Ukládání pověření do mezipaměti
Ukládání pověření do mezipaměti označuje ukládání uživatelských pověření nebo pověření počítače. Řadič domény jen pro čtení (RODC) neukládá ve výchozím nastavení uživatelská pověření ani pověření počítače s výjimkou vlastního účtu počítače a speciálního účtu KRBTGT pro příslušný řadič domény jen pro čtení (RODC). Ukládání jakýchkoli dalších pověření do mezipaměti v řadiči domény jen pro čtení (RODC) je potřeba výslovně povolit.
Zásady replikace hesel
Při prvním nasazení řadiče domény jen pro čtení (RODC) je nutné nakonfigurovat zásady replikace hesel v řadiči domény s možností zápisu, který bude partnerským serverem pro replikaci. Zásady replikace hesel fungují jako seznam řízení přístupu (ACL). Určují, zda má být řadiči domény jen pro čtení povoleno ukládat pověření účtů do mezipaměti. Když řadič domény jen pro čtení obdrží žádost uživatele nebo počítače o přihlášení, pokusí se replikovat pověření daného účtu z řadiče domény s možností zápisu se systémem Windows Server 2008 nebo Windows Server 2008 R2. Řadič domény s možností zápisu zjistí v zásadách replikace hesel, zda se pověření pro daný účet mají ukládat do mezipaměti. Pokud zásady replikace hesel povolují uložení účtu do mezipaměti, replikuje řadič domény s možností zápisu se systémem Windows Server 2008 pověření tohoto účtu do řadiče domény jen pro čtení a ten je uloží do mezipaměti. Při následujících přihlašovacích akcích daného účtu může řadič domény jen pro čtení tento účet ověřit pomocí pověření uložených v mezipaměti. Řadič domény jen pro čtení nemusí kontaktovat řadič domény s možností zápisu.
Seznamy povolených a zakázaných zásad replikace hesel
V systémech Windows Server 2008 a Windows Server 2008 R2 existují v doménách služby Active Directory dvě předdefinované skupiny pro podporu operací řadiče jen pro čtení. Tyto předdefinované skupiny jsou: Domain RODC Password Replication Allowed Group a Domain RODC Password Replication Denied Group. Tyto skupiny pomáhají implementovat výchozí seznam povolených zásad a zakázaných zásad pro řadiče domény jen pro čtení (RODC).
Ve výchozím nastavení obsahuje skupina Domain RODC Password Replication Denied Group následující členy:
-
Enterprise Domain Controllers,
-
Enterprise Read-Only Domain Controllers,
-
Group Policy Creator Owners,
-
Domain Admins,
-
Cert Publishers,
-
Enterprise Admins,
-
Schema Admins,
-
účet KRBTGT na úrovni domény.
Ve výchozím nastavení obsahuje atribut Denied List (Seznam odmítnutých objektů) následující zaregistrované objekty zabezpečení:
-
Domain RODC Password Replication Denied Group,
-
Account Operators,
-
Server Operators,
-
Backup Operators,
-
Administrators.
Smazání hesel uložených do mezipaměti
K vymazání hesla uživatele uloženého v mezipaměti řadiče domény jen pro čtení (RODC) neexistuje žádný mechanismus. Chcete-li vymazat heslo uložené v řadiči domény jen pro čtení, měl by správce heslo obnovit v centrální lokalitě. Pak heslo uložené v mezipaměti pobočky již nebude platné pro přístup k libovolným zdrojům v centrální lokalitě ani v jiných pobočkách. V případě ohrožení řadiče domény jen pro čtení (RODC) obnovte hesla aktuálně uložená v mezipaměti a potom znovu vytvořte řadič domény jen pro čtení.