Almacenamiento de credenciales en caché

El almacenamiento de credenciales en caché consiste en guardar las credenciales del usuario o del equipo. De manera predeterminada, un controlador de dominio de solo lectura (RODC) no almacena credenciales de usuario ni credenciales de equipo; esto lo hace únicamente para su propia cuenta de equipo y una cuenta krbtgt especial de dicho RODC. Para almacenar en caché otras credenciales en ese RODC, ello debe permitirse de forma explícita.

Directiva de replicación de contraseñas

Cuando se implementa un RODC inicialmente, es necesario configurar la Directiva de replicación de contraseñas (PRP) en el controlador de dominio de escritura que va a ser su asociado de replicación. La Directiva de replicación de contraseñas actúa como una lista de control de acceso (ACL). Determina si un RODC puede almacenar en caché las credenciales de una cuenta. Cuando el RODC recibe una solicitud de inicio de sesión de un equipo o un usuario, intenta replicar las credenciales de dicha cuenta a partir de un controlador de dominio de escritura de Windows Server 2008 o de Windows Server 2008 R2. El controlador de dominio de escritura consulta la PRP para determinar si las credenciales de la cuenta deben almacenarse en caché. Si la PRP permite almacenar la cuenta en caché, el controlador de dominio de escritura de Windows Server 2008 replica las credenciales de dicha cuenta en el RODC y éste las almacena en caché. Durante los inicios de sesión posteriores de esa cuenta, el RODC consulta las credenciales que ha almacenado en caché para autenticar la cuenta. El RODC no tiene que ponerse en contacto con el controlador de dominio de escritura.

Listas de grupos con permiso y sin permiso de PRP

En los dominios de Active Directory de Windows Server 2008 y de Windows Server 2008 R2 existen dos grupos integrados para admitir las operaciones de RODC. Se trata del Grupo de replicación de contraseña RODC permitida en el dominio y del Grupo de replicación de contraseña RODC denegada en el dominio. Estos grupos ayudan a implementar una lista de grupos permitidos predeterminada y una lista de grupos sin permiso para la Directiva de replicación de contraseñas de RODC.

De manera predeterminada, el Grupo sin permiso para replicar contraseñas a RODC en el dominio contiene los miembros siguientes:

  • Controladores de dominio empresariales

  • Controladores de dominio empresariales de sólo lectura

  • Propietarios del creador de directivas de grupo

  • Administradores del dominio

  • Publicadores de certificados

  • Administradores de organización

  • Administradores de esquema

  • Cuenta Krbtgt de todo el dominio

De manera predeterminada, la lista de grupos sin permiso contiene las siguientes entidades de seguridad, todas ellas grupos integrados:

  • Grupo sin permiso para replicar contraseñas a RODC en el dominio

  • Operadores de cuentas

  • Operadores de servidores

  • Operadores de copia de seguridad

  • Administradores

Borrado de las contraseñas almacenadas en caché

No existe ningún mecanismo para borrar la contraseña en caché de un usuario en un RODC. Si desea borrar una contraseña almacenada en un RODC, un administrador debe restablecer la contraseña en el sitio del concentrador. De este modo, la contraseña almacenada en caché en la rama deja de ser válida para obtener acceso a los recursos del sitio del concentrador u otras ramas. Si existe algún riesgo para un RODC, restablezca las contraseñas almacenadas en caché y, a continuación, vuelva a crear el RODC.

Referencias adicionales

Tabla de contenido