Kimlik Bilgilerini Önbelleğe Alma
Kimlik bilgilerini önbelleğe alma, kullanıcı veya bilgisayar kimlik bilgilerini depolamadır. Varsayılan olarak, bir salt okunur etki alanı denetleyicisi (RODC), kendi bilgisayar hesabı ve o RODC'nin özel krbtgt hesabı dışında kullanıcı kimlik bilgilerini veya bilgisayar kimlik bilgilerini depolamaz. Bunun dışındaki tüm kimlik bilgilerinin söz konusu RODC'de önbelleğe alınmasına kesin olarak izin vermeniz gerekir.
Parola Çoğaltma İlkesi
Bir RODC'yi ilk kez dağıtırken, kendisinin yineleme ortağı olacak yazılabilir etki alanı denetleyicisinde Parola Çoğaltma İlkesi'ni (PRP) yapılandırmanız gerekir. PRP bir erişim denetim listesi (ACL) görevi görür. RODC'nin bir hesabın kimlik bilgilerini önbelleğe kaydetmesine izin verilip verilmeyeceğini belirler. RODC bir kullanıcı veya bilgisayar oturum açma isteğini aldıktan sonra, yazılabilir bir Windows Server 2008 veya Windows Server 2008 R2 etki alanı denetleyicisinden o hesabın kimlik bilgilerini çoğaltmayı dener. Yazılabilir etki alanı denetleyicisi, hesabın kimlik bilgilerinin önbelleğe kaydedilip kaydedilmeyeceğini belirlemek için PRP'ye başvurur. PRP, hesabın önbelleğe kaydedilmesine izin verirse, yazılabilir Windows Server 2008 etki alanı denetleyicisi, o hesabın kimlik bilgilerini RODC'ye çoğaltır ve RODC de kimlik bilgilerini önbelleğe kaydeder. O hesabın sonraki oturum açmalarında, RODC önbelleğe kaydettiği kimlik bilgilerine başvurarak hesabın kimliğini doğrulayabilir. RODC'nin yazılabilir etki alanı denetleyicisiyle bağlantı kurması gerekmez.
PRP İzin Verilenler ve Reddedilenler Listeleri
Windows Server 2008 ve Windows Server 2008 R2 Active Directory etki alanlarında, RODC işlemlerini desteklemek için yerleşik olarak iki grup bulunur. Yerleşik olan bu gruplar, Etki Alanı RODC İzin Verilen Parola Çoğaltma Grubu ve Etki Alanı RODC Reddedilen Parola Çoğaltma Grubu'dur. Bu gruplar RODC Parola Çoğaltma İlkesi için varsayılan bir İzin Verilenler Listesi ve bir Reddedilenler Listesi uygulamaya yardımcı olur.
Varsayılan olarak, Etki Alanı RODC Parola Çoğaltma Reddedilen Grubu aşağıdaki üyeleri içerir:
-
Kuruluş Etki Alanı Denetleyicileri
-
Kuruluş Salt Okunur Etki Alanı Denetleyicileri
-
Grup İlkesi Oluşturucu Sahipleri
-
Etki Alanı Yöneticileri
-
Serifika Yayımcıları
-
Şirket Yöneticileri
-
Şema Yöneticileri
-
Etki alanı kapsamında krbtgt hesabı
Varsayılan olarak, Reddedilenler Listesi özniteliği, tümü yerleşik gruplar olan aşağıdaki güvenlik ilkelerini içerir:
-
Etki Alanı RODC Reddedilen Parola Çoğaltma Grubu
-
Hesap Yöneticileri
-
Sunucu İşletmenleri
-
Yedekleme İşletmenleri
-
Yöneticiler
Önbelleğe alınan parolaları temizleme
Bir RODC'de belirli bir kullanıcı için önbelleğe kaydedilen parolayı temizleme mekanizması yoktur. RODC'de depolanan bir parolayı temizlemek istiyorsanız, bir yöneticinin hub sitesinde parolayı sıfırlaması gerekir. Bu şekilde, dalda önbelleğe kaydedilen parola, hub sitesindeki veya diğer dallardaki herhangi bir kaynağa erişilmesi için artık geçerli olmaz. Bir RODC'nin tehlikeyle karşılaşması durumunda, önbelleğe alınmış olan parolaları sıfırlayın ve RODC'yi yeniden oluşturun.