認證快取

認證快取為使用者或電腦認證的存放區。根據預設,唯讀網域控制站 (RODC) 不會儲存使用者認證或電腦認證,除非是本身擁有的電腦帳戶和該 RODC 的特殊 krbtgt 帳戶。您必須明確允許在該 RODC 上快取其他所有認證。

密碼複寫原則

最初部署 RODC 時,您必須在將成為複寫協力電腦的可寫入網域控制站上設定密碼複寫原則 (PRP)。PRP 可做為存取控制清單 (ACL)。該原則會決定是否應允許 RODC 快取帳戶的認證。在 RODC 收到使用者或電腦登入要求之後,即會嘗試從可寫入的 Windows Server 2008 或 Windows Server 2008 R2 網域控制站複寫該帳戶的認證。可寫入的網域控制站依據 PRP 決定是否應該快取帳戶的認證。如果 PRP 允許快取帳戶,可寫入的 Windows Server 2008 網域控制站會將該帳戶的認證複寫至 RODC,而且 RODC 會快取認證。後續登入該帳戶時,RODC 可根據快取的認證驗證帳戶。RODC 不需連線至可寫入的網域控制站。

PRP 允許清單和拒絕清單

Windows Server 2008 和 Windows Server 2008 R2 Active Directory 網域中有兩個內建群組,可支援 RODC 操作。這兩個內建群組分別是 Domain RODC Password Replication Allowed Group 和 Domain RODC Password Replication Denied Group。這些群組可協助執行 RODC 密碼複寫原則的預設允許清單與拒絕清單。

根據預設,Domain RODC Password Replication Denied Group 包含下列成員:

  • Enterprise Domain Controllers

  • Enterprise Read-Only Domain Controllers

  • Group Policy Creator Owners

  • Domain Admins

  • Cert Publishers

  • Enterprise Admins

  • Schema Admins

  • Domain-wide krbtgt account

根據預設,Denied List 屬性包含下列安全性主體,這些原則全都是內建群組:

  • Domain RODC Password Replication Denied Group

  • Account Operators

  • Server Operators

  • Backup Operators

  • Administrators

清除快取的密碼

沒有任何機制可供清除 RODC 上指定使用者的快取密碼。若想清除 RODC 上儲存的密碼,系統管理員應重設中樞站台中的密碼。如此一來,在分公司中快取的密碼將無法再存取中樞站台或其他分公司中的任何資源。如果 RODC 遭受破壞,請重設目前快取的密碼,然後重建 RODC。

其他參考資料


目錄