahko iz drugega krmilnika vedno prepoznate tiste račune, katerih gesla so bila predpomnjena na rodc.
Administrativno delo z rodc
V številnih poslovalnicah se krmilnik domene pogosto uporablja tudi kot strežnik aplikacij. In v primeru, da v takšni pisarni ni ločenega IT strokovnjaka, lahko nekoga iz urada imenujete za skrbnika regulatorja rodc, ne da bi mu dali skrbniške pravice za celotno domeno (lahko preberete objavo o prenosu pravic upravljanja na krmilnik domene rodc). Tako bo imel pravice samo do lokalne uprave takšnega strežnika in v Active Directory ne bo mogel ničesar spremeniti ali pokvariti. Zaradi tega bo imel tak uporabnik pravico namestiti posodobitve programske opreme in opravljati druga dnevna opravila upravljanja in vzdrževanja strežnika. Dodelitev nekoga za skrbnika domene samo za branje je podoben postopku imenovanja določenega uporabnika ali skupine kot lokalnega skrbnika za člana ali samostojnega strežnika.
Povezave do vseh člankov v tej seriji:
Delo z regulatorji domen samo za branje (RODC) (1. del)
Delo z regulatorjem domene samo za branje (2. del)
Delo z regulatorjem domene samo za branje (3. del)