Zwischenspeicherung von Anmeldeinformationen
Bei der Zwischenspeicherung von Anmeldeinformationen handelt es sich um das Speichern von Benutzer- oder Computeranmeldeinformationen. Standardmäßig werden auf einem schreibgeschützten Domänencontroller (Read-Only Domain Controller, RODC) keine Benutzeranmeldeinformationen oder Computeranmeldeinformationen gespeichert außer für das eigene Computerkonto sowie für ein besonderes krbtgt-Konto für diesen RODC. Das Zwischenspeichern aller anderen Anmeldeinformationen auf dem RODC muss ausdrücklich zugelassen werden.
Kennwortreplikationsrichtlinie
Sie müssen bei der ersten Bereitstellung eines RDOCs die Kennwortreplikationsrichtlinie (Password Replication Policy, PRP) auf dem beschreibbaren Domänencontroller konfigurieren, der als Replikationspartner des RODCs verwendet wird. Die PRP fungiert als Zugriffssteuerungsliste (Access Control List, ACL). Mit ihr wird bestimmt, ob die Anmeldeinformationen für ein Konto von einem RODC zwischengespeichert werden dürfen. Wenn ein RODC eine Anmeldeanforderung eines Benutzers oder Computers empfängt, versucht der RODC, die Anmeldeinformationen für dieses Konto von einem beschreibbaren Windows Server 2008- oder Windows Server 2008 R2-Domänencontroller zu replizieren. Der beschreibbare Domänencontroller bestimmt anhand der PRP, ob die Anmeldeinformationen für das Konto zwischengespeichert werden sollen. Wenn die PRP das Zwischenspeichern des Kontos zulässt, repliziert der beschreibbare Windows Server 2008-Domänencontroller die Anmeldeinformationen für dieses Konto auf den RODC, der dann die Anmeldeinformationen zwischenspeichert. Bei nachfolgenden Anmeldungen für dieses Konto kann der RODC das Konto anhand der zwischengespeicherten Anmeldeinformationen authentifizieren. Der RODC hat keinen Kontakt mit dem beschreibbaren Domänencontroller.
Liste zulässiger Objekte und Liste verweigerter Objekte für die PRP
Zur Unterstützung von RODC-Vorgängen sind in Windows Server 2008- und Windows Server 2008 R2-Active Directory-Domänen zwei integrierte Gruppen enthalten. Bei diesen integrierten Gruppen handelt es sich um die Gruppe mit Domänen-RODC-Kennwortreplikationserlaubnis und die Gruppe ohne Domänen-RODC-Kennwortreplikationserlaubnis. Mithilfe dieser neuen Gruppen kann eine Standardliste zulässiger Objekte sowie eine Standardliste verweigerter Objekte für die RODC-Kennwortreplikationsrichtlinie implementiert werden.
Standardmäßig enthält die Gruppe ohne Domänen-RODC-Kennwortreplikationserlaubnis die folgenden Mitglieder:
-
Unternehmensdomänencontroller
-
Domänencontroller der Organisation ohne Schreibzugriff
-
Richtlinien-Ersteller-Besitzer
-
Domänen-Admins
-
Zertifikatherausgeber
-
Organisations-Admins
-
Schema-Admins
-
Domänenweites krbtg-Konto
Standardmäßig enthält das Liste verweigerter Objekte-Attribut die folgenden Sicherheitsprinzipalen, die alle integrierte Gruppen sind:
-
Gruppe ohne Domänen-RODC-Kennwortreplikationserlaubnis
-
Konten-Operatoren
-
Server-Operatoren
-
Sicherungs-Operatoren
-
Administratoren
Löschen zwischengespeicherter Kennwörter
Es gibt keinen Mechanismus, um das für einen bestimmten Benutzer auf einem RODC zwischengespeicherte Kennwort zu löschen. Wenn Sie ein Kennwort löschen möchten, das auf einem RODC gespeichert ist, sollte das Kennwort von einem Administrator am Hubstandort zurückgesetzt werden. Danach ist das in der Niederlassung zwischengespeicherte Kennwort nicht mehr gültig und autorisiert nicht mehr zum Zugreifen auf Ressourcen am Hubstandort oder in anderen Niederlassungen. Wenn ein RODC gefährdet ist, setzen Sie die derzeit zwischengespeicherten Kennwörter zurück, und erstellen Sie den RODC neu.