자격 증명 캐시
자격 증명 캐시는 사용자 또는 컴퓨터 자격 증명의 저장소입니다. 기본적으로 RODC(읽기 전용 도메인 컨트롤러)는 자체 컴퓨터 계정 및 해당 RODC용 특정 krbtgt 계정을 제외한 컴퓨터 자격 증명 또는 사용자 자격 증명을 저장하지 않습니다. 사용자가 명시적으로 해당 RODC에서 다른 자격 증명이 캐시되도록 허용해야 합니다.
암호 복제 정책
RODC를 처음 배포할 때는 복제 파트너가 될 쓰기 가능한 도메인 컨트롤러에 PRP(암호 복제 정책)을 구성해야 합니다. PRP는 ACL(액세스 제어 목록)로 사용되며 RODC에서 계정에 대한 자격 증명을 캐시하도록 허용할지 여부를 결정합니다. RODC는 사용자 또는 컴퓨터 로그온 요청을 받은 후 쓰기 가능한 Windows Server 2008 또는 Windows Server 2008 R2 도메인 컨트롤러에서 해당 계정에 대한 자격 증명을 복제하려고 시도합니다. 쓰기 가능한 도메인 컨트롤러는 PRP를 참조하여 해당 계정에 대한 자격 증명을 캐시해야 하는지 확인합니다. PRP에서 계정을 캐시하도록 허용하면 쓰기 가능한 Windows Server 2008 도메인 컨트롤러가 해당 계정에 대한 자격 증명을 RODC로 복제한 다음 RODC가 해당 자격 증명을 캐시합니다. 해당 계정에 대한 이후 로그온 중에 RODC는 캐시된 자격 증명을 참조하여 계정을 인증할 수 있습니다. RODC는 쓰기 가능한 도메인 컨트롤러에 연결할 필요가 없습니다.
PRP 허용 목록 및 거부 목록
두 개의 기본 제공 그룹이 RODC 작업을 지원하기 위해 Windows Server 2008 및 Windows Server 2008 R2 Active Directory 도메인에 제공됩니다. Domain RODC Password Replication Allowed Group과 Domain RODC Password Replication Denied Group이 이러한 기본 제공 그룹입니다. 이러한 그룹을 통해 RODC 암호 복제 정책에 대해 기본 허용 목록 및 거부 목록을 구현할 수 있습니다.
기본적으로 Domain RODC Password Replication Denied Group에는 다음 구성원이 포함됩니다.
-
Enterprise Domain Controllers
-
Enterprise Read-Only Domain Controllers
-
Group Policy Creator Owners
-
Domain Admins
-
Cert Publishers
-
Enterprise Admins
-
Schema Admins
-
Domain-wide krbtgt account
기본적으로 거부 목록 특성에는 다음 보안 주체가 포함되며, 모두 기본 제공 그룹입니다.
-
Domain RODC Password Replication Denied Group
-
Account Operators
-
Server Operators
-
Backup Operators
-
Administrators
캐시된 암호 지우기
RODC의 지정된 사용자에 대해 캐시된 암호를 지울 수 있는 메커니즘은 없습니다. RODC에 저장된 암호를 지우려면 관리자가 허브 사이트에서 암호를 다시 설정해야 합니다. 이러한 방식으로 지점에 캐시된 암호를 더 이상 허브 사이트 또는 다른 지점의 리소스에 액세스하는 데 사용할 수 없게 됩니다. RODC가 손상될 경우 현재 캐시된 암호를 다시 설정한 다음 RODC를 다시 만들어야 합니다.