De pagina Wachtwoordreplicatiebeleid opgeven verschijnt in de wizard Active Directory Domain Services installeren als u een account voor een alleen-lezen domeincontroller maakt. Dit gebeurt echter alleen als u het selectievakje Installatie in de geavanceerde modus gebruiken inschakelt op de welkomstpagina van de wizard Active Directory Domain Services installeren.

De werking van het wachtwoordreplicatiebeleid

Het wachtwoordreplicatiebeleid bepaalt hoe een alleen-lezen domeincontroller referenties in de cache opslaat. U kunt referenties in de cache opslaan om gebruikers- of computerreferenties te bewaren.

Wanneer gebruikers of computers in een site die door een RODC wordt verwerkt, het domein proberen te verifiëren, kan de RODC hun referenties standaard niet valideren. De RODC stuurt de verificatieaanvraag door naar een beschrijfbare domeincontroller. Er kunnen echter beveiligings-principals zijn die moeten kunnen verifiëren in een site die door een RODC wordt verwerkt, zelfs wanneer deze geen verbinding hebben met beschrijfbare domeincontrollers.

U hebt bijvoorbeeld een aantal gebruikers en computers in een filiaal die u wilt laten verifiëren, zelfs als er geen verbinding is tussen het filiaal en de sites die beschrijfbare domeincontrollers bevatten. U kunt dit probleem oplossen door het wachtwoordreplicatiebeleid voor die RODC zodanig te configureren dat de wachtwoorden voor die gebruikers in de cache op de RODC worden geplaatst. Als de accountwachtwoorden in de cache op de RODC staan, kan de RODC die accounts verifiëren wanneer er geen verbinding is met beschrijfbare domeincontrollers.

Het wachtwoordreplicatiebeleid fungeert als ACL (Access Control List). Hiermee wordt bepaald of referenties voor een account in de cache van een RODC mogen worden geplaatst. Als de RODC een aanmeldingsverzoek van een gebruiker of een computer ontvangt, wordt geprobeerd de referenties voor dat account te repliceren vanaf een beschrijfbare domeincontroller waarop Windows Server 2008 of Windows Server 2008 R2 wordt uitgevoerd. De beschrijfbare domeincontroller raadpleegt het wachtwoordreplicatiebeleid om te bepalen of de referenties voor het account in de cache moeten worden geplaatst. Als het account volgens het wachtwoordreplicatiebeleid in de cache mag worden geplaatst, repliceert de beschrijfbare domeincontroller de referenties voor dat account naar de RODC waar ze in de cache worden geplaatst. Tijdens latere aanmeldingen voor dat account kan de RODC het account verifiëren met de referenties in de cache. De RODC hoeft geen contact op te nemen met de beschrijfbare domeincontroller.

Het geldende wachtwoordreplicatiebeleid

Het wachtwoordreplicatiebeleid wordt gedefinieerd door twee Active Directory-kenmerken met meerdere waarden die beveiligings-principals (gebruikers, computers en groepen) bevatten. Elk computeraccount van een alleen-lezen domeincontroller heeft deze twee kenmerken:

  • msDS-Reveal-OnDemandGroup, ook bekend als de lijst 'Toegestaan'

  • msDS-NeverRevealGroup, ook bekend als de lijst 'Geweigerd'

Voor het beheer van het wachtwoordreplicatiebeleid worden voor elke RODC twee andere kenmerken onderhouden die betrekking hebben op het wachtwoordreplicatiebeleid:

  • msDS-RevealedList, ook bekend als de lijst 'Onthuld'

  • msDS-AuthenticatedToAccountList, ook bekend als de lijst 'Geverifieerd met'

Met het kenmerk msDS-Reveal-OnDemandGroup wordt opgegeven voor welke beveiligings-principals wachtwoorden in de cache op een RODC kunnen worden geplaatst. Dit kenmerk heeft standaard één waarde, namelijk Allowed RODC Password Replication Group. Omdat deze lokale domeingroep standaard geen leden heeft, kunnen standaard geen accountwachtwoorden in de cache van een RODC worden geplaatst.

In deze sectie wordt uitgelegd hoe de kenmerken lijst 'Toegestaan', lijst 'Geweigerd', lijst 'Onthuld' en lijst 'Geverifieerd met' worden gebruikt.

Als een alleen-lezen domeincontroller een aanvraag doet om het wachtwoord van een gebruiker te repliceren, staat de beschrijfbare Windows Server 2008-domeincontroller waarmee de alleen-lezen domeincontroller contact opneemt de aanvraag toe of weigert deze. Om de aanvraag toe te staan of te weigeren, onderzoekt de beschrijfbare domeincontroller de waarden van de lijst 'Toegestaan' en de lijst 'Geweigerd' voor de alleen-lezen domeincontroller die de aanvraag doet.

Als het account waarvan het wachtwoord door de alleen-lezen domeincontroller wordt aangevraagd zich in de lijst 'Toegestaan' (en niet in de lijst 'Geweigerd') bevindt voor die alleen-lezen domeincontroller, wordt de aanvraag toegestaan.

De volgende illustratie laat zien hoe deze bewerking in zijn werk gaat.

Proces voor toepassen van een wachtwoordreplicatiebeleid

De lijst 'Geweigerd' heeft voorrang op de lijst 'Toegestaan'.

Stel dat een organisatie een beveiligingsgroep voor beheerders heeft met de naam Beheerders. De organisatie heeft één site met de naam S1 en een beveiligingsgroep met de naam Werkn_S1 die werknemers op de site bevat. De organisatie heeft nog een site met de naam S2 en een beveiligingsgroep met de naam Werkn_S2 die werknemers op de site bevat.

Site S2 heeft alleen een alleen-lezen domeincontroller. Robert is een beheerder die op site S2 werkt. Daarom behoort hij zowel tot de groep Werkn_S2 en Beheerders. Als de alleen-lezen domeincontroller op site S2 is geïnstalleerd, worden de beveiligingsgroepen die zijn vermeld in de volgende tabel, toegevoegd aan het wachtwoordreplicatiebeleid.

Beveiligingsgroep Instellingen van wachtwoordreplicatiebeleid

Beheerders

Geweigerd

Werkn_S2

Toegestaan

Overeenkomstig het opgegeven beleid zijn de referenties die in de cache kunnen worden opgeslagen op de alleen-lezen domeincontroller op site S2 alleen de referenties van de groep Werkn_S2 die niet tot de groep Beheerders behoren. Van leden van de groepen Werkn_S1 en Beheerders worden de referenties nooit in de cache opgeslagen op de alleen-lezen domeincontroller. Van leden van de groepen Werkn_S2 kunnen de referenties in de cache worden opgeslagen op de alleen-lezen domeincontroller. De referenties van Robert worden nooit opgeslagen op de alleen-lezen domeincontroller.

Standaardinstellingen van wachtwoordreplicatiebeleid

Elke alleen-lezen domeincontroller heeft een wachtwoordreplicatiebeleid waarin wordt gedefinieerd van welke accounts de wachtwoorden naar de alleen-lezen domeincontroller mogen worden gerepliceerd en van welke accounts expliciet wordt geweigerd de wachtwoorden naar de alleen-lezen domeincontroller te repliceren. Met het wachtwoordbeleid worden de groepen en instellingen in de volgende tabel opgegeven.

Groepsnaam Instellingen van wachtwoordreplicatiebeleid

Beheerders

Weigeren

Serveroperators

Weigeren

Back-upoperators

Weigeren

Accountoperators

Weigeren

Groep voor replicatie van wachtwoorden geweigerd op alleen-lezen domeincontrollers

Weigeren

Groep voor replicatie van wachtwoorden toegestaan op alleen-lezen domeincontrollers

Toestaan

De groep voor replicatie van wachtwoorden geweigerd op alleen-lezen domeincontrollers heeft standaard de volgende domeinaccountleden:

  • Certificaatuitgevers

  • Domeinadministrators

  • Ondernemingsadministrators

  • Ondernemingsdomeincontrollers

  • Ondernemingsdomeincontrollers (alleen-lezen)

  • Maker Eigenaar Groepsbeleid

  • krbtgt

  • Schema-administrators

De groep voor replicatie van wachtwoorden toegestaan op alleen-lezen domeincontrollers heeft standaard geen leden.

Het standaardwachtwoordreplicatiebeleid verbetert de beveiliging van de installatie van een alleen-lezen domeincontroller door ervoor te zorgen dat er standaard geen accountwachtwoorden worden opgeslagen en dat beveiligingsgevoelige accounts (zoals leden van de groep Domeinadministrators) expliciet wordt geweigerd ooit hun wachtwoorden op te slaan op de alleen-lezen domeincontroller.

Het standaardwachtwoordreplicatiebeleid wijzigen

U kunt het standaardwachtwoordreplicatiebeleid wijzigen als u een account voor de alleen-lezen domeincontroller maakt of nadat het account voor de alleen-lezen domeincontroller is gemaakt. Als u het standaardwachtwoordreplicatiebeleid wilt wijzigen nadat het account voor de alleen-lezen domeincontroller is gemaakt, klikt u met de rechtermuisknop in de organisatie-eenheid Domeincontrollers in module Active Directory: gebruikers en computers, klikt u op Eigenschappen en klikt u vervolgens op het tabblad Wachtwoordreplicatiebeleid. (Klik op Start, wijs Systeembeheer aan en klik op Active Directory - gebruikers en computers om de module Active Directory - gebruikers en computers te openen.)

Als u accounts wilt toevoegen aan het standaardwachtwoordreplicatiebeleid wanneer u een account voor een alleen-lezen domeincontroller maakt, klikt u op Toevoegen op de wizardpagina Wachtwoordreplicatiebeleid opgeven en geeft u vervolgens op of het opslaan van wachtwoorden voor het account op de alleen-lezen domeincontroller wordt toegestaan of geweigerd. Selecteer vervolgens in het dialoogvenster Gebruikers, computers of groepen selecteren de accounts die u wilt toevoegen.

U moet de juiste gebruikers-, computer- en serviceaccounts in het wachtwoordreplicatiebeleid opnemen om de RODC toe te staan lokaal aan verificatie- en serviceticketaanvragen te voldoen. Als u de computeraccounts waarmee de gebruikers in filialen zich aanmelden bij het netwerk niet opneemt in de lijst 'Toegestaan', kan de alleen-lezen domeincontroller niet lokaal voldoen aan aanvragen voor servicetickets. De alleen-lezen domeincontroller vertrouwt dan op toegang tot een beschrijfbare -domeincontroller om te voldoen aan deze aanvragen. Als het WAN (Wide Area Network) offline is, kan dit een servicestoring veroorzaken.

De instelling Weigeren heeft voorrang op de instelling Toestaan. Als beide instellingen zijn opgegeven voor een bepaalde gebruiker, hetzij rechtstreeks, hetzij indirect omdat de gebruiker lid is van een beveiligingsgroep die is opgegeven (of genest binnen een opgegeven beveiligingsgroep), kan het wachtwoord van de gebruiker niet op de alleen-lezen domeincontroller worden opgeslagen. Het is echter van belang op te merken dat een gebruiker waarvan het wachtwoord niet kan worden opgeslagen op de alleen-lezen domeincontroller de alleen-lezen domeincontroller nog steeds kan gebruiken om zich aan te melden als de WAN-verbinding met een beschrijfbare domeincontroller beschikbaar is. Het wachtwoord voor de gebruiker wordt niet gerepliceerd naar de alleen-lezen domeincontroller, maar de aanmelding kan worden geverifieerd door de beschrijfbare domeincontroller via het WAN.

In de volgende tabel worden de voordelen en de nadelen van drie configuratievoorbeelden voor een wachtwoordreplicatiebeleid beschreven.

Voorbeeld Voordelen Nadelen

Geen accounts in cache (standaard)

Veiligste configuratie. Gebruikers worden geverifieerd door een beschrijfbare domeincontroller en krijgen hun groepsbeleid van de RODC zodat het beleid snel kan worden verwerkt.

Offlinetoegang voor geen enkele gebruiker; WAN vereist voor aanmelding

Meeste accounts in cache

Gemakkelijk wachtwoordbeheer. Deze optie is bedoel voor organisaties die verbeteringen in het beheer van RODC's belangrijker vinden dan beveiliging.

Mogelijk worden meer wachtwoorden blootgesteld aan RODC.

Weinig accounts in cache

Maakt offlinetoegang mogelijk voor gebruikers die dit nodig hebben, maar biedt meer beveiliging dan wanneer de meeste accounts in cache worden geplaatst.

Voor deze methode is meer gedetailleerd beheer vereist. Het is mogelijk dat u gebruikers en computers moet toewijzen aan elk filiaal dat een RODC heeft. Mogelijk moet u ook hulpprogramma's, zoals repadmin /prp, gebruiken om accounts die bij een RODC zijn geverifieerd te verplaatsen naar een groep in de lijst 'Toegestaan' of moet u dat proces automatiseren met ILM (Identity Lifecycle Manager).

Elk voorbeeld wordt in de volgende secties gedetailleerd beschreven.

Geen accounts in cache.

Dit is de veiligste optie. Er worden geen wachtwoorden gerepliceerd naar de RODC, met uitzondering van het computeraccount van de RODC en het bijbehorende speciale krbtgt-account. Verificatie van gebruikers en computers is echter afhankelijk van beschikbaarheid van het WAN. Deze optie heeft het voordeel dat weinig of geen aanvullende beheerdersconfiguratie is vereist naast de standaardinstellingen.

U kunt uw eigen beveiligingsgevoelige gebruikersgroepen toevoegen aan de lijst 'Geweigerd'. Hoewel er standaard geen accounts in de cache worden geplaatst, kunt u uw eigen eigen beveiligingsgevoelige gebruikersgroepen aan de lijst 'Geweigerd' toevoegen om te voorkomen dat ze per ongeluk in de lijst 'Toegestaan' worden opgenomen en hun wachtwoorden in de cache van de RODC worden geplaatst.

Let erop dat het gedelegeerde RODC-administratoraccount niet automatisch wordt toegevoegd aan de lijst 'Toegestaan'. U kunt het beste het gedelegeerde RODC-administratoraccount aan de lijst 'Toegestaan' toevoegen om te zorgen dat een gedelegeerde beheerder zich altijd bij de RODC kan aanmelden, ook als er geen WAN-verbinding met een beschrijfbare domeincontroller beschikbaar is.

Meeste accounts in cache

Hierbij is het beheer het eenvoudigst en is de verificatie van gebruikers eb computers volstrekt niet afhankelijk van de beschikbaarheid van een WAN-verbinding. U vult de lijst 'Toegestaan' voor alle RODC's met groepen die een aanzienlijk deel van alle gebruikers en computers vertegenwoordigen. Wachtwoorden van beveiligingsgevoelige gebruikersgroepen, zoals Domeinadminstrators, in de lijst 'Geweigerd' mogen niet in de cache worden geplaatst. De meeste gebruikers kunnen hun wachtwoorden op aanvraag laten opslaan in de cache. U kunt uw eigen beveiligingsgevoelige gebruikersgroepen toevoegen aan de lijst 'Geweigerd'.

Deze configuratie is het meest geschikt in een omgeving waarbij de fysieke veiligheid van de RODC niet in het geding komt. U kunt het wachtwoordverificatiebeleid bijvoorbeeld op deze manier configureren voor een RODC die u hebt geïmplementeerd op een beveiligde locatie om in eerste instantie te profiteren van de verminderde vereisten voor replicatie en beheer.

Belangrijk

U moet de computeraccounts van de gebruikers ook toevoegen aan de lijst 'Toegestaan', zodat die gebruikers zich in het filiaal kunnen aanmelden als het WAN offline is.

Weinig accounts in cache

Hierbij wordt het aantal accounts beperkt dat in de cache kan worden opgeslagen. Normaal gesproken definieert u dit voor elke RODC afzonderlijk gedefinieerd: elke RODC heeft een andere set gebruikers- en computeraccounts die in de cache mag worden opgeslagen. Dit geldt gewoonlijk voor een verzameling gebruikers die op een bepaalde fysieke locatie werken.

Het voordeel hiervan is dat een verzameling gebruikers zich bij het netwerk kan aanmelden en door de RODC kan worden geverifieerd in het filiaal als het WAN offline is. Tegelijkertijd is het beveiligingsrisicio voor wachtwoorden beperkt door het verlaagde aantal gebruikers waarvan de wachtwoorden in de cache kunnen worden opgeslagen.

Aan deze optie zijn echter wel aanvullende taken verbonden voor beheerders, voor het vullen van de lijst 'Toegestaan' en de lijst 'Geweigerd'. Er is geen automatische standaardmethode om accounts te lezen uit de bekende lijst met beveiligings-principals die zijn geverifieerd voor een bepaalde RODC en er is geen standaardmethode om de lijst 'Toegestaan' te vullen met deze accounts. U kunt de opdracht repadmin /prp move gebruiken om deze accounts te verplaatsen naar een groep in de lijst 'Toegestaan' of scripts of toepassingen zoals ILM gebruiken om een proces te maken.

Hoewel u gebruikers- en computeraccounts rechtstreeks aan de lijst 'Toegestaan' kunt toevoegen, moet u in plaats daarvan een beveiligingsgroep maken voor elke RODC, deze aan de lijst 'Toegestaan' toevoegen en vervolgens gebruikers- en computeraccounts aan de beveiligingsgroep toevoegen. Op die manier kunt u met standaardhulpprogramma's voor groepsbeheer, zoals de module Active Directory: gebruikers en computers of de opdrachtregelprogramma's Dsadd en Dsmod beheren welke accounts in de cache van de RODC kunnen worden geplaatst.

Voor de opdracht repadmin /prp move moet u een beveiligingsgroep opgeven. Als de beveiligingsgroep die u opgeeft niet bestaat, wordt deze groep gemaakt en aan de lijst 'Toegestaan' toegevoegd.

Net als bij de vorige optie moet u ook de juiste computeraccounts aan de lijst 'Toegestaan'' toevoegen.


Inhoudsopgave