資格情報のキャッシュ

資格情報のキャッシュとは、ユーザーまたはコンピューターの資格情報を保存することです。既定では、読み取り専用ドメイン コントローラー (RODC) が、それ自体のコンピューター アカウントやその RODC 用の特殊な krbtgt アカウントを除き、ユーザー資格情報やコンピューター資格情報を保存することはありません。他の資格情報を RODC にキャッシュするには、明示的にそれを許可する必要があります。

パスワード レプリケーション ポリシー

RODC を最初に展開するときには、そのレプリケーション パートナーとなる書き込み可能なドメイン コントローラーに対して、パスワード レプリケーション ポリシー (PRP) を構成する必要があります。PRP は、アクセス制御リスト (ACL) として機能します。PRP によって、RODC がアカウントの資格情報ををキャッシュできるかどうかが決まります。ユーザーまたはコンピューターのログオン要求を受け取った RODC は、書き込み可能な Windows Server 2008 または Windows Server 2008 R2 ドメイン コントローラーから該当アカウントの資格情報をレプリケートしようとします。書き込み可能なドメイン コントローラーは PRP を参照して、アカウントの資格情報をキャッシュするかどうかを決定します。PRP でアカウントのキャッシュが許可されている場合は、書き込み可能な Windows Server 2008 ドメイン コントローラーは RODC にアカウントの資格情報をレプリケートし、RODC がその資格情報をキャッシュします。そのアカウントの以降のログオン時には、キャッシュされた資格情報を参照して RODC でアカウントを認証できます。RODC は書き込み可能なドメイン コントローラーに接続する必要はありません。

PRP の許可一覧と拒否一覧

RODC の操作をサポートするために、2 つの組み込みグループが Windows Server 2008 および Windows Server 2008 R2 Active  Directory ドメインに存在します。これらの組み込みグループは、Domain RODC Password Replication Allowed グループと Domain RODC Password Replication Denied グループです。これらのグループは、RODC パスワード レプリケーション ポリシーの既定の許可一覧と拒否一覧の実装に役立ちます。

既定では、Domain RODC Password Replication Denied グループには次のメンバーが含まれます。

  • Enterprise Domain Controllers

  • Enterprise Read-Only Domain Controllers

  • Group Policy Creator Owners

  • Domain Admins

  • Cert Publishers

  • Enterprise Admins

  • Schema Admins

  • ドメイン全体の krbtgt アカウント

既定では、Denied List 属性には次のセキュリティ プリンシパルが含まれます。これらはすべて組み込みグループです。

  • Domain RODC Password Replication Denied グループ

  • Account Operators

  • Server Operators

  • Backup Operators

  • Administrators

キャッシュされたパスワードのクリア

RODC で指定されたユーザーのキャッシュ済みパスワードをクリアするメカニズムがありません。RODC に格納されたパスワードをクリアする場合は、管理者がハブ サイトでパスワードをリセットする必要があります。こうすることで、ブランチでキャッシュされたパスワードは、ハブ サイトまたは他のブランチのリソースにアクセスする際に有効になりません。RODC に障害が発生した場合は、現在キャッシュされているパスワードをリセットしてから、RODC を再構築します。

その他の参照情報


目次