Memorizzazione delle credenziali nella cache

Per memorizzazione delle credenziali nella cache si intende l'archiviazione delle credenziali di utenti o computer. Per impostazione predefinita, un controller di dominio di sola lettura non archivia le credenziali utente o le credenziali computer, ad eccezione del proprio account computer e di uno speciale account krbtgt per il controller di dominio stesso. La memorizzazione di altre credenziali nella cache del controller di dominio di sola lettura deve essere autorizzata esplicitamente.

Criteri di replica delle password

Quando viene distribuito inizialmente un controller di dominio di sola lettura, è necessario configurare Criteri replica password nel controller di dominio scrivibile che costituirà il partner di replica. Criteri di replica password funge da elenco di controllo di accesso (ACL) e determina se consentire al controller di dominio di sola lettura di memorizzare nella cache le credenziali per un account. Quando il controller di dominio di sola lettura riceve una richiesta di accesso da parte di un utente o di un computer, tenta di replicare le credenziali per l'account da un controller di dominio Windows Server 2008 o Windows Server 2008 R2 scrivibile. Il controller di dominio scrivibile fa riferimento a Criteri di replica password per determinare se le credenziali per l'account devono essere memorizzate nella cache. Se Criteri di replica password consente la memorizzazione nella cache dell'account, il controller di dominio Windows Server 2008 scrivibile replica le credenziali per l'account nel controller di dominio di sola lettura e questo le memorizza nella cache. Per gli accessi successivi di tale account, il controller di dominio di sola lettura può autenticare l'account facendo riferimento alle credenziali memorizzate nella cache senza dover contattare il controller di dominio scrivibile.

Elenchi degli oggetti autorizzati e non autorizzati di Criteri di replica password

Nei domini Active Directory di Windows Server 2008 e Windows Server 2008 R2 sono disponibili due nuovi gruppi predefiniti per supportare le operazioni dei controller di dominio di sola lettura, ovvero Gruppo oggetti autorizzati alla replica delle password nei controller di dominio di sola lettura del dominio e Gruppo oggetti non autorizzati alla replica delle password nei controller di dominio di sola lettura del dominio. Questi gruppi consentono di implementare un elenco predefinito di oggetti autorizzati e un elenco predefinito di oggetti non autorizzati per i criteri di replica delle password per il controller di dominio di sola lettura.

Per impostazione predefinita, il Gruppo oggetti non autorizzati alla replica delle password nei controller di dominio di sola lettura include i membri seguenti:

  • Controller di dominio organizzazione

  • Controller di dominio di sola lettura organizzazione

  • Proprietari autori criteri di gruppo

  • Domain Admins

  • Cert Publishers

  • Enterprise Admins

  • Schema Admins

  • Account krbtgt esteso a tutto il dominio

Per impostazione predefinita, l'attributo dell'elenco degli oggetti non autorizzati contiene le entità di sicurezza seguenti che rappresentano tutte gruppi predefiniti.

  • Gruppo oggetti non autorizzati alla replica delle password nei controller di dominio di sola lettura

  • Account Operators

  • Server Operators

  • Backup Operators

  • Administrators

Cancellare password memorizzate nella cache

Non è disponibile alcun meccanismo per cancellare la password memorizzata nella cache per un utente specifico o un controller di dominio di sola lettura. Se si desidera cancellare una password archiviata in un controller di dominio di sola lettura, è necessario che la password venga reimpostata da un amministratore nel sito hub. In questo modo, la password memorizzata nella cache nella succursale non sarà più valida per l'accesso alle risorse nel sito hub o in altre succursali. In caso di violazione di un controller di dominio di sola lettura, reimpostare le password memorizzate nella cache e quindi ricreare il controller di dominio.

Ulteriori riferimenti


Argomenti della Guida