Cache de credenciais
O cache de credenciais é o armazenamento de credenciais de usuário ou computador. Por padrão, um controlador de domínio somente leitura (RODC) não armazena credenciais de usuário ou do computador, exceto para sua própria conta de computador e uma conta krbtgt especial desse RODC. Você deve permitir explicitamente que outras credenciais sejam armazenadas no cache nesse RODC.
Diretiva de Replicação de Senha
Ao implantar um RODC pela primeira vez, você deve configurar a Diretiva de Replicação de Senha (PRP) no controlador de domínio gravável que será o parceiro de replicação. A PRP age como uma ACL (lista de controle de acesso). Determina se um RODC deve ter permissão para armazenar as credenciais de uma conta no cache. Após o RODC receber uma solicitação de logon do usuário ou do computador, ele tenta replicar as credenciais dessa conta de um controlador de domínio Windows Server 2008 ou Windows Server 2008 R2 gravável. O controlador de domínio gravável refere-se à PRP para determinar se as credenciais da conta devem ser armazenadas em cache. Se a PRP permitir que a conta seja armazenada em cache, o controlador de domínio Windows Server 2008 gravável replicará as credenciais dessa conta para o RODC e este armazenará as credenciais em cache. Nos logons subsequentes dessa conta, o RODC pode autenticar a conta consultando as credenciais armazenadas em cache. O RODC não precisa entrar em contato com o controlador de domínio gravável.
Listas do PRP autorizadas e negadas
Dois grupos internos estão presentes nos domínios do Windows Server 2008 e Windows Server 2008 R2 Active Directory para dar suporte às operações do RODC. Esses grupos internos são o Grupo Autorizado de Replicação de Senha do RODC de Domínio e o Grupo Negado de Replicação de Senha RODC de Domínio. Esses grupos ajudam a implementar uma Lista Permitida e uma Lista Negada padrão na Diretiva de Replicação de Senha do RODC.
Por padrão, o Grupo Negado de Replicação de Senha RODC de Domínio contém estes membros:
-
Controladores de domínio de empresa
-
Controladores de domínio de empresa somente leitura
-
Proprietários criadores de diretiva de grupo
-
Admins. do domínio
-
Editores de certificados
-
Administradores de empresa
-
Administradores de esquemas
-
Conta krbtgt de domínio
Por padrão, o atributo Lista Negada contém as seguintes entidades de segurança, todas elas grupos internos:
-
Grupo Negado de Replicação de Senha RODC de Domínio
-
Opers. de contas
-
Opers. de servidores
-
Operadores de cópia
-
Administradores
Limpando senhas armazenadas em cache
Não há um mecanismo para limpar a senha armazenada em cache de um determinado usuário em um RODC. Se você quiser limpar uma senha armazenada em um RODC, um administrador deverá redefinir a senha no site do hub. Dessa forma, a senha armazenada em cache na ramificação não será mais válida para acessar quaisquer recursos no site do hub ou em outras ramificações. Se um RODC estiver comprometido, redefina as senhas armazenadas em cache no momento e recrie o RODC.