Prvič, funkcionalnost krmilnika domene samo za branje (Rodc - krmilnik domen samo za branje), predstavljen v sistemu Windows Server 2008. Glavna naloga, ki jo zasleduje tehnologija RODC, je zmožnost varnega nameščanja lastnega krmilnika domene v oddaljene podružnice in pisarne, v katerih je težko zagotoviti fizično zaščito strežnika z vlogo DC. Krmilnik domene RODC vsebuje kopijo baze podatkov Active Directory, ki je samo za branje. To pomeni, da nihče, tudi po fizičnem dostopu do takega krmilnika domene, ne bo mogel spremeniti podatkov v AD (vključno s ponastavitvijo gesla skrbnika domene).
V tem članku bomo obravnavali glavne značilnosti uporabe in postopek namestitve novega krmilnika domen RODC, ki temelji na sistemu Windows Server 2016.
Vsebina:
- Značilnosti regulatorja domene RODC
- Namestite RODC iz GUI upravitelja strežnikov
- Namestite RODC s programom PowerShell
- Politike podvajanja gesla RODC
Značilnosti regulatorja domene RODC
Glavne razlike med RODC-ji in običajnimi krmilniki domen, ki jih je mogoče pisati (RWDC)
- Krmilnik domene RODC hrani kopijo baze podatkov AD, ki je samo za branje. Zato stranke takega krmilnika domene ne morejo spreminjati..
- RODC ne posnema podatkov AD in mape SYSVOL na druge krmilnike domen (RWDC).
- Krmilnik RODC hrani popolno kopijo baze podatkov AD, razen šifranj gesla objektov AD in drugih atributov, ki vsebujejo občutljive informacije. Ta niz atributov se imenuje Filtrirani niz atributov (FAS). To vključuje atribute, kot so ms-PKI-AccountCredentials, ms-FVE-RecoveryPassword, ms-PKI-DPAPIMasterKeys itd. Če je potrebno, lahko temu nizu dodate druge atribute, na primer, ko uporabljate LAPS, mu dodajte atribut ms-MCS-AdmPwd.
- Ko RODC od uporabnika prejme zahtevo za preverjanje pristnosti, to zahtevo preusmeri na krmilnik RWDC.
- Krmilnik RODC lahko predpomni poverilnice nekaterih uporabnikov (to pospeši hitrost avtorizacije in uporabnikom omogoča prijavo v krmilnik domene, tudi če ni povezave s polnim DC).
- RODC krmilniki domen lahko dobijo administrativni dostop do običajnih uporabnikov (na primer podružnični tehnični specialist).
Zahteve za uvajanje krmilnika domen samo za branje.
- Strežniku mora biti dodeljen statični IP
- Požarni zid mora biti onemogočen ali pravilno konfiguriran, da omogoča promet med DC-ji in dostop odjemalcev
- Kot strežnik DNS mora biti določen najbližji krmilnik RWDC.
Namestite RODC iz GUI upravitelja strežnikov
Odprite konzolo Upravitelja strežnikov in dodajte vlogo Storitve domen Active Directory (strinjate se, da boste namestili vse dodatne komponente in krmilnike).
Na stopnji določitve nastavitev novega DC določite, da želite dodati obstoječ domen nov krmilnik (Dodajte krmilnik domene obstoječi domeni), podajte ime domene in po potrebi podatke o uporabniškem računu s pravicami skrbnika domene.
Izberite, kaj želite namestiti vloge strežnika DNS, globalnega kataloga (GC) in RODC. Nato izberite spletno mesto, kjer bo nov krmilnik in geslo za dostop v načinu DSRM.
V naslednjem oknu za določitev parametrov RODC morate določiti uporabnike, ki morajo zagotoviti skrbniški dostop do krmilnika domene, pa tudi seznam računov / skupin, katerih gesla so dovoljena in prepovedana ponovitev v ta RODC (lahko jih nastavite pozneje).
Določite, da je mogoče podatke iz baze podatkov AD kopirati iz katerega koli DC.
Nato določite poti do baze podatkov NTDS, njenih dnevnikov in mape SYSVOL (po potrebi jih lahko kasneje prenesete na drug pogon).
To je vse. Po preverjanju vseh pogojev lahko začnete namestitev vlog.
Namestite RODC s programom PowerShell
Če želite uporabiti nov RODC z uporabo PowerShell, morate namestiti vlogo ADDS in modul ADDS PowerShell..
Add-WindowsFeature AD-Domain-Services, RSAT-AD-AdminCenter, RSAT-ADDS-Tools
Zdaj lahko začnete namestitev RODC-ja:
Namestite-ADDSDomainController -ReadOnlyReplica -DomainName yourdimain.com -SiteName "Privzeto-ime-ime-mesta" -InstallDns: $ true -NoGlobalCatalog: $ false
Ko se cmdlet konča, bo zahteval ponovni zagon strežnika..
Z ukazom lahko preverite, ali je strežnik v načinu RODC:
Get-ADDomainController -Identity S2016VMLT
Vrednost atributa IsReadOnly mora biti True.
Politike podvajanja gesla RODC
Na vsakem RODC lahko določite seznam uporabnikov in skupin, katerih gesla je mogoče ali ne morejo ponoviti na ta nadzor domene.
Privzeto sta v domeni ustvarjeni dve novi globalni skupini
- Dovoljena skupina za podvajanje gesla RODC
- Zavrnjena skupina za podvajanje gesla RODC
Prva skupina je privzeto prazna, druga pa vsebuje administrativne varnostne skupine, katerih uporabniških geslov ni mogoče kopirati in predpomniti v RODC, da bi odpravili tveganje ogrožanja. To vključuje privzete skupine, kot so:
- Lastniki ustvarjalcev pravilnikov skupine
- Administratorji domene
- Cert Publishers
- Administratorji podjetij
- Administratorji shem
- Krbtgt račun
- Upravljavci računov
- Strežniki
- Varnostno kopiranje
Praviloma lahko v skupini dovoljenih podvajanj gesla RODC dodate skupine uporabnikov podružnice, ki služi temu RODC.
V primeru, da je v domeni več DC-jev, je vredno ustvariti takšne skupine posebej za vsak RODC. Vezanje skupin na krmilnik domene RODC se izvede v lastnostih strežnika v konzoli ADUC na zavihku Geslo
Politika kopiranja (več podrobnosti).
Ko se konzola ADUC poveže s krmilnikom domene z vlogo RODC, tudi skrbnik domene ne bo mogel urejati atributov uporabnika / računalnika (polja niso mogoče urejati) ali ustvariti novih.