Colocação de Credenciais em Cache

A colocação de credenciais em cache corresponde ao armazenamento das credenciais do utilizador ou do computador. Por predefinição, um controlador de domínio só de leitura (RODC) só armazena credenciais de utilizador ou de computador para a sua conta de computador e uma conta krbtgt especial para esse RODC. Tem de permitir explicitamente que qualquer outra credencial seja colocada em cache nesse RODC.

Política de Replicação de Palavras-passe

Quando implementa inicialmente um RODC, tem de configurar a Política de Replicação de Palavras-passe (PRP) num controlador de domínio gravável que irá ser o respectivo parceiro de replicação. A PRP funciona como uma lista de controlo de acesso (ACL). Determina se um RODC pode colocar credenciais em cache para uma conta. Depois de o RODC receber um pedido de início de sessão de utilizador ou de computador, tenta replicar as credenciais para essa conta a partir de um controlador de domínio gravável do Windows Server 2008 ou do Windows Server 2008 R2. O controlador de domínio gravável consulta a PRP para determinar se as credenciais para a conta devem ser colocadas em cache. Se a PRP permitir que a conta seja colocada em cache, o controlador de domínio gravável do Windows Server 2008 replica as credenciais para essa conta para o RODC e o RODC coloca as credenciais em cache. Durante inícios de sessão subsequentes para essa conta, o RODC pode autenticar a conta referindo as credenciais que colocou em cache. O RODC não tem de contactar o controlador de domínio gravável.

Listas Permitidos e Negados da PRP

Existem dois grupos integrados nos domínios do Active Directory do Windows Server 2008 e do Windows Server 2008 R2 para suportarem operações RODC. Estes grupos integrados são o Grupo Permitido de Replicação de Palavras-passe RODC de Domínio e o Grupo Negado de Replicação de Palavras-passe RODC de Domínio. Estes grupos ajudam a implementar uma Lista Permitidos e uma Lista Negados predefinidas para a Política de Replicação de Palavras-passe RODC.

Por predefinição, o Grupo Negado de Replicação de Palavras-passe RODC de Domínio contém os seguintes membros:

  • Controladores de Domínio da Empresa

  • Controladores de Domínio Só de Leitura da Empresa

  • Proprietários do Criador de Políticas de Grupo

  • Admins de Domínio

  • Editores de Certificados

  • Admins da Empresa

  • Admins de Esquemas

  • Conta krbtgt ao nível do domínio

Por predefinição, o atributo Lista Negados contém os seguintes principais de segurança que são todos grupos integrados:

  • Grupo Negado de Replicação de Palavras-passe RODC de Domínio

  • Operadores de Contas

  • Operadores de Servidor

  • Operadores de Cópia de Segurança

  • Administradores

Limpar palavras-passe em cache

Não existe nenhum mecanismo para limpar a palavra-passe em cache para um utilizador específico num RODC. Se pretender limpar uma palavra-passe armazenada num RODC, é necessário que um administrador reponha a palavra-passe no local do concentrador. Desta forma, a palavra-passe que está em cache no ramo deixará de estar válida para aceder a quaisquer recursos no local do concentrador ou outros ramos. Se um RODC ficar comprometido, reponha as palavras-passe actualmente em cache e, em seguida, recrie o RODC.

Referências adicionais

Sumário