Mise en cache des informations d’identification

Cette opération consiste à stocker les informations d’identification de l’utilisateur ou de l’ordinateur. Par défaut, un contrôleur de domaine en lecture seule (RODC) ne stocke pas d’informations d’identification d’utilisateur ou d’ordinateur, sauf celles de son propre compte d’ordinateur et d’un compte krbtgt spécial pour ce contrôleur de domaine en lecture seule. Vous devez autoriser explicitement la mise en cache sur ce contrôleur de domaine en lecture seule de toutes les autres informations d’identification.

Stratégie de réplication de mot de passe

Lorsque vous déployez initialement un contrôleur de domaine en lecture seule, vous devez configurer la Stratégie de réplication de mot de passe sur le contrôleur de domaine inscriptible qui sera son partenaire de réplication. Cette stratégie fonctionne comme une liste de contrôle d’accès (ACL). Elle détermine si un contrôleur de domaine en lecture seule est autorisé à mettre en cache les informations d’identification d’un compte. Après avoir reçu une demande d’ouverture de session d’un utilisateur ou d’un ordinateur, le contrôleur de domaine en lecture seule tente de répliquer les informations d’identification de ce compte à partir d’un contrôleur de domaine Windows Server 2008 ou Windows Server 2008 R2 inscriptible. Le contrôleur de domaine inscriptible se réfère à la Stratégie de réplication de mot de passe pour déterminer si les informations d’identification du compte doivent être mises en cache. Si la Stratégie de réplication de mot de passe autorise la mise en cache du compte, le contrôleur de domaine Windows Server 2008 inscriptible réplique les informations d’identification de ce compte sur le contrôleur de domaine en lecture seule qui les met en cache. Lors des ouvertures de session suivantes pour ce compte, le contrôleur de domaine en lecture seule peut authentifier ce dernier en se référant aux informations d’identification qu’il a mises en cache. Il n’est pas obligé pour cela de contacter le contrôleur de domaine inscriptible.

Listes Autorisée et Refusée de la Stratégie de réplication de mot de passe

Deux groupes intégrés sont présents dans les domaines Active Directory Windows Server 2008 et Windows Server 2008 R2 pour prendre en charge les opérations de contrôleur de domaine en lecture seule. Il s’agit du groupe Réplication de mot de passe RODC autorisée et du groupe Réplication de mot de passe RODC refusée. Ces groupes implémentent une liste Autorisée et une liste Refusée par défaut pour la Stratégie de réplication de mot de passe RODC.

Par défaut, le groupe Réplication de mot de passe RODC refusée contient les membres suivants :

  • Enterprise Domain Controllers

  • Contrôleurs de domaine d’entreprise en lecture seule

  • Propriétaires créateurs de la stratégie de groupe

  • Admins du domaine

  • Éditeurs de certificats

  • Administrateurs de l’entreprise

  • Administrateurs du schéma

  • Compte krbtgt de l’ensemble du domaine

Par défaut, l’attribut Liste refusée contient les entités de sécurité suivantes qui correspondent toutes à des groupes intégrés :

  • Groupe Réplication de mot de passe RODC refusée

  • Opérateurs de compte

  • Opérateurs de serveur

  • Opérateurs de sauvegarde

  • Administrateurs

Effacement des mots de passe mis en cache

Il n’existe aucun mécanisme permettant d’effacer le mot de passe mis en cache pour un utilisateur donné sur un contrôleur de domaine en lecture seule. Si vous voulez effacer un mot de passe qui est stocké sur un contrôleur de domaine en lecture seule, un administrateur doit réinitialiser le mot de passe dans le site concentrateur. De cette façon, le mot de passe mis en cache dans la succursale ne sera plus valide pour accéder aux ressources du site concentrateur ou d’autres succursales. Si un contrôleur de domaine en lecture seule est compromis, réinitialisez les mots de passe actuellement mis en cache et reconstruisez le contrôleur de domaine en lecture seule.

Références supplémentaires


Table des matières