Stránka Zadat zásady replikace hesel v Průvodci instalací služby Active Directory Domain Services se zobrazí při vytváření účtu řadiče domény jen pro čtení pouze v případě, že v průvodci zaškrtnete na stránce Vítá vás Průvodce instalací služby Active Directory Domain Services políčko Použít rozšířený režim instalace.
Princip zásad replikace hesel
Zásady replikace hesel určují, jakým způsobem provádí řadič domény jen pro čtení ukládání pověření do mezipaměti. Ukládání pověření do mezipaměti označuje ukládání uživatelských pověření nebo pověření počítače.
Když se uživatelé nebo počítače v lokalitě obsluhované řadičem domény jen pro čtení pokusí o ověření v doméně, nemůže řadič domény jen pro čtení ve výchozím nastavení jejich pověření ověřit. Řadič domény jen pro čtení předá žádost o ověření řadiči domény s možností zápisu. Určité objekty zabezpečení však mohou požadovat ověření v lokalitě obsluhované řadičem domény jen pro čtení i v případech, kdy se nemohou připojit k řadičům domény s možností zápisu.
Například se může jednat o uživatele nebo počítače na pobočce, u nichž je požadována možnost ověření, i když neexistuje spojení mezi pobočkou a lokalitami obsahujícími řadiče domény s možností zápisu. Chcete-li tento problém vyřešit, můžete pro daný řadič domény jen pro čtení nakonfigurovat zásady replikace hesel, které umožní ukládání hesel těchto uživatelů v mezipaměti na řadiči domény jen pro čtení. Budou-li hesla účtů uložena v mezipaměti na řadiči domény jen pro čtení, může tento řadič účty ověřit, i když není k dispozici připojení k řadičům domény s možností zápisu.
Zásady replikace hesel fungují jako seznam řízení přístupu (ACL). Určují, zda bude řadiči domény jen pro čtení dovoleno ukládat pověření účtů do mezipaměti. Když řadič domény jen pro čtení obdrží žádost uživatele nebo počítače o přihlášení, pokusí se replikovat pověření daného účtu z řadiče domény jen pro čtení se systémem Windows Server 2008 nebo Windows Server 2008 R2. Řadič domény s možností zápisu zjistí v zásadách replikace hesel, zda se pověření pro daný účet mají ukládat do mezipaměti. Pokud zásady replikace hesel povolují uložení účtu do mezipaměti, replikuje řadič domény s možností zápisu pověření tohoto účtu do řadiče domény jen pro čtení a ten je uloží do mezipaměti. Při následujících přihlašovacích akcích daného účtu může řadič domény jen pro čtení tento účet ověřit pomocí pověření uložených v mezipaměti. Řadič domény jen pro čtení nemusí kontaktovat řadič domény s možností zápisu.
Zásady replikace hesel v praxi
Zásady replikace hesel jsou definovány dvěma vícehodnotovými atributy služby Active Directory, které obsahují objekty zabezpečení (uživatele, počítače a skupiny). Každý účet počítače řadiče domény jen pro čtení má tyto dva atributy:
-
msDS-Reveal-OnDemandGroup, označovaný také jako Seznam povolených objektů
-
msDS-NeverRevealGroup, označovaný také jako Seznam odepřených objektů
Kvůli lepší správě zásad replikace hesel jsou pro každý řadič domény jen pro čtení udržovány další dva atributy související se zásadami replikace hesel:
-
msDS-RevealedList, označovaný také jako Seznam zjištěných objektů
-
msDS-AuthenticatedToAccountList, označovaný také jako Seznam ověřených objektů
Atribut msDS-Reveal-OnDemandGroup určuje, pro které objekty zabezpečení je povoleno ukládání hesel do mezipaměti na řadiči domény jen pro čtení. Tento atribut má ve výchozím nastavení jednu hodnotu, a to skupinu Allowed RODC Password Replication Group. Protože tato místní skupina domény nemá ve výchozím nastavení žádné členy, nelze ve výchozím nastavení ukládat hesla do mezipaměti na žádném řadiči domény jen pro čtení.
Tato část vysvětluje použití atributů Seznam povolených objektů, Seznam odepřených objektů, Seznam zjištěných objektů a Seznam ověřených objektů.
Jakmile řadič domény jen pro čtení odešle požadavek na replikaci hesla uživatele, řadič domény s možností zápisu se systémem Windows Server 2008, který byl řadičem domény jen pro čtení kontaktován, požadavek povolí nebo zamítne. Za tímto účelem ověří řadič domény s možností zápisu hodnoty seznamu povolených objektů a odepřených objektů řadiče domény jen pro čtení, který požadavek odeslal.
Pokud je účet, jehož heslo řadič domény jen pro čtení požaduje, v seznamu povolených objektů (a není v seznamu odepřených objektů) pro příslušný řadič domény jen pro čtení, je požadavek povolen.
V následujícím názorném příkladu je ukázán postup této operace.
Seznam odepřených objektů má prioritu před seznamem povolených objektů.
Předpokládejme například, že v organizaci existuje skupina zabezpečení pro správce s názvem Admins. V organizaci je jedna lokalita s názvem S1 a skupina zabezpečení s názvem Emp_S1 obsahující zaměstnance dané lokality. Dále je v organizaci jiná lokalita s názvem S2 a skupina zabezpečení s názvem Emp_S2 obsahující zaměstnance této lokality.
Lokalita S2 disponuje pouze řadičem domény jen pro čtení. Jan je správcem pro lokalitu S2. Proto patří do skupiny Emp_S2 i Admins. Po instalaci řadiče domény jen pro čtení v lokalitě S2 jsou do zásad replikace hesel přidány skupiny zabezpečení uvedené v následující tabulce.
| Skupina zabezpečení | Nastavení zásad replikace hesel |
|---|---|
|
Admins |
Odepřeno |
|
Emp_S2 |
Povoleno |
Na základě příslušné zásady lze do mezipaměti řadiče domény jen pro čtení v lokalitě S2 uložit pouze pověření členů skupiny Emp_S2, kteří nepatří do skupiny Admins. Pověření členů skupiny Emp_S1 a Admins nebudou za žádných okolností v řadiči domény jen pro čtení ukládána. Pověření členů skupiny Emp_S2 mohou být v řadiči domény jen pro čtení ukládána do mezipaměti. Janova pověření nebudou do mezipaměti řadiče domény jen pro čtení ukládána.
Výchozí nastavení zásad replikace hesel
Každý řadič domény jen pro čtení obsahuje zásady replikace hesel definující účty, jejichž hesla mohou být na řadič domény jen pro čtení replikována, a účty, jejichž replikace na řadič domény jen pro čtení je výslovně zakázána. Výchozí zásady určující skupiny a nastavení jsou uvedeny v následující tabulce.
| Název skupiny | Nastavení zásad replikace hesel |
|---|---|
|
Administrators |
Odepřít |
|
Server operators |
Odepřít |
|
Backup operators |
Odepřít |
|
Account operators |
Odepřít |
|
Denied RODC Password Replication Group |
Odepřít |
|
Allowed RODC Password Replication Group |
Povolit |
Ve výchozím nastavení obsahuje skupina Denied RODC Password Replication Group následující členy účtů domény:
-
Cert Publishers
-
Domain Admins
-
Enterprise Admins
-
Enterprise Domain Controllers
-
Enterprise Read-Only Domain Controllers
-
Group Policy Creator Owners
-
krbtgt
-
Schema Admins
Skupina Allowed RODC Password Replication Group neobsahuje ve výchozím nastavení žádné členy.
Výchozí zásady replikace hesel zlepšují zabezpečení instalace řadiče domény jen pro čtení, protože zajišťují, že ve výchozím nastavení nejsou ukládána žádná hesla účtů. Účty se zvýšenými nároky na zabezpečení (například účty členů skupiny Domain Admins) mají výslovně odepřeno ukládání hesel na řadiči domény jen pro čtení ve všech případech.
Úpravy výchozích zásad replikace hesel
Výchozí zásady replikace hesel je možné upravit při vytváření účtu řadiče domény jen pro čtení nebo po vytvoření účtu řadiče domény jen pro čtení. Chcete-li upravit výchozí zásady replikace hesel po vytvoření účtu řadiče domény jen pro čtení, klikněte pravým tlačítkem myši v modulu snap-in Uživatelé a počítače služby Active Directory v organizační jednotce (OU) Řadiče domény na účet řadiče domény jen pro čtení, klikněte na příkaz Vlastnosti a potom na kartu Zásady replikace hesel. (Chcete-li otevřít modul snap-in Uživatelé a počítače služby Active Directory, klikněte na tlačítko Start, přejděte na příkaz Nástroje pro správu a pak klikněte na položku Uživatelé a počítače služby Active Directory.)
Pokud chcete přidat účty do výchozích zásad replikace hesel při vytváření účtu řadiče domény jen pro čtení, klikněte v průvodci na stránce Zadat zásady replikace hesel na tlačítko Přidat a zadejte, zda má být povoleno nebo odepřeno ukládání hesel účtu na řadiči domény jen pro čtení. Potom v dialogovém okně Výběr uživatele, počítače nebo skupiny vyberte účty, které chcete přidat.
Aby mohl řadič domény jen pro čtení místně zpracovávat požadavky na ověření a lístky služeb, je nutné do zásad replikace hesel zahrnout odpovídající účty uživatelů, počítačů a služeb. Pokud nezahrnete účty počítačů, které budou uživatelé v pobočce používat pro přihlašování k síti, do seznamu povolených objektů, nebude moci řadič domény jen pro čtení požadavky na lístky služeb zpracovat místně a bude nucen tyto požadavky přesměrovat na řadič domény s možností zápisu. V případě, že je síť WAN (Wide Area Network) offline, může dojít k výpadku služby.
Nastavení Odepřít má prioritu před nastavením Povolit. Jsou-li pro daného uživatele zadána obě nastavení, ať již přímo, nebo nepřímo prostřednictvím členství uživatele v zadané skupině zabezpečení (nebo skupině vnořené v zadané skupině zabezpečení), není možné heslo tohoto uživatele na řadiči domény jen pro čtení uložit. Je však důležité mít na paměti, že uživatel, jehož heslo nelze uložit na řadiči domény jen pro čtení, může přesto tento řadič domény jen pro čtení použít k přihlášení za předpokladu, že je k dispozici připojení k řadiči domény s možností zápisu prostřednictvím sítě WAN. Heslo uživatele není na řadič domény jen pro čtení replikováno, ale přihlašovací údaje je možné ověřit řadičem domény s možností zápisu v síti WAN.
Následující tabulka shrnuje výhody a nevýhody tří možných příkladů konfigurací zásad replikace hesel.
| Příklad | Výhody | Nevýhody |
|---|---|---|
|
Do mezipaměti se neukládají žádné účty (výchozí nastavení). |
Nejbezpečnější - uživatelé jsou ověřováni řadičem domény s možností zápisu a své zásady skupiny získávají kvůli rychlému zpracování zásad z řadiče domény jen pro čtení. |
Nikdo nemá offline přístup - k přihlášení je nutná síť WAN. |
|
Do mezipaměti se ukládá většina účtů. |
Snadná správa hesel - tato možnost je určena pro organizace, které přikládají větší váhu zlepšení správy řadičů domény jen pro čtení než zabezpečení. |
Prostřednictvím řadiče domény jen pro čtení může být odhaleno větší množství hesel. |
|
Do mezipaměti se ukládá málo účtů. |
Tato konfigurace umožňuje offline přístup uživatelům, kteří ho potřebují, a nabízí lepší zabezpečení než při ukládání většiny účtů. |
Tato metoda vyžaduje rozsáhlejší správu. Může vyžadovat mapování uživatelů a počítačů pro každou pobočku, která má řadič domény jen pro čtení. Můžete také pomocí nástrojů, jako je repadmin /prp, přesunout účty, které jsou ověřeny řadičem domény jen pro čtení, do skupiny existující v seznamu povolených objektů, nebo můžete použít nástroj ILM (Identity Lifecycle Manager) k automatizaci tohoto procesu. |
V následujících částech jsou jednotlivé příklady popsány podrobněji.
Do mezipaměti se neukládají žádné účty
Tento příklad představuje nejbezpečnější možnost. Na řadič domény jen pro čtení nejsou replikována žádná hesla kromě hesla počítače řadiče domény jen pro čtení a jeho speciálního účtu krbtgt. Ověřování uživatelů a počítačů je však závislé na dostupnosti sítě WAN. Výhodou tohoto příkladu je, že nevyžaduje téměř žádnou nebo vůbec žádnou další úpravu výchozího nastavení konfigurace správy.
Do seznamu odepřených objektů je možné přidat vlastní skupiny uživatelů citlivé z hlediska zabezpečení. Přestože se ve výchozím nastavení neukládají do mezipaměti žádné účty, přidáním vlastních skupin uživatelů do seznamu odepřených objektů lze tyto skupiny chránit proti neúmyslnému přidání těchto skupin do seznamu povolených objektů a následnému nežádoucímu ukládání jejich hesel do mezipaměti na řadiči domény jen pro čtení.
Upozorňujeme, že účet delegovaného správce řadiče domény jen pro čtení není automaticky přidán do seznamu povolených objektů. Doporučujeme přidat účet delegovaného správce řadiče domény jen pro čtení do seznamu povolených objektů. Zajistíte tím, že se delegovaný správce bude moci k řadiči domény jen pro čtení přihlásit vždy, bez ohledu na dostupnost připojení WAN k řadiči domény s možností zápisu.
Do mezipaměti se ukládá většina účtů
Tento příklad je nejjednodušším režimem správy. Odstraňuje závislost ověřování uživatelů a počítačů na dostupnosti sítě WAN. V tomto příkladu je seznam povolených objektů pro všechny řadiče domény jen pro čtení naplněn skupinami představujícími významnou část uživatelů a počítačů. Seznam odepřených objektů nedovolí skupinám uživatelů se zvýšenými nároky na zabezpečení, například Domain Admins, ukládání hesel do mezipaměti. U většiny ostatních uživatelů je však ukládání jejich hesel do mezipaměti na požádání povoleno. Do seznamu odepřených objektů je možné přidat vlastní skupiny uživatelů citlivé z hlediska zabezpečení.
Tato konfigurace je nejvhodnější v prostředích, kde není ohrožena fyzická bezpečnost řadiče domény jen pro čtení. Zásady replikace hesel může být například vhodné takto nakonfigurovat pro řadič domény jen pro čtení nainstalovaný na bezpečném místě a využívat přednosti nižších nároků této konfigurace na replikaci a správu.
 | Důležité informace |
|
Do seznamu povolených objektů je třeba přidat také účty počítačů pro uživatele z poboček, aby se tito uživatelé mohli připojit, i když bude síť WAN offline. |
Do mezipaměti se ukládá málo účtů
V tomto příkladu jsou omezeny účty, které lze ukládat do mezipaměti. To je obvykle pro jednotlivé řadiče domény jen pro čtení definováno různě - každý řadič domény jen pro čtení má jinou sadu účtů uživatelů a počítačů, které je dovoleno ukládat do mezipaměti. Tento příklad je obvyklý pro skupinu uživatelů, kteří pracují v určité fyzické lokalitě.
Výhodou tohoto příkladu je, že se tito uživatelé budou moci přihlásit k síti a budou moci být řadičem domény jen pro čtení v pobočce ověřeni i v případě, že síť WAN bude offline. Současně je omezen počet možných odhalení hesel vzhledem k omezenému počtu uživatelů, jejichž hesla je povoleno do mezipaměti ukládat.
U tohoto příkladu vznikají zvýšené nároky na správu vzhledem k nutnosti naplnit seznamy povolených a odepřených objektů. Neexistuje žádný výchozí způsob automatizace čtení účtů ze známého seznamu objektů zabezpečení ověřených na určitém řadiči domény jen pro čtení. Rovněž neexistuje výchozí metoda, jak těmito účty naplnit seznam povolených objektů. Tyto účty lze přesunout do skupiny, která je součástí seznamu povolených objektů, pomocí příkazu repadmin /prp move. Také je možné vytvořit proces pomocí skriptů nebo aplikací, jako je ILM.
Přestože je možné do seznamu povolených objektů přidávat přímo účty uživatelů a počítačů, je vhodnější místo toho vytvořit pro každý řadič domény jen pro čtení skupinu zabezpečení, tuto skupinu přidat do seznamu povolených objektů a pak do ní přidat účty uživatelů a počítačů. Tímto způsobem bude možné ke správě ukládání účtů do mezipaměti na řadiči domény jen pro čtení používat standardní nástroje pro správu skupin, jako je modul snap-in Uživatelé a počítače služby Active Directory, nebo nástroje příkazového řádku Dsadd a Dsmod.
Příkaz repadmin /prp move vyžaduje zadání skupiny zabezpečení. Pokud skupina, kterou v příkazu zadáte, neexistuje, příkaz skupinu vytvoří a přidá ji do seznamu povolených objektů.
Stejně jako v předchozím příkladu je nutné do seznamu povolených objektů přidat příslušné účty počítačů.