Buforowanie poświadczeń
Buforowanie poświadczeń polega na przechowywaniu poświadczeń użytkownika lub komputera. Domyślnie kontroler domeny tylko do odczytu (RODC) nie przechowuje poświadczeń użytkowników ani poświadczeń komputerów z wyjątkiem własnego konta komputera i specjalnego konta krbtgt przeznaczonego dla danego kontrolera. Administrator musi jawnie zezwolić na buforowanie innych poświadczeń przez kontroler RODC.
Zasady replikacji haseł
Po początkowym wdrożeniu kontrolera RODC należy skonfigurować zasady replikacji haseł (PRP) na zapisywalnym kontrolerze domeny, który będzie jego partnerem replikacji. Zasady replikacji haseł działają jak lista kontroli dostępu (ACL). Określają, czy kontroler RODC może buforować poświadczenia konta. Po otrzymaniu żądania zalogowania od użytkownika lub komputera kontroler RODC podejmuje próbę replikacji poświadczeń tego konta z zapisywalnego kontrolera domeny z systemem Windows Server 2008 lub Windows Server 2008 R2. Zapisywalny kontroler domeny sprawdza zasady replikacji haseł, aby ustalić, czy poświadczenia konta powinny być buforowane. Jeśli zasady replikacji haseł zezwalają na buforowanie konta, zapisywalny kontroler domeny z systemem Windows Server 2008 replikuje poświadczenia tego konta na kontroler RODC, który je buforuje. Podczas kolejnych logowań na to konto kontroler RODC może uwierzytelniać konto przy użyciu buforowanych poświadczeń. Kontroler RODC nie musi kontaktować się z zapisywalnym kontrolerem domeny.
Listy elementów dozwolonych i zabronionych w zasadach replikacji haseł
W domenach usługi Active Directory w systemach Windows Server 2008 i Windows Server 2008 R2 istnieją dwie grupy wbudowane, przeznaczone do obsługi operacji z użyciem kontrolerów RODC. Są to następujące grupy: grupa, dla której jest dozwolona replikacja haseł na kontrolerach RODC domeny, oraz grupa, dla której nie jest dozwolona replikacja haseł na kontrolerach RODC domeny. Te grupy ułatwiają implementację domyślnej listy elementów z dozwoloną replikacją haseł i domyślnej listy elementów z zabronioną replikacją haseł w zasadach replikacji haseł na kontrolerach RODC.
Domyślnie grupa, dla której jest dozwolona replikacja haseł na kontrolerach RODC domeny, zawiera następujące elementy członkowskie:
-
Kontrolery domeny przedsiębiorstwa
-
Kontrolery domeny tylko do odczytu na poziomie organizacji
-
Twórcy-właściciele zasad grupy
-
Administratorzy domeny
-
Wydawcy certyfikatów
-
Administratorzy przedsiębiorstwa
-
Administratorzy schematu
-
Konto krbtgt dla całej domeny
Domyślnie atrybut Lista elementów zabronionych zawiera następujące podmioty zabezpieczeń, które są grupami wbudowanymi:
-
Grupa, dla której nie jest dozwolona replikacja haseł na kontrolerach RODC domeny
-
Operatorzy kont
-
Operatorzy serwerów
-
Operatorzy kopii zapasowych
-
Administratorzy
Czyszczenie buforowanych haseł
Nie istnieje mechanizm umożliwiający wyczyszczenie buforowanych haseł dla danego użytkownika na kontrolerze RODC. Aby wyczyścić hasło przechowywane na kontrolerze RODC, administrator musi zresetować to hasło w lokacji serwera centralnego. W ten sposób hasło buforowane w oddziale nie będzie już umożliwiać dostępu do wszelkich zasobów w lokacji serwera centralnego i innych oddziałach. W przypadku złamania zabezpieczeń kontrolera RODC należy zresetować hasła, które są obecnie buforowane, a następnie odbudować dany kontroler.