La page Spécifiez la stratégie de réplication de mot de passe de l’Assistant Installation des services de domaine Active Directory apparaît lorsque vous créez un compte de contrôleur de domaine en lecture seule (RODC, Read-Only Domain Controller), mais uniquement si vous activez la case à cocher Utiliser l’installation en mode avancé dans la page Assistant Installation des services de domaine Active Directory de l’Assistant.

Principe de fonctionnement de la stratégie de réplication de mot de passe

La stratégie de réplication de mot de passe détermine la manière dont un contrôleur de domaine en lecture seule effectue la mise en cache des informations d’identification. La mise en cache des informations d’identification correspond au stockage des informations d’identification de l’utilisateur ou de l’ordinateur.

Lorsque des utilisateurs ou ordinateurs dans un site servi par un contrôleur de domaine en lecture seule tentent de s’authentifier dans le domaine, par défaut le contrôleur de domaine en lecture seule ne peut pas valider leurs informations d’identification. Ce contrôleur transfert la demande d’authentification à un contrôleur de domaine accessible en écriture. Toutefois, il peut exister un ensemble d’entités de sécurité qui doivent être en mesure de s’authentifier dans un site servi par un contrôleur de domaine en lecture seule, même dans les cas où il n’y a aucune connectivité à des contrôleurs de domaine accessibles en écriture.

Par exemple, vous pourriez avoir un ensemble d’utilisateurs et d’ordinateurs dans une filiale que vous souhaitez pouvoir authentifier, même en l’absence de connectivité entre la filiale et les sites qui contiennent des contrôleurs de domaine accessibles en écriture. Pour résoudre ce problème, vous pouvez configurer la stratégie de réplication de mot de passe pour ce contrôleur de domaine en lecture seule de façon à autoriser la mise en cache des mots de passe de ces utilisateurs sur le contrôleur de domaine en lecture seule. Si les mots de passe des comptes sont mis en cache sur le contrôleur de domaine en lecture seule, celui-ci peut authentifier ces comptes lorsque la connectivité aux contrôleurs de domaine accessibles en écriture est indisponible.

La stratégie de réplication de mot de passe joue le rôle de liste de contrôle d’accès (ACL, Access Control List). Elle détermine si un contrôleur de domaine en lecture seule est autorisé à mettre en cache les informations d’identification d’un compte. Lorsqu’un contrôleur de domaine en lecture seule reçoit une demande d’ouverture de session utilisateur ou ordinateur, il tente de répliquer les informations d’identification de ce compte à partir d’un contrôleur de domaine accessible en écriture qui exécute Windows Server 2008 ou Windows Server 2008 R2. Ce dernier fait référence à la stratégie de réplication de mot de passe afin de déterminer si les informations d’identification du compte doivent être mises en cache. Si la stratégie de réplication de mot de passe autorise la mise en cache du compte, le contrôleur de domaine accessible en écriture réplique les informations d’identification du compte sur le contrôleur de domaine en lecture seule et celui-ci les met en cache. Durant les ouvertures de session ultérieures pour ce compte, le contrôleur de domaine en lecture seule peut authentifier le compte en faisant référence aux informations d’identification qu’il a mises en cache ; il lui est inutile de contacter le contrôleur de domaine accessible en écriture.

Fonctionnement de la stratégie de réplication de mot de passe

La stratégie de réplication de mot de passe est définie par deux attributs Active Directory à valeurs multiples qui contiennent des entités de sécurité (utilisateurs, ordinateurs et groupes). Chaque compte d’ordinateur RODC possède ces deux attributs :

  • msDS-Reveal-OnDemandGroup, également appelé Liste autorisée ;

  • msDS-NeverRevealGroup, également appelé Liste refusée.

Pour simplifier la gestion de la stratégie de réplication de mot de passe, deux autres attributs sont maintenus pour chaque contrôleur de domaine en lecture seule :

  • msDS-RevealedList, également appelé Liste révélée ;

  • msDS-AuthenticatedToAccountList, également appelé Liste authentifiée.

L’attribut msDS-Reveal-OnDemandGroup spécifie les entités de sécurité qui possèdent des mots de passe mis en cache sur un contrôleur de domaine en lecture seule. Par défaut, cet attribut possède une valeur, à savoir le Groupe de réplication dont le mot de passe RODC est autorisé. Étant donné que ce groupe local de domaine ne possède aucun membre par défaut, aucun mot de passe de compte ne peut être mis en cache sur un contrôleur de domaine en lecture seule par défaut.

Cette section explique comment les attributs Liste autorisée, Liste refusée, Liste révélée et Liste authentifiée sont utilisés.

Lorsqu’un contrôleur de domaine en lecture seule effectue une demande pour répliquer le mot de passe d’un utilisateur, le contrôleur de domaine Windows Server 2008 accessible en écriture que le contrôleur de domaine en lecture seule contacte autorise ou refuse la demande. Pour ce faire, le contrôleur de domaine accessible en écriture examine les valeurs de la Liste autorisée et de la Liste refusée du contrôleur de domaine en lecture seule qui présente la demande.

Si le compte dont le mot de passe fait l’objet de la demande du contrôleur de domaine en lecture seule se trouve dans la Liste autorisée (et non dans la Liste refusée) de ce dernier, la demande est autorisée.

L’illustration suivante montre le déroulement de cette opération.



Processus d'application d'une stratégie de réplication de mot de passe

La Liste refusée est prioritaire par rapport à la Liste autorisée.

Par exemple, supposons qu’une organisation a un groupe de sécurité pour administrateurs nommé Admins. L’organisation a aussi un site nommé S1 et un groupe de sécurité nommé Emp_S1 qui contient les employés de ce site. L’organisation a un autre site nommé S2 et un groupe de sécurité nommé Emp_S2 qui contient les employés de ce site.

Le site S2 ne dispose que d’un contrôleur de domaine en lecture seule. Hervé est un administrateur qui travaille sur le site S2. Par conséquent, il appartient à la fois au groupe Emp_S2 et au groupe Admins. Lorsque le contrôleur de domaine en lecture seule du site S2 est installé, les groupes de sécurité répertoriés dans le tableau suivant sont ajoutés à la stratégie de réplication de mot de passe.

Groupe de sécurité Paramètre de la stratégie de réplication de mot de passe

Admins

Refusé

Emp_S2

Autorisé

Selon la stratégie spécifiée, les informations d’identification qui peuvent être mises en cache sur le contrôleur de domaine en lecture seule du site S2 sont uniquement celles des membres du groupe Emp_S2 qui n’appartiennent pas au groupe Admins. Les informations d’identification des membres des groupes Emp_S1 et Admins ne seront jamais mises en cache sur le contrôleur de domaine en lecture seule. Les informations d’identification des membres du groupe Emp_S2 peuvent être mises en cache sur le contrôleur de domaine en lecture seule. Les informations d’identification d’Hervé ne seront jamais mises en cache sur le contrôleur de domaine en lecture seule.

Paramètres par défaut de la stratégie de réplication de mot de passe

Chaque contrôleur de domaine en lecture seule possède une stratégie de réplication de mot de passe qui définit les comptes dont les mots de passe peuvent être répliqués sur le contrôleur de domaine en lecture seule et les comptes dont les mots de passe ne peuvent explicitement pas être répliqués sur le contrôleur de domaine en lecture seule. La stratégie par défaut spécifie les groupes et les paramètres figurant dans le tableau suivant.

Nom du groupe Paramètre de la stratégie de réplication de mot de passe

Administrateurs

Refuser

Opérateurs de serveur

Refuser

Opérateurs de sauvegarde

Refuser

Opérateurs de compte

Refuser

Groupe Réplication de mot de passe RODC refusée

Refuser

Groupe Réplication de mot de passe RODC autorisée

Autoriser

Le groupe Réplication de mot de passe RODC refusée contient par défaut les membres de compte de domaine suivants :

  • Éditeurs de certificats

  • Admins du domaine

  • Administrateurs de l’entreprise

  • Contrôleurs de domaine d’entreprise

  • Contrôleurs de domaine d’entreprise en lecture seule

  • Propriétaires créateurs de la stratégie de groupe

  • krbtgt

  • Administrateurs du schéma

Le groupe Réplication de mot de passe RODC autorisée ne contient aucun membre par défaut.

La stratégie de réplication de mot de passe par défaut améliore la sécurité d’une installation de contrôleur de domaine en lecture seule en garantissant qu’aucun mot de passe de compte n’est stocké par défaut et que les mots de passe des comptes dont la sécurité est primordiale (comme les membres du groupe Admins du domaine) ne pourront jamais être stockés sur le contrôleur de domaine en lecture seule.

Modification de la stratégie de réplication de mot de passe par défaut

Vous pouvez modifier la stratégie de réplication de mot de passe par défaut lorsque vous créez un compte pour le contrôleur de domaine en lecture seule ou après avoir créé le compte de contrôleur de domaine en lecture seule. Pour modifier la stratégie de réplication de mot de passe par défaut après avoir créé le compte de contrôleur de domaine en lecture seule, cliquez avec le bouton droit sur le compte de contrôleur de domaine en lecture seule dans l’unité d’organisation Contrôleurs de domaine du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, cliquez sur Propriétés, puis sur l’onglet Stratégie de réplication de mot de passe. (Pour ouvrir le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Utilisateurs et ordinateurs Active Directory.)

Pour ajouter des comptes à la stratégie de réplication de mot de passe par défaut lorsque vous créez le compte de contrôleur de domaine en lecture seule, cliquez sur Ajouter dans la page Spécifiez la stratégie de réplication de mot de passe de l’Assistant, puis spécifiez s’il faut autoriser ou refuser le stockage des mots de passe des comptes sur le contrôleur de domaine en lecture seule. Ensuite, utilisez la boîte de dialogue Sélectionner les utilisateurs, les ordinateurs ou les groupes pour sélectionner les comptes à ajouter.

Vous devez inclure les comptes d’utilisateurs, d’ordinateurs et de services appropriés dans la stratégie de réplication de mot de passe pour permettre au contrôleur de domaine en lecture seule de satisfaire localement les demandes d’authentification et de tickets de service. Si vous n’ajoutez pas à la Liste autorisée les comptes d’ordinateurs que les utilisateurs de la filiale utiliseront pour se connecter au réseau, le contrôleur de domaine en lecture seule ne sera pas en mesure de satisfaire localement les demandes de tickets de service et sera tributaire de l’accès à un contrôleur de domaine accessible en écriture pour satisfaire ces demandes. Si le réseau étendu (WAN) est hors connexion, cela peut entraîner une panne de service.

Le paramètre Refuser est prioritaire par rapport au paramètre Autoriser. Si les deux paramètres sont spécifiés pour un même utilisateur, directement ou indirectement car l’utilisateur appartient à un groupe de sécurité qui est spécifié (ou imbriqué à l’intérieur d’un groupe de sécurité spécifié), le mot de passe de l’utilisateur ne peut pas être stocké sur le contrôleur de domaine en lecture seule. Toutefois, il est important de noter qu’un utilisateur dont le mot de passe ne peut pas être stocké sur le contrôleur de domaine en lecture seule peut quand même utiliser ce dernier pour ouvrir une session si la connexion WAN à un contrôleur de domaine accessible en écriture est disponible. Le mot de passe de l’utilisateur n’est pas répliqué sur le contrôleur de domaine en lecture seule, mais l’ouverture de session peut être authentifiée par le contrôleur de domaine accessible en écriture sur le réseau WAN.

Le tableau suivant décrit les avantages et les inconvénients de trois exemples de configurations pour une stratégie de réplication de mot de passe.

Exemple Avantages Inconvénients

Aucun compte n’est mis en cache (par défaut).

Option la plus sûre ; les utilisateurs sont authentifiés par un contrôleur de domaine accessible en écriture et obtiennent leur stratégie de groupe à partir du contrôleur de domaine en lecture seule, pour un traitement rapide de la stratégie.

Aucun accès hors connexion pour qui que ce soit ; un réseau étendu est nécessaire pour l’ouverture de session.

La plupart des comptes sont mis en cache.

Simplicité de gestion des mots de passe ; cette option est destinée aux organisations pour lesquelles les améliorations en matière de simplicité de gestion des contrôleurs de domaine en lecture seule assument davantage d’importance que la sécurité.

La plupart des mots de passe sont potentiellement exposés à un contrôleur de domaine en lecture seule.

Peu de comptes sont mis en cache.

Autorise un accès hors connexion aux utilisateurs qui en ont besoin, mais procure davantage de sécurité que la mise en cache de la plupart des comptes.

Cette méthode nécessite une administration plus détaillée. Vous devrez peut-être mapper les utilisateurs et ordinateurs à chaque filiale qui possède un contrôleur de domaine en lecture seule. Vous pouvez également utiliser des outils tels que repadmin /prp pour déplacer des comptes qui se sont authentifiés auprès d’un contrôleur de domaine en lecture seule dans un groupe répertorié dans la Liste autorisée, ou vous devrez peut-être utiliser Identity Lifecycle Manager (ILM) afin d’automatiser ce processus.

Les sections suivantes expliquent chaque exemple de façon plus détaillée.

Aucun compte n’est mis en cache

Cet exemple représente l’option la plus sécurisée. Aucun mot de passe n’est répliqué sur le contrôleur de domaine en lecture seule, à l’exception du compte d’ordinateur de contrôleur de domaine en lecture seule et de son compte spécial krbtgt. Toutefois, l’authentification des utilisateurs et des ordinateurs est tributaire de la disponibilité du réseau étendu. Cet exemple offre l’avantage de ne nécessiter que peu ou aucune modification administrative supplémentaire par rapport aux paramètres par défaut.

Vous pouvez choisir d’ajouter vos propres groupes d’utilisateurs dont la sécurité est primordiale à la Liste refusée. Bien qu’aucun compte ne soit mis en cache par défaut, l’ajout de vos propres groupes d’utilisateurs dont la sécurité est primordiale à la Liste refusée peut protéger ces groupes contre toute inclusion accidentelle dans la Liste autorisée, et par conséquent contre la mise en cache de leurs mots de passe sur le contrôleur de domaine en lecture seule.

Notez que le compte d’administrateur de contrôleur de domaine en lecture seule délégué n’est pas ajouté automatiquement à la Liste autorisée. En guise de pratique recommandée, vous devez ajouter le compte d’administrateur de contrôleur de domaine en lecture seule délégué à la Liste autorisée afin de vous assurer qu’un administrateur délégué est toujours en mesure d’ouvrir une session sur le contrôleur de domaine en lecture seule, que la connexion de réseau étendu à un contrôleur de domaine accessible en écriture soit disponible ou non.

La plupart des comptes sont mis en cache

Cet exemple constitue le mode d’administration le plus simple ; il élimine la dépendance envers la disponibilité du réseau étendu pour l’authentification des utilisateurs et des ordinateurs. Dans cet exemple, vous remplissez la Liste autorisée pour tous les contrôleurs de domaine en lecture seule avec des groupes qui représentent une partie significative de la population d’utilisateurs et d’ordinateurs. La Liste refusée empêche la mise en cache des mots de passe des groupes d’utilisateurs dont la sécurité est primordiale, tels que le groupe Admins du domaine. En revanche, les mots de passe de la plupart des autres utilisateurs peuvent être mis en cache sur demande. Vous pouvez choisir d’ajouter vos propres groupes d’utilisateurs dont la sécurité est primordiale à la Liste refusée.

Cette configuration est surtout appropriée pour les environnements dans lesquels la sécurité physique du contrôleur de domaine en lecture seule n’est pas en danger. Par exemple, vous pourriez configurer la stratégie de réplication de mot de passe de cette manière pour un contrôleur de domaine en lecture seule que vous avez déployé dans un emplacement sécurisé principalement pour tirer parti de ses faibles exigences en matière d’administration et de réplication.

Important

Vous devez également ajouter les comptes d’ordinateurs des utilisateurs à la Liste autorisée afin que ces utilisateurs puissent ouvrir une session à la filiale lorsque le réseau étendu est hors connexion.

Peu de comptes sont mis en cache

Cet exemple limite les comptes qui peuvent être mis en cache. En général, vous définissez cette option de manière distincte pour chaque contrôleur de domaine en lecture seule ; chacun d’eux dispose d’un ensemble spécifique de comptes d’utilisateurs et d’ordinateurs qu’il est autorisé à mettre en cache. Cet exemple s’applique le plus souvent à un ensemble d’utilisateurs qui travaillent à un emplacement physique particulier.

L’avantage est qu’un ensemble d’utilisateurs sera en mesure d’ouvrir une session sur le réseau et d’être authentifié par le contrôleur de domaine en lecture seule dans la filiale si le réseau étendu est hors connexion. Parallèlement, le champ d’exposition des mots de passe est limité par le nombre réduit d’utilisateurs dont le mot de passe peut être mis en cache.

Il n’y a aucune charge administrative associée au remplissage de la Liste autorisée et de la Liste refusée dans cet exemple. Il n’existe aucune méthode automatisée par défaut permettant de lire les comptes dans la liste connue d’entités de sécurité qui se sont authentifiées auprès d’un contrôleur de domaine en lecture seule spécifique, et il n’existe aucune méthode par défaut permettant de remplir la Liste autorisée avec ces comptes. Vous pouvez utiliser la commande repadmin /prp move pour déplacer ces comptes vers un groupe figurant dans la Liste autorisée, ou utiliser des scripts ou des applications telles que ILM pour générer un processus.

Bien qu’il soit possible d’ajouter des comptes d’utilisateurs ou d’ordinateurs directement à la Liste autorisée, il est plutôt conseillé de créer un groupe de sécurité pour chaque contrôleur de domaine en lecture seule, de l’ajouter à la Liste autorisée, puis d’ajouter des comptes d’utilisateurs et d’ordinateurs au groupe de sécurité. De cette façon, vous pouvez utiliser des outils de gestion de groupes standard tels que le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory ou les outils en ligne de commande Dsadd et Dsmod pour gérer les comptes qui peuvent être mis en cache sur le contrôleur de domaine en lecture seule.

La commande repadmin /prp move nécessite de spécifier un groupe de sécurité. Si le groupe de sécurité que vous spécifiez n’existe pas, elle le crée et l’ajoute à la Liste autorisée.

Comme dans l’exemple précédent, vous devez également ajouter les comptes d’ordinateurs appropriés à la Liste autorisée.


Table des matières