凭据缓存
凭据缓存指用户或计算机凭据的存储。默认情况下,除了本身的计算机帐户和该 RODC 的特殊 krbtgt 帐户外,只读域控制器 (RODC) 不存储用户凭据或计算机凭据。您必须明确允许任何其他凭据在该 RODC 上缓存。
密码复制策略
最初部署 RODC 时,必须在作为其复制伙伴的可写入域控制器上配置密码复制策略 (PRP)。PRP 相当于一个访问控制列表 (ACL)。它确定是否允许 RODC 缓存帐户的凭据。RODC 收到用户或计算机登录请求后,会尝试从 Windows Server 2008 或 Windows Server 2008 R2 可写入域控制器复制该帐户的凭据。可写入域控制器会参考 PRP 以确定是否应缓存该帐户的凭据。如果 PRP 允许缓存该帐户,则 Windows Server 2008 可写入域控制器会将该帐户的凭据复制到 RODC,然后 RODC 会缓存这些凭据。此后,该帐户再进行登录时,RODC 可以参考缓存的凭据对其进行身份验证。RODC 不需要联系可写入域控制器。
PRP 允许和拒绝列表
为了支持 RODC 操作,在 Windows Server 2008 和 Windows Server 2008 R2 Active Directory 域中引入了两个新的内置组。这两个内置组分别是“域 RODC 密码复制允许组”和“域 RODC 密码复制拒绝组”。这两个组可以帮助实施 RODC 密码复制策略的默认允许列表和拒绝列表。
默认情况下,“域 RODC 密码复制拒绝组”包含下列成员:
-
企业域控制器
-
企业只读域控制器
-
组策略创建者所有者
-
Domain Admins
-
证书发行者
-
Enterprise Admins
-
Schema Admins
-
域范围 krbtgt 帐户
默认情况下,拒绝列表属性包含下列安全主体,它们全部为内置组:
-
域 RODC 密码复制拒绝组
-
帐户操作员
-
服务器操作员
-
备份操作员
-
Administrators
清除缓存的密码
没有可用于清除 RODC 上给定用户的缓存密码的机制。若要清除 RODC 上存储的密码,应由管理员在中心站点上重置密码。这样,当访问中心站点或其他分支中的任何资源时,分支中缓存的密码将不再有效。如果 RODC 被泄露,请重置当前缓存的密码,然后重建 RODC。