La pagina della procedura guidata Impostazione criteri di replica password viene visualizzata durante la creazione di un account per un controller di dominio di sola lettura solo se si seleziona la casella di controllo Utilizza installazione in modalità avanzata nella pagina Installazione guidata Servizi di domino Active Directory.
Come funziona Criteri di replica password
Criteri di replica password determina il modo in cui un controller di dominio di sola lettura memorizza le credenziali nella cache. Per memorizzazione delle credenziali nella cache si intende l'archiviazione delle credenziali di utenti o computer.
Quando gli utenti o i computer di un sito servito da un controller di dominio di sola lettura tentano di autenticare il dominio, per impostazione predefinita il controller di dominio di sola lettura non può convalidare le relative credenziali. Il controller di dominio di sola lettura inoltra quindi la richiesta di autenticazione a un controller di dominio scrivibile. Potrebbe esserci tuttavia un insieme di entità di sicurezza che necessitano dell'autenticazione in un sito servito da un controller di dominio di sola lettura, anche nel caso in cui non è disponibile la connettività a controller di dominio scrivibili.
Potrebbe ad esempio essere necessario autenticare un gruppo di utenti e computer in una succursale, anche nel caso in cui non è disponibile la connettività tra la succursale e i siti contenenti i controller di dominio scrivibili. Per risolvere questo problema, è possibile configurare Criteri di replica password per tale controller di dominio di sola lettura in modo da consentire la memorizzazione nella cache del controller di dominio di sola lettura delle password di tali utenti. Se le password degli account sono memorizzate nella cache del controller di dominio di sola lettura, il controller può autenticare tali account quando non è disponibile la connettività a controller di dominio scrivibili.
Criteri di replica password funge da elenco di controllo di accesso (ACL) e determina se consentire al controller di dominio di sola lettura di memorizzare nella cache le credenziali per un account. Quando il controller di dominio di sola lettura riceve una richiesta di accesso da parte di un utente o di un computer, tenta di replicare le credenziali per l'account da un controller di dominio scrivibile che esegue Windows Server 2008 o Windows Server 2008 R2. Il controller di dominio scrivibile fa riferimento a Criteri di replica password per determinare se le credenziali per l'account devono essere memorizzate nella cache. Se Criteri di replica password consente la memorizzazione nella cache dell'account, il controller di dominio scrivibile replica le credenziali per l'account nel controller di dominio di sola lettura e questo le memorizza nella cache. Per gli accessi successivi di tale account, il controller di dominio di sola lettura può autenticare l'account facendo riferimento alle credenziali memorizzate nella cache senza dover contattare il controller di dominio scrivibile.
Funzionamento di Criteri di replica password
Criteri di replica password è definito da due attributi multivalore di Active Directory che contengono entità di sicurezza (utenti, computer e gruppi). Ogni account computer del controller di dominio di sola lettura dispone di questi due attributi:
-
msDS-Reveal-OnDemandGroup, noto anche come elenco oggetti autorizzati
-
msDS-NeverRevealGroup, noto anche come elenco oggetti non autorizzati
Per semplificare la gestione di Criteri di replica password, per ogni controller di dominio di sola lettura sono presenti altri due attributi correlati a Criteri di replica password.
-
msDS-RevealedList, noto anche come elenco oggetti consentiti
-
msDS-AuthenticatedToAccountList, noto anche come elenco Auth2
L'attributo msDS-Reveal-OnDemandGroup specifica le entità di protezione le cui password possono essere memorizzate nella cache in un controller di dominio di sola lettura. Per impostazione predefinita, questo attributo ha un valore, ovvero Ogg. autorizzati a replica passw. in controller sola lettura. Poiché, per impostazione predefinita, questo gruppo locale di dominio non ha membri, per impostazione predefinita non è possibile memorizzare le password degli account nei controller di dominio di sola lettura.
In questa sezione viene illustrato l'utilizzo degli attributi elenco oggetti autorizzati, elenco oggetti non autorizzati, elenco oggetti consentiti ed elenco Auth2.
Quando un controller di dominio di sola lettura effettua una richiesta per replicare la password di un utente, il controller di dominio scrivibile di Windows Server 2008 contattato dal controller consente o rifiuta la richiesta. Per consentire o rifiutare la richiesta il controller di dominio scrivibile esamina i valori dell'elenco oggetti autorizzati e dell'elenco oggetti non autorizzati per il controller di dominio di sola lettura che presenta la richiesta.
Se l'account la cui password viene richiesta si trova nell'elenco oggetti autorizzati, anziché nell'elenco oggetti non autorizzati, la richiesta viene concessa.
Nell'illustrazione seguente viene indicato il procedimento di questa operazione.
L'elenco oggetti non autorizzati ha la precedenza sull'elenco oggetti autorizzati.
Si supponga, ad esempio, che un'organizzazione disponga di un gruppo di sicurezza per amministratori denominato Admins. L'organizzazione dispone di un sito denominato S1 e di un gruppo di sicurezza denominato Emp_S1 contenente i dipendenti del sito. Dispone inoltre di un altro sito denominato S2 e di un gruppo di sicurezza denominato Emp_S2 contenente i dipendenti del sito.
Il sito S2 contiene solo un controller di dominio di sola lettura. Giorgio è un amministratore che lavora nel sito S2. Egli, pertanto, appartiene sia al gruppo Emp_S2 che al gruppo Admins. Quando il controller di dominio di sola lettura del sito S2 è installato, i gruppi di sicurezza elencati nella tabella seguente vengono aggiunti a Criteri di replica password.
| Gruppo di sicurezza | Impostazione Criteri di replica password |
|---|---|
|
Admins |
Negata |
|
Emp_S2 |
Consentita |
Secondo il criterio specificato le credenziali che possono memorizzate nella cache del controller di dominio di sola lettura del sito S2 sono solo le credenziali dei membri del gruppo Emp_S2 che non appartengono ad Admins. I membri dei gruppi Emp_S1 e Admins non avranno mai le proprie credenziali memorizzate nella cache del controller di dominio di sola lettura. I membri del gruppo Emp_S2 possono avere le proprie credenziali memorizzate nella cache. Le credenziali di Giorgio non verranno mai memorizzate nella cache del controller di dominio di sola lettura.
Impostazioni predefinite di Criteri di replica password
Ogni controller di dominio di sola lettura dispone di un oggetto Criteri di replica password che definisce gli account per cui è consentita la replica delle password nel controller di dominio di sola lettura e gli account per cui la replica della password in tale controller è negata esplicitamente. Il criterio predefinito specifica i gruppi e le impostazioni della tabella seguente.
| Nome del gruppo | Impostazione Criteri di replica password |
|---|---|
|
Administrators |
Nega |
|
Server Operators |
Nega |
|
Backup Operators |
Nega |
|
Account Operators |
Nega |
|
Gruppo oggetti non autorizzati alla replica delle password nei controller di dominio di sola lettura |
Nega |
|
Gruppo oggetti autorizzati alla replica delle password nei controller di dominio di sola lettura |
Consenti |
Per impostazione predefinita il Gruppo oggetti non autorizzati alla replica delle password nei controller di dominio di sola lettura contiene i membri dell'account di dominio seguenti:
-
Cert Publishers
-
Domain Admins
-
Enterprise Admins
-
Controller di dominio organizzazione
-
Controller di dominio di sola lettura organizzazione
-
Proprietari autori criteri di gruppo
-
krbtgt
-
Schema Admins
Per impostazione predefinita il Gruppo oggetti autorizzati alla replica delle password nei controller di dominio di sola lettura non contiene membri.
L'impostazione predefinita di Criteri di replica password consente di migliorare la sicurezza di un'installazione di un controller di dominio di sola lettura garantendo che nessuna password dell'account venga memorizzata per impostazione predefinita e che agli account con esigenze particolari a livello di sicurezza, ad esempio i membri del gruppo Domain Admins, venga negata esplicitamente l'archiviazione della propria password nel controller di dominio di sola lettura.
Modificare l'impostazione predefinita di Criteri di replica password
È possibile modificare l'impostazione predefinita di Criteri di replica password durante o dopo la creazione di un account per il controller di dominio di sola lettura. Per modificare l'impostazione predefinita di Criteri di replica password dopo la creazione dell'account per il controller di dominio di sola lettura, fare clic con il pulsante destro del mouse sull'account nell'unità organizzativa Controller di dominio dello snap-in Utenti e computer di Active Directory, scegliere Proprietà quindi fare clic sulla scheda Criteri replica password. Per aprire Utenti e computer di Active Directory, fare clic sul pulsante Start, scegliere Strumenti di amministrazione e quindi Utenti e computer di Active Directory.
Per aggiungere account all'impostazione predefinita di Criteri di replica password durante la creazione dell'account per il controller di dominio di sola lettura, fare clic su Aggiungi nella pagina della procedura guidata Impostazione criteri di replica password e quindi specificare se consentire o negare l'archiviazione delle password nel controller di dominio di sola lettura. Utilizzare quindi la finestra di dialogo di selezione di utenti, computer o gruppi per selezionare gli account da aggiungere.
E' necessario includere gli account utente, computer e del servizio appropriati in Criteri di replica password per consentire al controller di dominio di sola lettura di soddisfare localmente le richieste di autenticazione di ticket di servizio. Se non si includono nell'elenco oggetti autorizzati gli account computer che gli utenti delle succursali utilizzeranno per accedere alla rete, il controller di dominio di sola lettura non sarà in grado di soddisfare localmente le richieste di ticket di servizio e ricorrerà quindi all'accesso a un controller di dominio scrivibile per soddisfare tali richieste. Se la rete WAN (Wide Area Network) non è online potrebbe verificarsi un'interruzione del servizio.
L'impostazione Nega ha la precedenza sull'impostazione Consenti. Se entrambe le impostazioni vengono specificate per un determinato utente, direttamente o indirettamente in quanto l'utente è membro di un gruppo di sicurezza specifico (o nidificato con un gruppo di sicurezza specifico), non è possibile memorizzare la password dell'utente nel controller di dominio di sola lettura. È importante notare, tuttavia, che un utente la cui password non può essere memorizzata nel controller di dominio di sola lettura può ancora utilizzare tale controller per l'accesso se la connessione WAN a un controller di dominio scrivibile è disponibile. La password per l'utente non è replicata nel controller di dominio di sola lettura, ma è possibile autenticare l'accesso tramite il controller di dominio scrivibile nella rete WAN.
Nella tabella seguente vengono descritti i vantaggi e gli svantaggi dei tre esempi di configurazione per Criteri di replica password.
| Esempio | Vantaggi | Svantaggi |
|---|---|---|
|
Nessun account memorizzato nella cache (predefinito). |
Maggior livello di sicurezza in quanto gli utenti vengono autenticati da un controller di dominio scrivibile e ottengono i relativi Criteri di gruppo dal controller di dominio di sola lettura, per consentire una rapida elaborazione dei criteri. |
Nessun accesso offline consentito. Per l'accesso è necessaria una rete WAN. |
|
Memorizzazione nella cache della maggior parte degli account. |
Semplicità di gestione delle password. Questa opzione è rivolta alle organizzazioni per le quali la maggior semplicità di gestione offerta dal controller di dominio di sola lettura è più importante della sicurezza. |
Esposizione potenziale di un numero maggiore di password a un controller di dominio di sola lettura. |
|
Memorizzazione nella cache di pochi account. |
Possibilità di accesso offline per gli utenti che lo necessitano, ma maggiore sicurezza rispetto alla memorizzazione nella cache della maggior parte degli account. |
Necessità di un'amministrazione più dettagliata. Potrebbe essere necessario eseguire il mapping di utenti e computer a ogni succursale che dispone di un controller di dominio di sola lettura. Potrebbe inoltre essere necessario utilizzare strumenti, ad esempio repadmin /prp, per spostare gli account autenticati in un controller di dominio di sola lettura in un gruppo nell'elenco oggetti autorizzati oppure potrebbe essere necessario utilizzare Identity Lifecycle Manager per automatizzare il processo. |
Nella sezione seguente viene spiegato nel dettaglio ogni esempio.
Nessun account memorizzato nella cache
In questo esempio viene descritta la configurazione più sicura. Non viene eseguita la replica di alcuna password nel controller di dominio di sola lettura, ad eccezione dell'account computer del controller di dominio di sola lettura e del relativo account krbtgt speciale. L'autenticazione di utenti e computer, tuttavia, si basa sulla disponibilità della connessione WAN. Il vantaggio di questo esempio consiste nel fatto che sono richieste poche configurazioni amministrative aggiuntive, o nessuna, rispetto alle impostazioni predefinite.
Si potrebbe scegliere di aggiungere gruppi personalizzati per gli utenti con esigenze particolari a livello di sicurezza nell'elenco oggetti non autorizzati. Sebbene per impostazione predefinita non vengano memorizzati account nella cache, l'aggiunta di gruppi personalizzati per gli utenti con esigenze particolari a livello di sicurezza nell'elenco oggetti non autorizzati può garantire la protezione di questi gruppi dall'inclusione accidentale nell'elenco oggetti autorizzati, con la conseguente memorizzazione delle relative password nella cache del controller di dominio di sola lettura.
Si noti che l'account dell'amministratore delegato del controller di dominio non viene aggiunto automaticamente all'elenco oggetti autorizzati. È consigliabile aggiungerlo a tale elenco per garantire che un amministratore delegato possa sempre accedere al controller di dominio di sola lettura, indipendentemente dalla disponibilità di una connessione WAN a un controller di dominio scrivibile.
Memorizzazione nella cache della maggior parte degli account
Questo esempio rappresenta la modalità amministrativa più semplice e consente di eliminare la dipendenza dalla disponibilità della connessione WAN per l'autenticazione di utenti e computer. In questo esempio l'elenco oggetti autorizzati viene popolato per tutti i controller di dominio di sola lettura con gruppi che rappresentano una parte significativa della popolazione di utenti e computer. L'elenco oggetti non autorizzati non consente la memorizzazione nella cache delle password per gruppi di utenti con esigenze particolari a livello di sicurezza, ad esempio il gruppo Domain Admins. Per la maggior parte degli altri utenti è tuttavia consentita la memorizzazione della propria password nella cache su richiesta. Si potrebbe scegliere di aggiungere gruppi personalizzati per gli utenti con esigenze particolari a livello di sicurezza nell'elenco oggetti non autorizzati.
Questa configurazione è la più appropriata in ambienti in cui la sicurezza fisica del controller di dominio di sola lettura non rappresenta un rischio. È ad esempio possibile configurare Criteri di replica password in questo modo per un controller di dominio di sola lettura distribuito in una posizione sicura, allo scopo di sfruttare i vantaggi offerti dai requisiti inferiori in termini di replica e amministrazione.
 | Importante |
|
È inoltre necessario aggiungere gli account computer degli utenti all'elenco oggetti autorizzati in modo che tali utenti possano accedere dalla succursale quando la rete WAN è offline. |
Memorizzazione nella cache di pochi account
In questo esempio viene limitato il numero di account che possono essere memorizzati nella cache. In genere, questa impostazione viene definita in modo distinto per ogni controller di dominio di sola lettura, in quanto ogni controller dispone di un insieme di account utente e computer diverso autorizzato alla memorizzazione nella cache. Questo esempio viene in genere utilizzato per un insieme di utenti che lavorano in una determinata posizione fisica.
Il vantaggio di questo esempio consiste nel fatto che un insieme di utenti può accedere alla rete ed essere autenticato dal controller di dominio di sola lettura nella succursale se la rete WAN è offline. L'ambito di esposizione delle password, contemporaneamente, viene limitato dal numero ridotto di utenti le cui password possono essere memorizzate nella cache.
Il popolamento dell'elenco oggetti autorizzati e dell'elenco oggetti non autorizzati in questo esempio comporta un carico amministrativo. Non è disponibile un metodo automatico predefinito per la lettura degli account dall'elenco noto di entità di sicurezza autenticate in un controller di dominio di sola lettura specifico e non è disponibile un metodo predefinito per il popolamento dell'elenco oggetti autorizzati con tali account. È possibile utilizzare il comando repadmin /prp move per spostare questi account in un gruppo nell'elenco oggetti autorizzati oppure è possibile utilizzare script o applicazioni come Identity Lifecycle Manager per creare un processo.
Sebbene sia possibile aggiungere account utente o computer direttamente all'elenco oggetti autorizzati, è comunque consigliabile creare un gruppo di sicurezza per ogni controller di dominio di sola lettura, aggiungerlo all'elenco oggetti autorizzati e quindi aggiungere gli account utente e computer al gruppo di sicurezza. In questo modo, è possibile utilizzare strumenti di gestione dei gruppi standard, ad esempio lo snap-in Utenti e computer di Active Directory, oppure gli strumenti da riga di comando Dsadd o Dsmod per gestire gli account che possono essere memorizzati nella cache del controller di dominio di sola lettura.
Il comando repadmin /prp move richiede che venga specificato un gruppo di sicurezza. Se il gruppo di sicurezza specificato non esiste, viene creato e aggiunto all'elenco oggetti autorizzati.
Come nel caso dell'esempio precedente, è anche necessario aggiungere all'elenco oggetti autorizzati gli account computer appropriati.