La página Especificar la directiva de replicación de contraseñas del asistente aparece cuando se crea una cuenta de controlador de dominio de sólo lectura (RODC), pero sólo si se activa la casilla Usar la instalación en modo avanzado en la primera página, Asistente para la instalación de los Servicios de dominio de Active Directory.

Funcionamiento de la directiva de replicación de contraseñas

La directiva de replicación de contraseñas (PRP) determina la forma en que un RODC almacena las credenciales en caché. El almacenamiento de credenciales en caché consiste en guardar las credenciales del usuario o del equipo.

Cuando los usuarios o los equipos de un sitio que cuenta con el servicio de RODC intentan autenticarse en el dominio, el RODC no puede validar las credenciales de manera predeterminada. Entonces, el RODC envía la solicitud de autenticación a un controlador de dominio grabable. Sin embargo, es posible que exista un conjunto de entidades de seguridad que podrían necesitar autenticarse en un sitio que cuente con el servicio de RODC, incluso en aquellos casos en donde no tienen conexión con controladores de dominio grabable.

Por ejemplo, es posible que tenga un conjunto de usuarios y equipos en una oficina sucursal que desea que sean autenticados, incluso si no hay conectividad entre la oficina sucursal y los sitios que contienen los controladores de dominio grabable. Para solucionar este problema, puede configurar la directiva de replicación de contraseñas (PRP) para que el RODC permita que las contraseñas de esos usuarios sean almacenadas en caché en el RODC. Si las contraseñas están almacenadas en el RODC, el RODC podrá autenticar dichas cuentas cuando la conexión con los controles de dominio grabable no esté disponible.

La directiva de replicación de contraseñas actúa como una lista de control de acceso (ACL). Determina si un RODC tiene permitido almacenar en caché las credenciales para una cuenta. Después de que el RODC recibe una solicitud de inicio de sesión del usuario o del equipo, intenta replicar las credenciales para esa cuenta desde un controlador de dominio grabable que ejecute Windows Server 2008 o Windows Server 2008 R2. El controlador de dominio grabable toma como referencia la PRP para determinar si las credenciales de la cuenta deben ser almacenadas en caché. Si la PRP permite que la cuenta sea almacenada en caché, el controlador de dominio grabable replica las credenciales para esa cuenta al RODC y el RODC las almacena en caché. Durante los inicios de sesión posteriores, el RODC podrá autenticar la cuenta refiriéndose a las credenciales que almacenó en caché. El RODC no tiene que entrar en contacto con el controlador de dominio grabable.

La PRP (directiva de replicación de contraseñas) en funcionamiento

La PRP se define por dos atributos multivalores de Active Directory que contienen entidades de seguridad (usuarios, equipos y grupos). Cada cuenta de equipo del RODC tiene estos dos atributos:

  • msDS-Reveal-OnDemandGroup, que también se conoce como la lista permitida

  • msDS-NeverRevealGroup, que también se conoce como la lista denegada

Para ayudar en la administración de la PRP, se mantienen otros dos atributos relacionados con la PRP por cada RODC:

  • msDS-RevealedList, que también se conoce como la lista de revelados

  • msDS-AuthenticatedToAccountList, que también se conoce como la lista de autenticados

El atributo msDS-Reveal-OnDemandGroup especifica qué entidades de seguridad pueden almacenar en memoria caché las contraseñas. De manera predeterminada, este atributo tiene un valor, que es el Grupo con permiso para replicar contraseñas en RODC. Como este grupo local de dominio no tiene miembros de manera predeterminada, las contraseñas de cuenta no se pueden almacenar en caché en ningún RODC de manera predeterminada.

En esta sección se explica cómo se usan estos atributos.

Cuando un RODC realiza una solicitud para replicar la contraseña de un usuario, el controlador de dominio de escritura de Windows Server 2008 con el que establece contacto el RODC permite o deniega la solicitud. Para permitir o denegar la solicitud, el controlador de dominio grabable examina los valores de la lista permitida y de la lista denegada del RODC que presenta la solicitud.

Si la cuenta cuya contraseña solicita el RODC se encuentra en la lista permitida (no en la lista denegada) para ese RODC, se permite la solicitud.

La siguiente ilustración muestra cómo tiene lugar esta operación.

Proceso de aplicación de una directiva de replicación de contraseñas

La lista denegada tiene prioridad sobre la lista permitida.

Supongamos, por ejemplo, que una organización tiene un grupo de seguridad para administradores que se denomina Admins. La organización tiene un sitio denominado S1 y un grupo de seguridad denominado Emp_S1 que contiene los empleados del sitio. La organización tiene otro sitio denominado S2 y un grupo de seguridad denominado Emp_S2 que contiene los empleados del sitio.

El sitio S2 sólo tiene un RODC. Bob es un administrador que trabaja en el sitio S2. Por lo tanto, pertenece a los grupos Emp_S2 y Admins. Cuando se instala el RODC en el sitio S2, los grupos de seguridad que se incluyen en la tabla siguiente se agregan a la directiva de replicación de contraseñas.

Grupo de seguridad Configuración de la PRP

Admins

Se deniega

Emp_S2

Se permite

Según la directiva especificada, las credenciales que se pueden almacenar en caché en el RODC del sitio S2 son sólo las credenciales de los miembros del grupo Emp_S2 que no pertenecen al grupo Admins. Los miembros de los grupos Emp_S1 y Admins nunca tendrán sus credenciales almacenadas en caché en el RODC. Los miembros del grupo Emp_S2 pueden tener sus credenciales almacenadas en caché en el RODC. Las credenciales de Bob nunca se almacenarán en caché en el RODC.

Configuración predeterminada de la PRP

Cada RODC tiene una directiva de replicación de contraseñas que define para qué cuentas se pueden replicar contraseñas en el RODC y para qué cuentas no se pueden replicar contraseñas explícitamente en el RODC. La directiva predeterminada especifica los grupos y los valores de configuración de la tabla siguiente.

Nombre de grupo Configuración de la PRP

Administradores

Denegar

Operadores de servidores

Denegar

Operadores de copia de seguridad

Denegar

Operadores de cuentas

Denegar

Grupo sin permiso para replicar contraseñas en RODC

Denegar

Grupo con permiso para replicar contraseñas en RODC

Permitir

De manera predeterminada, el grupo sin permiso para replicar contraseñas en RODC tiene los siguientes miembros de cuenta de dominio:

  • Publicadores de certificados

  • Administradores del dominio

  • Administradores de organización

  • Controladores de dominio empresariales

  • Controladores de dominio empresariales de sólo lectura

  • Propietarios del creador de directivas de grupo

  • Krbtgt

  • Administradores de esquema

De manera predeterminada, el grupo con permiso para replicar contraseñas en RODC no tiene miembros.

La directiva de replicación de contraseñas predeterminada mejora la seguridad de una instalación de RODC al garantizar que no se almacenan contraseñas de cuentas de manera predeterminada y que se impide explícitamente el almacenamiento de las contraseñas de las cuentas que son críticas para la seguridad (como las que son miembros del grupo Admins. del dominio) en el RODC.

Modificación de la PRP predeterminada

Puede modificar la directiva de replicación de contraseñas predeterminada en el momento de crear la cuenta de RODC o una vez creada. Para modificar la directiva de replicación de contraseñas predeterminada después de crear la cuenta de RODC, haga clic con el botón secundario en la cuenta de RODC en la unidad organizativa Controladores de dominio en el complemento Usuarios y equipos de Active Directory, haga clic en Propiedades y, a continuación, haga clic en la ficha Directiva de replicación de contraseñas. (Para abrir el complemento Usuarios y equipos de Active Directory, haga clic en Inicio, elija Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory.)

Para agregar cuentas a la directiva de replicación de contraseñas predeterminada en el momento de crear la cuenta de RODC, haga clic en Agregar en la página Especificar la directiva de replicación de contraseñas del asistente y después especifique si va a permitir o no que las contraseñas de la cuenta se almacenen en el RODC. A continuación, use el cuadro de diálogo Seleccionar usuarios, equipos o grupos para seleccionar las cuentas que desea agregar.

Debe incluir las cuentas de usuario, de equipo y de servicio adecuadas en la directiva de replicación de contraseñas para que el RODC pueda satisfacer las solicitudes de autenticación y vales de servicio localmente. Si no incluye las cuentas de equipo que emplearán los usuarios de la sucursal para iniciar sesión en la red en la lista permitida, el RODC no podrá satisfacer las solicitudes de vales de servicio localmente y lo hará a través de un controlador de dominio grabable. Si la red de área extensa (WAN) estuviese sin conexión, podría producirse una interrupción del servicio.

El valor Denegar tiene prioridad sobre el valor Permitir. Si se especifican ambos valores de configuración para un usuario concreto, ya sea de forma directa o indirectamente porque es miembro de un grupo de seguridad especificado (o anidado dentro de un grupo de seguridad especificado), la contraseña del usuario no se puede almacenar en el RODC. Sin embargo, cabe señalar que un usuario cuya contraseña no se pueda almacenar en el RODC todavía podrá usar el RODC para iniciar sesión si está disponible la conexión con un controlador de dominio de escritura a través de la red WAN. La contraseña del usuario no se replica en el RODC, pero el inicio de sesión puede autenticarse a través del controlador de dominio de escritura en la red WAN.

En la tabla siguiente se describen las ventajas y los inconvenientes de tres ejemplos de configuración de una directiva de replicación de contraseñas.

Ejemplo Ventajas Desventajas

No se almacenan cuentas en caché (comportamiento predeterminado).

Lo más seguro: un controlador de dominio de escritura autentica a los usuarios, los cuales obtienen la directiva de grupo del RODC para un procesamiento de directivas más rápido.

Nadie tiene acceso sin conexión: se requiere una red WAN para el inicio de sesión.

La mayoría de las cuentas se almacenan en caché.

Facilidad de administración de contraseñas: esta opción está destinada a los organizadores más preocupados por las mejoras de administración del RODC que por la seguridad.

Más contraseñas se encuentran expuestas de manera potencial a un RODC.

Pocas cuentas se almacenan en caché.

Permite el acceso sin conexión para aquellos usuarios que lo necesiten, sin embargo, proporciona más seguridad que el almacenamiento en caché de la mayoría de las cuentas.

Este método requiere una administración más minuciosa. Es posible que deba asignar usuarios y equipos a cada sucursal que tenga un RODC. Además, se pueden usar herramientas como repadmin /prp para mover aquellas cuentas autenticadas en un RODC a un grupo que esté en la lista permitida o puede que necesite usar Identity Lifecycle Manager (ILM) para automatizar dicho proceso.

En las siguientes secciones se explica cada ejemplo con más detalle.

No se almacenan cuentas en caché

Este ejemplo aporta la opción más segura. No se replica ninguna contraseña en el RODC, sólo en la cuenta del equipo de RODC y su cuenta Krbtgt especial. Sin embargo, la autenticación de usuarios y equipos depende de la disponibilidad de la red WAN. Este ejemplo tiene la ventaja de que apenas requiere que se modifique la configuración administrativa predeterminada.

Quizás elija agregar sus propios grupos de usuarios críticos para la seguridad a la lista denegada. A pesar de que no se almacenan cuentas en caché de manera predeterminada, el agregar sus propios grupos de usuarios críticos para la seguridad a la lista denegada puede proteger esos grupos de la inclusión accidental en la lista permitida, junto con el posterior almacenamiento en caché de las contraseñas en el RODC.

Tenga en cuenta que la cuenta de administrador del RODC delegado no se agrega automáticamente a la lista permitida. Como práctica recomendada, agregue la cuenta de administrador del RODC delegado a la lista permitida para asegurarse de que el administrador delegado pueda siempre iniciar sesión en el RODC, independientemente de la disponibilidad de conexión de la WAN a un controlador de dominio grabable.

La mayoría de las cuentas se almacenan en caché

Este ejemplo es el modo administrativo más simple y elimina la dependencia a la disponibilidad de la WAN para la autenticación del usuario y del equipo. En este ejemplo, usted rellena la lista permitida para todos los RODCs con grupos que representan una parte significativa de la población de usuarios y equipos. La lista denegada evita que se repliquen contraseñas de los grupos de usuarios críticos para la seguridad, como Admins. del dominio. Sin embargo, puede almacenar en caché las contraseñas de la mayoría de los usuarios restantes a petición. Quizás elija agregar sus propios grupos de usuarios críticos para la seguridad a la lista denegada.

Esta configuración es la más adecuada para entornos en los que la seguridad física del RODC no estará en peligro. Por ejemplo, puede configurar la PRP de esta manera para un RODC que haya sido implementado en una ubicación segura, principalmente para aprovecharse de los requerimientos de replicación y administración reducidos.

Importante

También es necesario agregar las cuentas de los equipos de los usuarios a la lista permitida para que dichos usuarios puedan iniciar sesión en la oficina sucursal cuando la WAN esté sin conexión.

Pocas cuentas se almacenan en caché

Este ejemplo limita las cuentas que se pueden almacenar en caché. Normalmente, se define de forma diferente para cada RODC: cada RODC tiene un conjunto de cuentas de usuario y equipos diferente que se pueden almacenar en caché. Este ejemplo suele ser para un conjunto de usuarios que trabaja en una ubicación física concreta.

La ventaja de este ejemplo es que un conjunto de usuarios podrá iniciar sesión en la red y ser autenticado por el RODC en la oficina sucursal si la WAN está sin conexión. Al mismo tiempo, el ámbito de exposición de las contraseñas está limitado por el menor número de usuarios cuyas contraseñas se pueden almacenar en caché.

En este ejemplo la sobrecarga administrativa está asociada con rellenar la lista permitida y la lista denegada. No existe un método automático predeterminado para leer las cuentas desde la lista conocida de entidades de seguridad autenticada en un RODC dado, y tampoco existe un método predeterminado para rellenar la lista permitida con esas cuentas. Puede usar el comando repadmin /prp move para mover estas cuentas a un grupo ubicado en la lista permitida, o puede usar scripts o aplicaciones como ILM para crear un proceso.

Aunque puede agregar las cuentas de usuarios o equipos directamente a la lista permitida, lo que en realidad debe hacer es crear un grupo de seguridad por cada RODC, agregarlo a la lista permitida y luego agregar las cuentas de equipos y usuarios al grupo de seguridad. De esta manera, puede usar herramientas de administración de grupo estándar como el complemento Usuarios y equipos de Active Directory, Dsadd o las herramientas de la línea de comandos Dsmod para administrar las cuentas que se pueden almacenar en caché en el RODC.

El comando repadmin /prp move requiere que especifique un grupo de seguridad. Si el grupo de seguridad que especifica no existe, el comando crea el grupo y lo agrega a la lista permitida.

Al igual que el ejemplo anterior, también debe agregar las cuentas de equipo adecuadas a la lista permitida.


Tabla de contenido