Referenties in cache opslaan
U kunt referenties in de cache opslaan om gebruikers- of computerreferenties te bewaren. Een alleen-lezen domeincontroller (RODC) slaat standaard geen gebruikers- of computerreferenties op, behalve het eigen computeraccount en een speciaal krbtgt-account voor die domeincontroller. Als u andere referenties in de cache op die domeincontroller wilt opslaan, moet u dit uitdrukkelijk toestaan.
Wachtwoordreplicatiebeleid
Wanneer u een alleen-lezen domeincontroller implementeert, moet u het wachtwoordreplicatiebeleid configureren op de beschrijfbare domeincontroller die als replicatiepartner zal fungeren. Het wachtwoordreplicatiebeleid fungeert als toegangsbeheerlijst (ACL). Hiermee wordt bepaald of referenties voor een account in de cache van een RODC mogen worden geplaatst. Als de RODC een aanmeldingsverzoek van een gebruiker of een computer ontvangt, wordt geprobeerd de referenties voor dat account te repliceren vanaf een beschrijfbare domeincontroller met Windows Server 2008 of Windows Server 2008 R2. De beschrijfbare domeincontroller raadpleegt het wachtwoordreplicatiebeleid om te bepalen of de referenties voor het account in de cache moeten worden geplaatst. Als het account volgens het wachtwoordreplicatiebeleid in de cache mag worden geplaatst, repliceert de beschrijfbare Windows Server 2008-domeincontroller de referenties voor dat account naar de RODC waar ze in de cache worden geplaatst. Tijdens latere aanmeldingen voor dat account kan de RODC het account verifiëren met de referenties in de cache. De RODC hoeft geen contact op te nemen met de beschrijfbare domeincontroller.
Lijsten 'Toegestaan' en 'Geweigerd' voor wachtwoordreplicatiebeleid
In Active Directory-domeinen van Windows Server 2008 en Windows Server 2008 R2 zijn twee ingebouwde groepen aanwezig die bewerkingen van ROCD's ondersteunen: de Groep voor replicatie van wachtwoorden toegestaan op alleen-lezen domeincontrollers in het domein en de Groep voor replicatie van wachtwoorden geweigerd op alleen-lezen domeincontrollers in het domein. Deze groepen implementeren een standaardlijst 'Toegestaan' en 'Geweigerd' voor het wachtwoordreplicatiebeleid van de alleen-lezen domeincontroller.
De groep voor replicatie van wachtwoorden geweigerd op alleen-lezen domeincontrollers in het domein bevat standaard de volgende leden:
-
Ondernemingsdomeincontrollers
-
Ondernemingsdomeincontrollers (alleen-lezen)
-
Maker Eigenaar Groepsbeleid
-
Domeinadministrators
-
Certificaatuitgevers
-
Ondernemingsadministrators
-
Schema-administrators
-
Krbtgt-account voor het hele domein
Het kenmerk Lijst 'Geweigerd' bevat standaard de volgende beveiligings-principals, die alle ingebouwde groepen zijn:
-
Groep voor replicatie van wachtwoorden geweigerd op alleen-lezen domeincontrollers in het domein
-
Accountoperators
-
Serveroperators
-
Back-upoperators
-
Administrators
Wachtwoorden in de cache wissen
Er is geen methode om het wachtwoord van een bepaalde gebruiker op een RODC uit de cache te wissen. Als u een wachtwoord wilt wissen dat op een RODC is opgeslagen, moet een beheerder het wachtwoord opnieuw instellen in de hubsite. Het wachtwoord dat in de cache van het filiaal is opgeslagen, is dan niet meer geldig voor toegang tot bronnen in de hubsite of in andere filialen. Als een RODC gevaar loopt, stelt u de huidige wachtwoorden in de cache opnieuw in en bouwt u de RODC opnieuw op.