Beim Erstellen eines RODC-Kontos (Read-Only Domain Controller, schreibgeschützter Domänencontroller) wird die Assistentenseite Kennwortreplikationsrichtlinie angeben im Assistenten zum Installieren von Active Directory-Domänendiensten nur dann angezeigt, wenn auf der Seite Willkommen des Assistenten zum Installieren von Active Directory-Domänendiensten das Kontrollkästchen Installation im erweiterten Modus verwenden aktiviert ist.
Funktionsweise der Kennwortreplikationsrichtlinie
Mit der Kennwortreplikationsrichtlinie (Password Replication Policy, PRP) wird bestimmt, wie ein RODC Anmeldeinformationen zwischenspeichert. Bei der Zwischenspeicherung von Anmeldeinformationen handelt es sich um das Speichern von Benutzer- oder Computeranmeldeinformationen.
Wenn Benutzer oder Computer an einem Standort, der von einem RODC bedient wird, versuchen, sich für die Domäne zu authentifizieren, können die Anmeldeinformationen standardmäßig nicht vom RODC überprüft werden. Die Authentifizierungsanforderung wird dann vom RODC an einen beschreibbaren Domänencontroller weitergeleitet. Möglicherweise sind jedoch einige Sicherheitsprinzipale vorhanden, die sich möglicherweise an einem Standort authentifizieren können müssen, der von einem RODC bedient wird. Dies gilt auch für Fälle, in denen keine Konnektivität für beschreibbare Domänencontroller vorhanden ist.
Beispielsweise verfügen Sie möglicherweise über einige Benutzer und Computer in einer Zweigstelle, die authentifiziert werden sollen – auch wenn keine Konnektivität zwischen der Zweigstelle und den Standorten vorhanden ist, die beschreibbare Domänencontroller enthalten. Sie können die PRP für diesen RODC so konfigurieren, dass die Kennwörter für diese Benutzer auf dem RODC zwischengespeichert werden können. Wenn die Kontokennwörter auf dem RODC zwischengespeichert werden, können diese Konten vom RODC authentifiziert werden, wenn keine Konnektivität für beschreibbare Domänencontroller vorhanden ist.
Die PRP fungiert als Zugriffssteuerungsliste (Access Control List, ACL). Mit ihr wird bestimmt, ob Anmeldeinformationen für ein Konto auf einem RODC zwischengespeichert werden dürfen. Nachdem eine Benutzer- oder Computeranmeldeanforderung auf dem RODC eingeht, wird versucht, die Anmeldeinformationen für dieses Konto von einem beschreibbaren Domänencontroller unter Windows Server 2008 oder Windows Server 2008 R2 zu replizieren. Der beschreibbare Domänencontroller bezieht sich auf die PRP, um zu bestimmen, ob die Anmeldeinformationen für das Konto zwischengespeichert werden müssen. Wenn aufgrund der PRP zugelassen wird, dass das Konto zwischengespeichert wird, werden die Anmeldeinformationen für dieses Konto auf dem beschreibbaren Domänencontroller auf den RODC repliziert und auf dem RODC zwischengespeichert. Während nachfolgender Anmeldevorgänge für dieses Konto kann das Konto vom RODC authentifiziert werden, indem auf die vom RODC zwischengespeicherten Anmeldeinformationen zugegriffen wird. Vom RODC muss keine Verbindung mit dem beschreibbaren Domänencontroller hergestellt werden.
Aktive PRP
Die PRP wird durch zwei mehrwertige Active Directory-Attribute definiert, die Sicherheitsprinzipale (Benutzer, Computer und Gruppen) enthalten. Jedes RODC-Computerkonto weist diese beiden Attribute auf:
-
msDS-Reveal-OnDemandGroup (auch als Liste der zulässigen Objekte bezeichnet)
-
msDS-NeverRevealGroup (auch als Liste der verweigerten Objekte bezeichnet)
Zur Unterstützung der PRP-Verwaltung werden zwei weitere Attribute im Zusammenhang mit der PRP für die einzelnen RODCs verwendet:
-
msDS-RevealedList (auch als Liste der preisgegebenen Objekte bezeichnet)
-
msDS-AuthenticatedToAccountList (auch als Liste der authentifizierten Objekte bezeichnet)
Mit dem msDS-Reveal-OnDemandGroup-Attribut wird angegeben, für welche Sicherheitsprinzipale Kennwörter auf einem RODC zwischengespeichert werden können. Standardmäßig weist dieses Attribut einen Wert auf: Zulässige RODC-Kennwortreplikationsgruppe. Da diese lokale Domänengruppe standardmäßig keine Mitglieder enthält, können standardmäßig keine Kontokennwörter auf einem RODC zwischengespeichert werden.
In diesem Abschnitt wird beschrieben, wie die Attribute Liste der zulässigen Objekte, Liste der verweigerten Objekte, Liste der preisgegebenen Objekte und Liste der authentifizierten Objekte verwendet werden.
Wenn ein RODC eine Anforderung für die Replikation des Kennworts eines Benutzers sendet, wird die Anforderung durch den schreibbaren Domänencontroller unter Windows Server 2008, den der RODC kontaktiert, zugelassen oder verweigert. Zum Zulassen oder Verweigern der Anforderung werden vom beschreibbaren Domänencontroller die Werte in der Liste der zulässigen Objekte und in der Liste der verweigerten Objekte für den RODC überprüft, von dem die Anforderung gesendet wird.
Wenn sich das Konto, dessen Kennwort vom RODC angefordert wird, in der Liste der zulässigen Objekte (statt in der Liste der verweigerten Objekte) für diesen RODC befindet, wird die Anforderung zugelassen.
Die folgende Abbildung zeigt, wie dieser Vorgang abläuft.
Die Liste der verweigerten Objekte hat Vorrang vor der Liste der zulässigen Objekte.
Nehmen Sie beispielsweise an, dass ein Unternehmen über eine Sicherheitsgruppe für Administratoren mit der Bezeichnung "Admins" verfügt. Das Unternehmen weist einen Standort "S1" und eine Sicherheitsgruppe "Emp_S1" auf, die die Mitarbeiter an diesem Standort umfasst. Außerdem hat das Unternehmen einen Standort "S2" und eine Sicherheitsgruppe "Emp_S2", die die Mitarbeiter an diesem Standort umfasst.
Der Standort "S2" verfügt nur über einen RODC. Bob ist ein Administrator, der am Standort "S2" arbeitet. Daher gehört er sowohl der Gruppe "Emp_S2" als auch der Gruppe "Admins" an. Wenn der RODC an Standort "S2" installiert wird, werden die Sicherheitsgruppen, die in der folgenden Tabelle aufgeführt sind, der PRP hinzugefügt.
| Sicherheitsgruppe | PRP-Einstellung |
|---|---|
|
Admins |
Verweigert |
|
Emp_S2 |
Zugelassen |
Gemäß der angegebenen Richtlinie können auf dem RODC an Standort "S2" nur Anmeldeinformationen für die Mitglieder der Gruppe "Emp_S2" zwischengespeichert werden, die nicht der Gruppe "Admins" angehören. Die Anmeldeinformationen der Mitglieder der Gruppen "Emp_S1" und "Admins" werden nie auf dem RODC zwischengespeichert. Die Anmeldeinformationen der Mitglieder der Gruppe "Emp_S2" können auf dem RODC zwischengespeichert werden. Bobs Anmeldeinformationen werden nie auf dem RODC zwischengespeichert.
PRP-Standardeinstellungen
Jeder RODC verfügt über eine PRP, mit der definiert wird, welche Konten ihre Kennwörter auf den RODC replizieren dürfen und welchen Konten die Replikation ihrer Kennwörter auf den RODC ausdrücklich verweigert wird. Die Standardrichtlinie gibt die Gruppen und Einstellungen in der folgenden Tabelle an.
| Gruppenname | PRP-Einstellung |
|---|---|
|
Administratoren |
Verweigern |
|
Server-Operatoren |
Verweigern |
|
Sicherungs-Operatoren |
Verweigern |
|
Konten-Operatoren |
Verweigern |
|
Abgelehnte RODC-Kennwortreplikationsgruppe |
Verweigern |
|
Zulässige RODC-Kennwortreplikationsgruppe |
Zulassen |
Die abgelehnte RODC-Kennwortreplikationsgruppe umfasst standardmäßig die folgenden Domänenkontenmitglieder:
-
Zertifikatherausgeber
-
Domänen-Admins
-
Organisations-Admins
-
Unternehmensdomänencontroller
-
Domänencontroller der Organisation ohne Schreibzugriff
-
Gruppenrichtlinienersteller-Besitzer
-
krbtgt
-
Schema-Admins
Die zulässige RODC-Kennwortreplikationsgruppe enthält standardmäßig keine Mitglieder.
Mit der Standard-PRP wird die Sicherheit einer RODC-Installation erhöht, indem sichergestellt wird, dass keine Kontokennwörter standardmäßig gespeichert werden und dass sicherheitskritischen Konten (z. B. die Mitglieder der Gruppe Domänen-Admins) die Speicherung von Kennwörtern auf dem RODC ausdrücklich verweigert wird.
Ändern der Standard-PRP
Sie können die Standard-PRP während oder nach der Erstellung eines Kontos für den RODC ändern. Zum Ändern der Standard-PRP nach dem Erstellen des RODC-Kontos klicken Sie im Snap-In Active Directory-Benutzer und -Computer in der Organisationseinheit (OU) Domänencontroller mit der rechten Maustaste auf das RODC-Konto, klicken Sie auf Eigenschaften, und klicken Sie dann auf die Registerkarte Kennwortreplikationsrichtlinie. (Klicken Sie zum Öffnen des Snap-Ins Active Directory-Benutzer und -Computer auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf Active Directory-Benutzer und -Computer.)
Zum Hinzufügen von Konten zur Standard-PRP bei der Erstellung des RODC-Kontos klicken Sie auf der Assistentenseite Richtlinie für Kennwortreplikation angeben auf Hinzufügen, und geben Sie dann an, ob das Speichern von Kennwörtern für dieses Konto auf dem RODC zulässig sein oder verweigert werden soll. Wählen Sie anschließend im Dialogfeld Benutzer, Computer oder Gruppen auswählen die Konten aus, die hinzugefügt werden sollen.
Sie müssen der PRP die entsprechenden Benutzer-, Computer- und Dienstkonten hinzufügen, damit der RODC Authentifizierungs- und Dienstticketanforderungen lokal verarbeiten kann. Wenn Sie die Computerkonten, die von den Zweigstellenbenutzern zur Anmeldung im Netzwerk verwendet werden, nicht der Liste der zulässigen Objekte hinzufügen, können vom RODC keine Dienstticketanforderungen lokal verarbeitet werden, und für diese Anforderungen muss auf einen beschreibbaren Domänencontroller zugegriffen werden. Wenn das WAN (Wide Area Network) offline ist, kann dies einen Dienstausfall verursachen.
Die Einstellung Verweigern hat Vorrang vor der Einstellung Zulassen. Wenn beide Einstellungen für einen bestimmten Benutzer angegeben werden – entweder direkt oder indirekt, weil der Benutzer ein Mitglied einer angegebenen Sicherheitsgruppe ist (oder innerhalb einer angegebenen Sicherheitsgruppe geschachtelt ist) – kann das Kennwort des Benutzers nicht auf dem RODC gespeichert werden. Sie sollten jedoch beachten, dass ein Benutzer, dessen Kennwort nicht auf dem RODC gespeichert werden kann, dennoch den RODC zur Anmeldung verwenden kann, wenn die WAN-Verbindung mit einem schreibbaren Domänencontroller verfügbar ist. Das Kennwort für den Benutzer wird dann zwar nicht auf den RODC repliziert, aber die Anmeldung kann vom schreibbaren Domänencontroller über das WAN authentifiziert werden.
In der folgenden Tabelle werden die Vor- und Nachteile von drei verschiedenen Konfigurationsbeispielen für eine PRP beschrieben.
| Beispiel | Vorteile | Nachteile |
|---|---|---|
|
Es werden keine Konten zwischengespeichert (Standardeinstellung). |
Die sicherste Methode – die Benutzer werden von einem beschreibbaren Domänencontroller authentifiziert, und zur schnellen Richtlinienverarbeitung rufen sie die zugehörige Gruppenrichtlinie vom RODC ab. |
Kein Offlinezugriff für beliebige Personen – für die Anmeldung ist ein WAN erforderlich. |
|
Die meisten Konten werden zwischengespeichert. |
Einfachheit der Kennwortverwaltung – diese Option ist für Organisationen vorgesehen, denen nicht die Sicherheit, sondern die Verwaltbarkeitsoptimierungen für den RODC am wichtigsten sind. |
Potenziell werden mehr Kennwörter für einen RODC verfügbar gemacht. |
|
Wenige Konten werden zwischengespeichert. |
Ermöglicht den Offlinezugriff für die Benutzer, für die er erforderlich ist, bietet jedoch mehr Sicherheit als das Zwischenspeichern der meisten Konten. |
Für diese Methode ist eine detailliertere Verwaltung erforderlich. Möglicherweise müssen Sie den einzelnen Zweigstellen mit einem RODC Benutzer und Computer zuordnen. Sie können auch Tools wie repadmin /prp verwenden, um Konten, die für einen RODC authentifiziert sind, in eine Gruppe zu verschieben, die sich in der Liste der zulässigen Objekte befindet, oder Sie müssen möglicherweise Identity Lifecycle Manager (ILM) verwenden, um diesen Prozess zu automatisieren. |
Im folgenden Abschnitt werden die einzelnen Beispiele detailliert beschrieben.
Es werden keine Konten zwischengespeichert
Dieses Beispiel bietet die sicherste Möglichkeit. Es werden keine Kennwörter auf den RODC repliziert, mit Ausnahme des RODC-Computerkontos und dem entsprechenden speziellen krbtgt-Konto. Die Benutzer- und Computerauthentifizierung beruht jedoch auf der WAN-Verfügbarkeit. Dieses Beispiel hat den Vorteil, dass ausgehend von den Standardeinstellungen wenig oder kein zusätzlicher Verwaltungskonfigurationsaufwand erforderlich ist.
Sie können sich dafür entscheiden, der Liste der verweigerten Objekte eigene sicherheitskritische Benutzergruppen hinzuzufügen. Obwohl standardmäßig keine Konten zwischengespeichert werden, können durch das Hinzufügen Ihrer eigenen sicherheitskritischen Benutzergruppen zur Liste der verweigerten Objekte diese Gruppen davor geschützt werden, dass sie versehentlich in die Liste der zulässigen Objekte aufgenommen werden und dass dadurch anschließend die Kennwörter für diese Gruppen auf dem RODC zwischengespeichert werden.
Beachten Sie, dass das delegierte RODC-Administratorkonto nicht automatisch der Liste der zulässigen Objekte hinzugefügt wird. Es empfiehlt sich, das delegierte RODC-Administratorkonto in die Liste der zulässigen Objekte aufzunehmen, um sicherzustellen, dass sich ein delegierter Administrator immer am RODC anmelden kann – unabhängig davon, ob die WAN-Verbindung mit einem beschreibbaren Domänencontroller verfügbar ist.
Die meisten Konten werden zwischengespeichert
Dieses Beispiel stellt den einfachsten Verwaltungsmodus dar, und es eliminiert die Abhängigkeit von der WAN-Verfügbarkeit für die Benutzer- und Computerauthentifizierung. In diesem Beispiel füllen Sie die Liste der zulässigen Objekte für alle RODCs mit Gruppen auf, die einen großen Anteil des Benutzer- und Computerbestands darstellen. Mit der Liste der verweigerten Objekte wird nicht zugelassen, dass für sicherheitskritische Benutzergruppen wie Domänen-Admins Kennwörter zwischengespeichert werden. Die meisten anderen Benutzer können jedoch bei Bedarf ihre Kennwörter zwischenspeichern. Sie können sich dafür entscheiden, der Liste der verweigerten Objekte eigene sicherheitskritische Benutzergruppen hinzuzufügen.
Diese Konfiguration ist am besten für Umgebungen geeignet, in denen die physikalische Sicherheit des RODC nicht gefährdet ist. Beispielsweise können Sie die PRP auf diese Weise für einen RODC konfigurieren, den Sie vorwiegend deshalb an einem sicheren Ort bereitgestellt haben, weil Sie die Vorteile der geringfügigeren Replikations- und Verwaltungsanforderungen nutzen möchten.
 | Wichtig |
|
Sie müssen der Liste der zulässigen Objekte auch die Computerkonten der Benutzer hinzufügen, sodass sich diese Benutzer an der Zweigstelle anmelden können, wenn das WAN offline ist. |
Wenige Konten werden zwischengespeichert
In diesem Beispiel werden die Konten, die zwischengespeichert werden können, eingeschränkt. Normalerweise definieren Sie dies speziell für die einzelnen RODCs — jeder RODC kann jeweils andere Benutzer- und Computerkonten zwischenspeichern. Dieses Beispiel ist normalerweise für eine Gruppe von Benutzern vorgesehen, die an einem bestimmten physikalischen Ort arbeiten.
Der Vorteil dieses Beispiels besteht darin, dass sich eine Gruppe von Benutzern im Netzwerk anmelden und vom RODC in der Zweigstelle authentifiziert werden kann, wenn das WAN offline ist. Gleichzeitig wird das Risiko einer Kennwortpreisgabe durch die geringe Anzahl der Benutzer, deren Kennwörter zwischengespeichert werden können, beschränkt.
Im Zusammenhang mit dem Auffüllen der Liste der zulässigen Objekte und der Liste der verweigerten Objekte entsteht in diesem Beispiel ein Verwaltungsaufwand. Es steht keine automatisierte Standardmethode zum Lesen von Konten aus der bekannten Liste der Sicherheitsprinzipale, die anhand eines angegebenen RODC authentifiziert wurden, zur Verfügung, und es steht keine Standardmethode zum Auffüllen der Liste der zulässigen Objekte mit diesen Konten zur Verfügung. Mithilfe des Befehls repadmin /prp move können Sie diese Konten in eine Gruppe verschieben, die in der Liste der zulässigen Objekte enthalten ist, oder Sie können mithilfe von Skripts oder Anwendungen wie ILM einen Prozess erstellen.
Sie können Benutzer- oder Computerkonten zwar direkt in die Liste der zulässigen Objekte aufnehmen, Sie sollten jedoch stattdessen für jeden RODC eine Sicherheitsgruppe erstellen, die Sicherheitsgruppe in die Liste der zulässigen Objekte aufnehmen und der Sicherheitsgruppe anschließend Benutzer- und Computerkonten hinzufügen. Somit können Sie Standardgruppen-Verwaltungstools wie das Snap-In Active Directory-Benutzer und Computer oder die Befehlszeilentools Dsadd oder Dsmod verwenden, um die Konten zu verwalten, die auf dem RODC zwischengespeichert werden können.
Für den Befehl repadmin /prp move ist es erforderlich, dass Sie eine Sicherheitsgruppe angeben. Wenn die von Ihnen angegebene Sicherheitsgruppe nicht vorhanden ist, wird die Gruppe erstellt und der Liste der zulässigen Objekte hinzugefügt.
Wie für das vorherige Beispiel müssen Sie der Liste der zulässigen Objekte auch entsprechende Computerkonten hinzufügen.