A página de assistente Especificar a Política de Replicação de Palavras-passe no Assistente de Instalação dos Serviços de Domínio do Active Directory é apresentada quando é criada uma conta de controlador de domínio só de leitura (RODC), mas apenas se for seleccionada a caixa de verificação Utilizar instalação no modo avançado na página Bem-vindo ao Assistente de Instalação dos Serviços de Domínio do Active Directory no assistente.
Modo de funcionamento da Política de Replicação de Palavras-passe
A Política de Replicação de Palavras-passe (PRP) determina a forma como um RODC coloca credenciais em cache. A colocação de credenciais em cache consiste no armazenamento de credenciais de utilizador ou computador.
Quando os utilizadores ou computadores num local que é assistido por um RODC tentam autenticar-se para o domínio, por predefinição, não é possível o RODC validar as credenciais deles. Em seguida, o RODC reencaminha o pedido de autenticação para um controlador de domínio gravável. No entanto, pode ser necessário que exista um conjunto de principais de segurança com capacidade de autenticação num local assistido por um RODC, mesmo em casos onde não existe nenhuma conectividade para controladores de domínio graváveis.
Por exemplo, pode ter um conjunto de utilizadores e computadores numa sucursal que pretende que sejam autenticados, mesmo que não exista nenhuma conectividade entre a sucursal e os locais que contêm os controladores de domínio graváveis. Para resolver este problema, pode configurar a PRP para esse RODC de modo a permitir que as palavras-passe para esses utilizadores sejam colocadas na cache do RODC. Se as palavras-passe de conta forem colocadas em cache no RODC, o RODC pode autenticar essas contas quando a conectividade com os controladores de domínio graváveis não estiver disponível.
A PRP funciona como uma lista de controlo de acesso (ACL). Determina se é permitido a um RODC colocar credenciais para uma conta em cache. Depois de o RODC receber um pedido de início de sessão de utilizador ou computador, tenta replicar as credenciais para essa conta a partir do controlador de domínio gravável com o Windows Server 2008 ou o Windows Server 2008 R2. O controlador de domínio gravável consulta a PRP para determinar se as credenciais para a conta devem ser colocadas em cache. Se a PRP permitir que a conta seja colocada em cache, o controlador de domínio gravável replica as credenciais dessa conta para o RDOC e o RDOC coloca-as em cache. Durante os inícios de sessão subsequentes para essa conta, o RODC pode autenticar a conta consultando as credenciais que tem em cache. O RODC não tem de contactar o controlador de domínio gravável.
A PRP em vigor
A PRP é definida por dois atributos de valor múltiplo do Active Directory que contêm principais de segurança (utilizadores, computadores e grupos). Cada conta de computador RODC tem estes dois atributos:
-
msDS-Reveal-OnDemandGroup, também conhecido como Lista Permitido
-
msDS-NeverRevealGroup, também conhecido como Lista Negado
Para ajudar a gerir a PRP, são mantidos para cada RODC dois outros atributos que estão relacionados com a PRP:
-
msDS-RevealedUsers, também conhecido como Lista Revelado
-
msDS-AuthenticatedToAccountList, também conhecido como Lista Autenticações
O atributo msDS-Reveal-OnDemandGroup especifica que os principais de segurança podem ter palavras-passe em cache num RODC. Por predefinição, este atributo tem um valor, que é o Grupo de Replicação de Palavras-Passe de RODC Permitido. Como, por predefinição, este grupo local de domínio não tem membros, por predefinição, não podem ser colocadas em cache nenhumas palavras-passe de conta em qualquer RODC.
Esta secção explica como os atributos da Lista Permitido, Lista Negado, Lista Revelado e Lista Autenticações são utilizados.
Quando um RODC faz um pedido para replicar a palavra-passe de um utilizador, o controlador de domínio gravável do Windows Server 2008 contactado pelo RODC permite ou nega o pedido. Para permitir ou negar o pedido, o controlador de domínio gravável examina os valores da Lista Permitido e da Lista Negado do RODC que apresenta o pedido.
Se a conta cuja palavra-passe está a ser pedida pelo RODC estiver na Lista Permitido (em vez de estar na Lista Negado) desse RODC, o pedido é permitido.
A seguinte figura ilustra esta operação.
A Lista Negado tem precedência sobre a Lista Permitido.
Por exemplo, suponha que uma organização tem um grupo de segurança para administradores denominado Admins. A organização tem um local denominado S1 e um grupo de segurança denominado Emp_S1 que contém empregados no local. A organização tem um outro local denominado S2 e um grupo de segurança denominado Emp_S2 que contém empregados no local.
O local S2 tem apenas um RODC. O João é um administrador que trabalha no local S2. Por conseguinte, pertence aos grupos Emp_S2 e Admins. Quando o RODC no local S2 é instalado, os grupos de segurança listados na seguinte tabela são adicionados à PRP.
| Grupo de segurança | Definição de PRP |
|---|---|
|
Admins |
Negado |
|
Emp_S2 |
Permitido |
De acordo com a política especificada, as credenciais que podem ser colocadas em cache no RODC no local S2 são apenas as credenciais de membros do grupo Emp_S2 que não pertencem a Admins. Os membros dos grupos Emp_S1 e Admins nunca terão as respectivas credenciais colocadas em cache no RODC. Os membros do grupo Emp_S2 poderão ter as respectivas credenciais colocadas em cache no RODC. As credenciais do João nunca serão colocadas em cache no RODC.
Predefinições da PRP
Cada RODC tem uma PRP que define as contas que têm permissão para que as suas palavras-passe sejam replicadas para o RODC e a que contas é explicitamente negado que as palavras-passe sejam replicadas para o RODC. A política predefinida especifica os grupos e as definições na seguinte tabela.
| Nome do grupo | Definição de PRP |
|---|---|
|
Administradores |
Negar |
|
Operadores de servidor |
Negar |
|
Operadores de cópia de segurança |
Negar |
|
Operadores de contas |
Negar |
|
Grupo Replicação de Palavras-passe RODC Negada |
Negar |
|
Grupo Replicação de Palavras-passe RODC Permitida |
Permitir |
Por predefinição, o grupo Replicação de Palavras-passe RODC Negada tem os seguintes membros de conta de domínio:
-
Editores de Certificados
-
Admins do Domínio
-
Admins da Empresa
-
Controladores de Domínio da Empresa
-
Controladores de Domínio Só de Leitura da Empresa
-
Proprietários do Criador de Políticas de Grupo
-
krbtgt
-
Admins de Esquemas
Por predefinição, o grupo Replicação de Palavras-passe RODC Permitida não tem membros.
A PRP predefinida aumenta a segurança da instalação de um RODC, pois garante que nenhuma palavra-passe de conta é armazenada por predefinição e que é negado explicitamente a contas críticas para a segurança (caso de membros do grupo Admins do Domínio) o armazenamento das suas palavras-passe no RODC.
Modificar a PRP predefinida
É possível modificar a PRP predefinida ao criar uma conta para o RODC ou depois de criar a conta RODC. Para modificar a PRP predefinida depois da criação da conta RODC, clique com o botão direito do rato na conta RODC na unidade organizacional (OU) Controladores de Domínio no snap-in Utilizadores e Computadores do Active Directory, clique em Propriedades e clique no separador Política de Replicação de Palavras-passe. (Para abrir o snap-in Utilizadores e Computadores do Active Directory, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Utilizadores e Computadores do Active Directory.)
Para adicionar contas à PRP predefinida ao criar a conta RODC, clique em Adicionar na página de assistente Especificar a Política de Replicação de Palavras-passe e especifique se pretende permitir ou negar que as palavras-passe da conta sejam armazenadas no RODC. Em seguida, utilize a caixa de diálogo Seleccionar Utilizadores, Computadores ou Grupos para seleccionar as contas a adicionar.
É necessário incluir o utilizador, computador e contas de serviço apropriados na PRP para permitir que o RODC satisfaça localmente pedidos de permissão de serviço e de autenticação. Se não forem incluídas as contas de computador que os utilizadores da sucursal irão utilizar para iniciar sessão na rede na Lista Permitido, o RODC não conseguirá satisfazer localmente pedidos de permissão de serviço e irá depender do acesso a um controlador de domínio gravável para satisfazer esses pedidos. Se a rede alargada (WAN) estiver offline, tal poderá provocar uma indisponibilidade do serviço.
A definição Negar tem precedência sobre a definição Permitir. Se ambas as definições forem especificadas para um determinado utilizador (directamente, ou indirectamente por o utilizador sem membro de um grupo de segurança especificado ou aninhado num determinado grupo de segurança), a palavra-passe do utilizador não poderá ser armazenada no RODC. Contudo, é importante ter em conta que um utilizador cuja palavra-passe não possa ser armazenada no RODC poderá, mesmo assim, utilizar o RODC para iniciar sessão se a ligação de área alargada a um controlador de domínio gravável estiver disponível. A palavra-passe do utilizador não é replicada para o RODC, mas o início de sessão pode ser autenticado pelo controlador de domínio gravável através da rede alargada.
A tabela seguinte descreve as vantagens e desvantagens de três exemplos de configurações para uma PRP.
| Exemplo | Prós | Contras |
|---|---|---|
|
Nenhuma conta é colocada em cache (predefinição). |
Mais segura - os utilizadores são autenticados por um controlador de domínio gravável e obtêm a Política de Grupo a partir do RDOC para um rápido processamento da política. |
Sem acesso offline para ninguém - é necessária uma WAN para iniciar sessão. |
|
A maioria das contas é colocada em cache. |
Facilidade de gestão de palavras-passe - esta opção destina-se a organizações mais preocupadas com melhoramentos da capacidade de gestão do RDOC do que com a segurança. |
Mais palavras-passe são potencialmente expostas a um RODC. |
|
Poucas contas são colocadas em cache. |
Permite o acesso offline para os utilizadores que dele necessitam, mas fornece mais segurança do que a colocação em cache da maioria das contas. |
Este método requer uma administração mais detalhada. Pode ter de mapear utilizadores e computadores para cada sucursal que tem um RODC. Também poderá utilizar ferramentas, tal como a ferramenta repadmin /prp, para mover contas que tenham sido autenticadas para um RODC para um grupo que se encontra na Lista Permitido ou poderá ter de utilizar o ILM (Identity Lifecycle Manager) para automatizar esse processo. |
As secções seguintes explicam cada exemplo em maior detalhe.
Nenhuma conta é colocada em cache.
Este exemplo fornece a opção mais segura. Nenhuma palavra-passe é replicada para o RODC, excepto para a conta do computador do RDOC e a sua conta krbtgt especial. Contudo, a autenticação do utilizador e computador depende da disponibilidade da WAN. Este exemplo tem a vantagem de exigir pouca ou nenhuma configuração administrativa adicional a partir das predefinições.
Pode optar por adicionar os seus próprios grupos de utilizador críticos para a segurança à Lista Negado. Embora, por predefinição, nenhumas contas sejam colocadas em cache, adicionar grupos de utilizador críticos para a segurança à Lista Negado pode proteger esses grupos de inclusão acidental na Lista Permitido, juntamente com a subsequente colocação das palavras-passes dos mesmos no RODC.
Note que a conta do administrador RODC delegado não é adicionada automaticamente à Lista Permitido. Como boa prática, adicione o administrador da conta RODC delegado à Lista Permitido para assegurar que é sempre possível um administrador delegado iniciar sessão no RODC, independentemente de estar disponível uma ligação WAN a um controlador de domínio gravável.
A maioria das contas é colocada em cache
Este exemplo é o modo administrativo mais simples e elimina a dependência da disponibilidade da WAN para autenticação do utilizador e do computador. Neste exemplo, preenche a Lista Permitido para todos RODCs com grupos que representam uma parte significativa da população de utilizadores e computadores. A Lista Negado impede que as palavras-passe de grupos de utilizadores críticos para a segurança (tal como Admins do Domínio) sejam colocadas em cache. Contudo, as palavras-passe da maioria dos restantes utilizadores podem ser colocadas em cache a pedido. Pode optar por adicionar os seus próprios grupos de utilizador críticos para a segurança à Lista Negado.
Esta configuração é a mais apropriada em ambientes em que a segurança física do RODC não esteja em risco. Por exemplo, pode configurar a PRP deste modo para um RODC que implementou numa localização segura sobretudo para tirar partido dos seus reduzidos requisitos de replicação e administração.
 | Importante |
|
Também tem de adicionar as contas de computador dos utilizadores à Lista Permitido de modo a que os utilizadores possam iniciar sessão na sucursal quando a WAN está offline. |
Poucas contas são colocadas em cache
Este exemplo restringe as contas que podem ser colocadas em cache. Regra geral, define isto especificamente para cada RODC - cada RDOC tem um conjunto diferente de contas de utilizador e computador que podem ser colocadas em cache. Este exemplo destina-se normalmente a um conjunto de utilizadores que trabalham numa localização física específica.
A vantagem deste exemplo é que um conjunto de utilizadores poderá iniciar sessão na rede e ser autenticado pelo RODC na sucursal, se a WAN estiver offline. Em simultâneo, o âmbito da exposição de palavras-passe é limitado pelo reduzido número de utilizadores cujas palavras-passe podem ser colocadas em cache.
Existem encargos gerais administrativos associados ao preenchimento da Lista Permitido e da Lista Negado neste exemplo. Não existe nenhum método automático predefinido para ler as contas da lista conhecida de principais de segurança que foram autenticados em relação a um determinado RODC e não existe nenhum método predefinido de preenchimento para a Lista Permitido com essas contas. Pode utilizar o comando repadmin /prp move para mover estas contas para um grupo que esteja na Lista Permitido ou pode utilizar scripts ou aplicações como o ILM para criar um processo.
Embora possa adicionar contas de utilizador ou computador directamente à Lista Permitido, em vez disso deve criar um grupo de segurança para cada RODC, adicioná-lo à Lista Permitido e, em seguida, adicionar as contas de utilizador e computador ao grupo de segurança. Deste modo, pode utilizar ferramentas padrão de gestão de grupo como o snap-in Utilizadores e Computadores do Active Directory ou as ferramentas de linha de comandos Dsadd ou Dsmod, para gerir que contas podem ser colocadas em cache no RODC.
O comando repadmin /prp move requer que especifique um grupo de segurança. Se o grupo de segurança que especificar não existir, cria o grupo e adiciona-o à Lista Permitido.
À semelhança do exemplo anterior, também deve adicionar as contas de computador adequadas à Lista Permitido.