Jelszavak előfeltöltése

A hitelesítő adatok gyorsítótárazása a felhasználó vagy számítógép hitelesítő adatainak eltárolását jelenti. Alapértelmezés szerint egy írásvédett tartományvezérlő (RODC) kizárólag a saját számítógépfiókja, valamint egy a tartományvezérlőhöz tartozó speciális írásvédett krbtgt fiók számára tárol hitelesítő adatokat. Minden más hitelesítő adat esetében külön kell engedélyeznie a gyorsítótárazást ezen az írásvédett tartományvezérlőn.

Amikor kezdetben telepít egy írásvédett tartományvezérlőt, be kell állítania a jelszó-replikációs házirendet (PRP) az írható tartományvezérlőn, amely replikációs partnerként fog szolgálni. A jelszó-replikációs házirend hozzáférés-vezérlési listaként (ACL) viselkedik. Meghatározza, hogy az írásvédett tartományvezérlőn engedélyezve legyen-e a hitelesítő adatok gyorsítótárazása. Amikor az írásvédett tartományvezérlő felhasználói vagy számítógépes bejelentkezési kérelmet kap, megkísérli replikálni a fiókhoz tartozó hitelesítő adatokat egy írható Windows Server 2008- vagy Windows Server 2008 R2-tartományvezérlőről. Az írható tartományvezérlő a jelszó-replikációs házirend alapján határozza meg, hogy gyorsítótárazni kell-e a fiókhoz tartozó hitelesítő adatokat. Ha a jelszó-replikációs házirend engedélyezi a fiók gyorsítótárazását, az írható Windows Server 2008-tartományvezérlő replikálja a fiókhoz tartozó hitelesítő adatokat az írásvédett tartományvezérlőre, amely azután gyorsítótárazza a hitelesítő adatokat. A fiókba történő további bejelentkezések alkalmával az írásvédett tartományvezérlő a gyorsítótárazott hitelesítő adatok alapján tudja hitelesíteni a fiókot. Az írásvédett tartományvezérlőnek nem kell kapcsolatba lépnie az írható tartományvezérlővel.

Két új beépített csoport áll rendelkezésre a Windows Server 2008 és Windows Server 2008 R2 Active Directory tartományokban az írásvédett tartományvezérlő műveleteinek támogatására. Ezek a beépített csoportok A tartomány írásvédett tartományvezérlőivel való jelszó-replikációra felhatalmazottak csoportja és A tartomány írásvédett tartományvezérlőivel való jelszó-replikációra fel nem hatalmazottak csoportja. Ezek a csoportok segítik egy alapértelmezett engedélyezési lista és tiltó lista megvalósulását az írásvédett tartományvezérlő jelszó-replikációs házirendjében.

Alapértelmezés szerint A tartomány írásvédett tartományvezérlőivel való jelszó-replikációra fel nem hatalmazottak csoportja a következő elemeket tartalmazza:

• Vállalati tartományvezérlők
  
  
• Írásvédett vállalati tartományvezérlők
  
  
• Csoportházirend-létrehozó tulajdonosok
  
  
• Tartománygazdák
  
  
• Tanúsítványközzétevők
  
  
• Vállalati rendszergazdák
  
  
• Sémafelelősök
  
  
• Tartományi szintű krbtgt fiók
  
  

Alapértelmezés szerint az elutasítottak listájának attribútuma a következő rendszerbiztonsági tagokat tartalmazza, amelyek közül mindegyik beépített csoport:

• A tartomány írásvédett tartományvezérlőivel való jelszó-replikációra fel nem hatalmazottak csoportja
  
  
• Fiókfelelősök
  
  
• Kiszolgálófelelősök
  
  
• Biztonságimásolat-felelősök
  
  
• Rendszergazdák
  
  

Nincs mechanizmus egy adott felhasználó gyorsítótárazott jelszavának törlésére írásvédett tartományvezérlőn. Ha törölni szeretne egy írásvédett tartományvezérlőn tárolt jelszót, akkor a rendszergazdának kell alaphelyzetbe állítania a jelszót a központi helyen. Így a fiókhelyen gyorsítótárazott jelszóval már nem érhetők el a központi helyen és a fiókhelyeken lévő erőforrások. Az írásvédett tartományvezérlő sérülése esetén állítsa vissza az aktuálisan gyorsítótárazott jelszavakat, majd építse újra fel az írásvédett tartományvezérlőt.

• Az Active Directory – felhasználók és számítógépek felhasználói felülete