A varázsló Jelszó-replikációs házirend megadása lapja írásvédett tartományvezérlői fiók létrehozásakor jelenik meg - de csak akkor, ha az Active Directory tartományi szolgáltatások telepítési varázslójának Az Active Directory tartományi szolgáltatások telepítése - üdvözli a varázsló lapján bejelöli a Speciális telepítési üzemmód használata jelölőnégyzetet.
Hogy működnek a jelszó-replikációs házirendek?
A jelszó-replikációs házirend (PRP) határozza meg, hogy miként gyorsítótárazzák az írásvédett tartományvezérlők a hitelesítő adatokat. A hitelesítő adatok gyorsítótárazása a felhasználó vagy számítógép hitelesítő adatainak eltárolását jelenti.
Amikor egy írásvédett tartományvezérlő által kiszolgált telephelyen felhasználók vagy számítógépek próbálják meg hitelesíteni magukat a tartományban, alapértelmezés szerint hitelesítő adataikat az írásvédett tartományvezérlő nem tudja érvényesíteni. Az írásvédett tartományvezérlő a hitelesítési kérést egy írható tartományvezérlőnek továbbítja. Ugyanakkor lehetséges, hogy rendszerbiztonsági tagok egy csoportja képes lehet a hitelesítésre egy írásvédett tartományvezérlő által kiszolgált telephelyen, még azokban az esetekben is, amikor írható tartományvezérlőkhöz nincsen kapcsolatuk.
Szükségessé válhat például egy központi telephely felhasználóinak és számítógépeinek a hitelesítése még akkor is, ha nincs kapcsolat a központi telephely és az írható tartományvezérlőkkel rendelkező telephelyek között. A probléma megoldása az írásvédett tartományvezérlő jelszó-replikációs házirendjének olyan konfigurálása lehet, amely lehetővé teszi a felhasználók számára a jelszavak gyorsítótárazását az írásvédett tartományvezérlőn. A fiókok jelszavainak a írásvédett tartományvezérlőn történt gyorsítótárazása után az írásvédett tartományvezérlő az írható tartományvezérlőkkel való kapcsolat hiányában is hitelesítheti a fiókokat.
A jelszó-replikációs házirend hozzáférés-vezérlési listaként (ACL) viselkedik. Meghatározza, hogy az írásvédett tartományvezérlőn engedélyezve legyen-e egy fiók hitelesítő adatainak gyorsítótárazása. Amikor az írásvédett tartományvezérlő felhasználói vagy számítógépes bejelentkezési kérelmet kap, megkísérli replikálni a fiókhoz tartozó hitelesítő adatokat egy Windows Server 2008 vagy Windows Server 2008 R2 rendszert használó írható tartományvezérlőről. Az írható tartományvezérlő a jelszó-replikációs házirend alapján határozza meg, hogy gyorsítótárazhatók-e a fiókhoz tartozó hitelesítő adatok. Ha a jelszó-replikációs házirend engedélyezi a fiók gyorsítótárazását, az írható tartományvezérlő replikálja a fiókhoz tartozó hitelesítő adatokat az írásvédett tartományvezérlőre, amely azután gyorsítótárazza a hitelesítő adatokat. A fiókba történő további bejelentkezések alkalmával az írásvédett tartományvezérlő a gyorsítótárazott hitelesítő adatok alapján tudja hitelesíteni a fiókot. Az írásvédett tartományvezérlőnek nem kell kapcsolatba lépnie az írható tartományvezérlővel.
A jelszó-replikációs házirend működése
A jelszó-replikációs házirendet két többértékű Active Directory-attribútum határozza meg, amelyek rendszerbiztonsági tagokat (felhasználókat, számítógépeket és csoportokat) tartalmaznak. Minden írásvédett tartományvezérlői számítógépfiók rendelkezik az alábbi két attribútummal:
-
msDS-Reveal-OnDemandGroup, más néven engedélyezési lista
-
msDS-NeverRevealGroup, más néven elutasítottak listája
A jelszó-replikációs házirenddel kapcsolatos, annak kezelését megkönnyítő, az egyes írásvédett tartományvezérlők számára fenntartott két további attribútum:
-
msDS-RevealedUsers, más néven megjelenítettek listája
-
msDS-AuthenticatedToAccountList, más néven hitelesítettek listája
Az msDS-Reveal-OnDemandGroup attribútum határozza meg, mely rendszerbiztonsági tagok jelszava gyorsítótárazható írásvédett tartományvezérlőn. Alapértelmezés szerint ennek az attribútumnak egy értéke van, amely az Engedélyezett írásvédett tartományvezérlői jelszó-replikációs csoport. Mivel alapértelmezés szerint ennek a tartományon belüli csoportnak nincsenek tagjai, alapértelmezés szerint egyetlen fiókjelszó sem gyorsítótárazható egyetlen írásvédett tartományvezérlőn sem.
Ez a szakasz az engedélyezési listának, az elutasítottak listájának, a megjelenítési listának és a hitelesítettek listájának a használatát ismerteti.
Amikor egy írásvédett tartományvezérlő egy felhasználó jelszavának replikálását kéri egy adott írható Windows Server 2008 rendszerű tartományvezérlőtől, az írható tartományvezérlő engedélyezi, vagy elutasítja azt. A kérelem engedélyezése vagy elutasítása előtt az írható tartományvezérlő megvizsgálja a kérelmet benyújtó írásvédett tartományvezérlőre vonatkozó engedélyezési lista, illetve az elutasítottak listája értékeit.
Amennyiben a fiók, amelynek jelszavát az írásvédett tartományvezérlő kéri, az engedélyezési listán szerepel (és nem az elutasítottak listáján), az írásvédett tartományvezérlő engedélyezi a kérelmet.
A műveletsort az alábbi ábra szemlélteti.
Az elutasítottak listája elsőbbséget élvez az engedélyezési listával szemben.
Például vegyünk egy szervezetet, amely rendelkezik egy Rendszergazdák nevű biztonsági csoporttal. A szervezet továbbá rendelkezik egy T1 nevű telephellyel, valamint a telephelyen található alkalmazottakat tartalmazó Alk_T1 biztonsági csoporttal. A szervezet másik telephelye a T2, az ezen a helyen található alkalmazottakat pedig az Alk_T2 biztonsági csoport tartalmazza.
A T2 telephely csak egy írásvédett tartományvezérlővel rendelkezik. Éva egy, a T2 telephelyen dolgozó rendszergazda, így az Alk_T2 és a Rendszergazdák csoportnak is tagja. A T2 telephely írásvédett tartományvezérlőjének telepítésekor az alábbi táblázatban felsorolt biztonsági csoportokat a rendszer hozzáadja a jelszó-replikációs házirendhez.
| Biztonsági csoport | A jelszó-replikációs házirend beállításai |
|---|---|
|
Rendszergazdák |
Megtagadva |
|
Alk_T2 |
Engedélyezve |
A megadott házirend szerint a T2 telephely írásvédett tartományvezérlőjén csak az Alk_T2 csoport azon tagjainak hitelesítő adatai gyorsítótárazhatók, akik nem tagjai a Rendszergazdák csoportnak. Az Alk_T1 és a Rendszergazdák csoport tagjainak hitelesítő adatait az írásvédett tartományvezérlő soha nem gyorsítótárazza. Az Alk_T2 csoport tagjainak hitelesítő adatai gyorsítótárazhatók az írásvédett tartományvezérlőn. Éva hitelesítő adatai soha nem lesznek gyorsítótárazva.
Az alapértelmezett jelszó-replikációs házirend beállításai
Mindegyik írásvédett tartományvezérlő rendelkezik jelszó-replikációs házirenddel, amely megadja, hogy mely fiókok jelszavai replikálhatók az írásvédett tartományvezérlőre, és mely fiókok jelszavainak a replikálása kifejezetten tiltott. Az alapértelmezett házirend által meghatározott csoportokat és beállításokat az alábbi táblázat tartalmazza.
| Csoport neve | A jelszó-replikációs házirend beállításai |
|---|---|
|
Rendszergazdák |
Megtagadás |
|
Kiszolgálófelelősök |
Megtagadás |
|
Biztonságimásolat-felelősök |
Megtagadás |
|
Fiókfelelősök |
Megtagadás |
|
Az írásvédett tartományvezérlőivel való jelszó-replikációra fel nem hatalmazottak csoportja |
Megtagadás |
|
Az írásvédett tartományvezérlőivel való jelszó-replikációra felhatalmazottak csoportja |
Engedélyezés |
Az írásvédett tartományvezérlőivel való jelszó-replikációra fel nem hatalmazottak csoportja alapértelmezés szerint az alábbi tartományi fióktagokat tartalmazza:
-
Tanúsítványközzétevők
-
Tartománygazdák
-
Vállalati rendszergazdák
-
Vállalati tartományvezérlők
-
Írásvédett vállalati tartományvezérlők
-
Csoportházirend-létrehozó tulajdonosok
-
krbtgt
-
Sémafelelősök
Az írásvédett tartományvezérlőivel való jelszó-replikációra felhatalmazottak csoportja alapértelmezés szerint nem tartalmaz tagokat.
Az alapértelmezett jelszó-replikációs házirend biztonságosabbá teszi az írásvédett tartományvezérlő-példányt, mivel alapértelmezés szerint a fiókok jelszavai nincsenek tárolva, a biztonsági szempontból kényes fiókok (például a Tartományi rendszergazdák csoport tagjai) jelszavainak tárolása pedig kifejezetten tiltott az írásvédett tartományvezérlőn.
Az alapértelmezett jelszó-replikációs házirend módosítása
Az írásvédett tartományvezérlő fiókjának létrehozásakor, illetve azt követően módosíthatja az alapértelmezett jelszó-replikációs házirendet. Az alapértelmezett jelszó-replikációs házirendnek az írásvédett tartományvezérlői fiók létrehozását követő módosításához az Active Directory - felhasználók és számítógépek beépülő modulban kattintson a jobb gombbal a Tartományvezérlők szervezeti egységben az írásvédett tartományvezérlő adott fiókjára, és válassza a Tulajdonságok parancsot, majd a Jelszó-replikációs házirend lapot. (Az Active Directory - felhasználók és számítógépek beépülő modul megnyitásához kattintson a Start gombra, mutasson a Felügyeleti eszközök pontra, majd kattintson az Active Directory - felhasználók és számítógépek parancsra.)
Amennyiben fiókokat szeretne hozzáadni az alapértelmezett jelszó-replikációs házirendhez az írásvédett tartományvezérlői fiók létrehozásakor, a varázsló Jelszó-replikációs házirend megadása lapján kattintson a Hozzáadás gombra, majd adja meg, hogy engedélyezi vagy letiltja-e a fiók jelszavainak tárolását az írásvédett tartományvezérlőn. Ezt követően a Felhasználók, számítógépek vagy csoportok kiválasztása párbeszédpanelen jelölje ki a hozzáadni kívánt fiókokat.
A jelszó-replikációs házirendbe fel kell vennie a megfelelő felhasználói, számítógép- és szolgáltatásfiókokat, hogy az írásvédett tartományvezérlő képes legyen a hitelesítési és szolgáltatásjegy-kérések helyi teljesítésére. Amennyiben nem veszi fel a telephelyi felhasználók által a hálózatba való bejelentkezéshez használt számítógépfiókokat az engedélyezési listára, az írásvédett tartományvezérlő nem fogja tudni teljesíteni a helyi szolgáltatásjegy-kéréseket, hanem az írható tartományvezérlőhöz történő hozzáférésre fog támaszkodni a kérések teljesítése érdekében. Ha a nagytávolságú hálózat (WAN) offline állapotú, akkor ez szolgáltatáskieséshez vezethet.
A Megtagadás beállítás elsőbbséget élvez az Engedélyezés beállítással szemben. Ha egy adott felhasználóhoz mindkét beállítás akár közvetlenül, akár közvetve meg van adva (mint egy adott biztonsági csoport tagjának vagy egy adott biztonsági csoportba ágyazott tagnak), a felhasználó jelszava nem tárolható az írásvédett tartományvezérlőn. Fontos azonban megjegyezni, hogy azok a felhasználók is használhatják bejelentkezésre az írásvédett tartományvezérlőt, akiknek jelszava nem tárolható az írásvédett tartományvezérlőn, feltéve hogy rendelkezésre áll nagytávolságú hálózati kapcsolat valamely írható tartományvezérlővel. A felhasználó jelszava nem replikálódik az írásvédett tartományvezérlőre, azonban az írható tartományvezérlő a nagytávolságú hálózaton keresztül hitelesítheti a bejelentkezést.
Az alábbi táblázat három példa segítségével foglalja össze a jelszó-replikációs házirend egyes konfigurációinak előnyeit és hátrányait:
| Példa | Előnyök | Hátrányok |
|---|---|---|
|
Nincsenek gyorsítótárazott fiókok (alapértelmezés) |
Ez a legbiztonságosabb beállítás, mivel a felhasználókat írható tartományvezérlő hitelesíti, csoportházirendjüket és a gyors házirend-feldolgozást pedig az írásvédett tartományvezérlő biztosítja. |
Nincs offline elérhetőség, a bejelentkezéshez nagytávolságú hálózat szükséges. |
|
A legtöbb fiók gyorsítótárazott |
Könnyű jelszókezelés; azoknak a szervezeteknek előnyös, akik számára az írásvédett tartományvezérlő jobb kezelhetősége fontosabb, mint a biztonság. |
Az írásvédett tartományvezérlőnek feltehetően több jelszót kell kezelnie. |
|
Kevés fiók gyorsítótárazott |
Az offline elérhetőség lehetősége az erre igényt tartó felhasználók számára, ugyanakkor nagyobb biztonság, mint a legtöbb fiók gyorsítótárazása esetén. |
Részletekbe menő felügyeleti tevékenységet igényel. A felhasználókat és számítógépeket az írásvédett tartományvezérlőkkel rendelkező egyes telephelyek szerint kell valószínűleg leképeznie. Szükség lehet bizonyos eszközökre, például a repadmin /prp eszközre az írásvédett tartományvezérlőn hitelesített fiókoknak az engedélyezési lista egy-egy csoportjába való áthelyezéséhez, vagy az Identity Lifecycle Manager (ILM) alkalmazásra a folyamat automatizálásához. |
A következő szakaszok részletesebben ismertetik az egyes példákat.
Nincsenek gyorsítótárazott fiókok
Ez a példa a legbiztonságosabb beállítást mutatja be. Nincsenek az írásvédett tartományvezérlőre replikált jelszavak, kivéve az írásvédett tartományvezérlő számítógépfiókját és annak különleges krbgt fiókját. A felhasználók és számítógépek hitelesítése azonban a nagytávolságú hálózat elérhetőségén múlik. A példában bemutatott konfiguráció előnye, hogy az alapértelmezéshez képest csak nagyon kevés vagy akár semmilyen további felügyeleti beállítást nem igényel.
Az elutasítottak listájához hozzáadhatja saját, biztonsági szempontból kényes felhasználói csoportjait. Bár alapértelmezés szerint nincsenek gyorsítótárazott fiókok, a biztonsági szempontból kényes saját felhasználói csoportjainak az elutasítottak listájához történő hozzáadásával megvédheti ezeket a felhasználói csoportokat attól, hogy tévedésből felkerüljenek az engedélyezési listára, és ennek következtében jelszavaik az írásvédett tartományvezérlő gyorsítótárába kerüljenek.
Megjegyzés: az írásvédett tartományvezérlő delegált rendszergazdai fiókja nincs automatikusan hozzáadva az engedélyezési listához. Legjobb megoldásként érdemes az írásvédett tartományvezérlő delegált rendszergazdai fiókját hozzáadni az engedélyezési listához, így biztosítva, hogy a delegált rendszergazda mindig be tudjon jelentkezni az írásvédett tartományvezérlőre, függetlenül attól, hogy az írható tartományvezérlő nagytávolságú hálózati kapcsolata elérhető-e vagy sem.
A legtöbb fiók gyorsítótárazott
Ez a példa a legegyszerűbb felügyeleti módot mutatja be, amely megszünteti a felhasználó- és a számítógép-hitelesítés függőségét a nagytávolságú hálózat elérhetőségétől. Ebben a példában az összes írásvédett tartományvezérlőre feltölti az engedélyezési listát a felhasználók és a számítógépes közösség jelentős részét képviselő csoportokkal. Az elutasítottak listája nem engedélyezi a biztonság szempontjából kényes felhasználói csoportok, például a Tartománygazdák csoport számára a jelszavak gyorsítótárazását. A legtöbb felhasználó jelszava azonban igény szerint gyorsítótárazható. Az elutasítottak listájához hozzáadhatja saját, biztonsági szempontból kényes felhasználói csoportjait.
Ez a legmegfelelőbb konfiguráció olyan környezetekben, ahol az írásvédett tartományvezérlő fizikai biztonsága nincs kockázatnak kitéve. A jelszó-replikációs házirendet például konfigurálhatja ezen a módon egy biztonságos helyen telepített írásvédett tartományvezérlőre, hogy így kihasználhassa a csökkentett replikációs és felügyeleti követelményekből származó előnyöket.
 | Fontos! |
|
A felhasználók számítógépfiókjait szintén hozzá kell adnia az engedélyezési listához, hogy a felhasználók akkor is be tudjanak jelentkezni a központi telephelyen, amikor a nagytávolságú hálózat offline üzemmódban van. |
Kevés fiók gyorsítótárazott
Ez a példa a gyorsítótárazható fiókok számának korlátozását mutatja be. A rendszergazdák minden egyes írásvédett tartományvezérlő gyorsítótárazásáról általában másként döntenek, mivel az adott tartományvezérlőkön más-más felhasználói és számítógépfiókok gyorsítótárazása engedélyezett. A döntés általában az adott fizikai helyen dolgozó felhasználók körétől függ.
Ennek a megoldásnak előnye, hogy a központi telephely felhasználóinak csoportjai bejelentkezhetnek a hálózatra és szerezhetnek hitelesítést az írásvédett tartományvezérlőhöz, miközben a nagytávolságú hálózat offline üzemmódban van. Ugyanakkor a gyorsítótárazható jelszóval rendelkező felhasználók számának csökkenésével a veszélyeztetett jelszavak köre is csökken.
Az engedélyezési lista és az elutasítottak listájának összeállítása többletmunkát jelent a rendszergazdának. Nincs bevett, automatikus módszer a fiókok egy adott írásvédett tartományvezérlőhöz hitelesítést szerzett rendszerbiztonsági tagjainak ismert listájából történő beolvasására, mint ahogy az engedélyezési listának az ilyen fiókokkal való feltöltésére sincs. Alkalmazhatja a repadmin /prp move parancsot ezeknek a fiókoknak az engedélyezési lista valamelyik csoportjába történő áthelyezéséhez, illetve parancsfájlokat vagy alkalmazásokat (például az Identity Lifecycle Manager szolgáltatást) is használhatja a folyamat végrehajtására.
Bár felhasználói- és számítógépfiókokat közvetlenül is hozzáadhat az engedélyezési listához, érdemesebb minden egyes írásvédett tartományvezérlő számára egy biztonsági csoportot létrehoznia, majd ezt az engedélyezési listához adnia, és utoljára a felhasználói- és a számítógépfiókokat a biztonsági csoporthoz hozzáadnia. Ezen a módon a csoportok kezelésére szolgáló szokványos eszközök, például az Active Directory - felhasználók és számítógépek beépített modul, vagy a Dsadd, illetve a Dsmod parancssori eszköz használatával is megadhatja, mely fiókok gyorsítótárazhatók az írásvédett tartományvezérlőn.
A repadmin /prp move parancs használatakor a biztonsági csoportot is meg kell adnia. Ha a megadott biztonsági csoport nem létezik, a program létrehoz egyet és azt adja az engedélyezési listához.
Akárcsak az előző példa esetén, most is hozzá kell adnia az engedélyezési listához a megfelelő számítógépfiókokat.