Кэширование учетных данных

Кэширование учетных данных - это хранение учетных данных пользователя или компьютера. По умолчанию контроллер домена только для чтения (RODC) не сохраняет учетные данные пользователей или компьютеров за исключением учетной записи собственного компьютера и специальной учетной записи KRBTGT для этого RODC. На таком RODC необходимо явно разрешить кэширование всех других учетных данных.

Политика репликации паролей

При начальном развертывании RODC необходимо настроить политику репликации паролей на доступном для записи контроллере домена, который будет его партнером репликации. Политика репликации паролей действует как список управления доступом (ACL). Она определяет, разрешается ли RODC кэширование учетных данных для учетной записи. После того как RODC получает запрос на вход от пользователя или компьютера, он пытается реплицировать учетные данные для этой учетной записи с изменяемого контроллера домена Windows Server 2008 или Windows Server 2008 R2. Доступный для записи контроллер домена обращается к PRP для определения возможности кэширования учетных данных для учетной записи. Если PRP разрешает кэширование учетной записи, доступный для записи контроллер домена Windows Server 2008 реплицирует учетные данные в RODC, и RODC кэширует их. Во время последующих входов под этой учетной записью RODC может проверить ее подлинность, обратившись к кэшированным учетным данным. RODC нет необходимости связываться с доступным для записи контроллером домена.

Разрешающий и запрещающий списки политики репликации паролей

В доменах Windows Server 2008 и Windows Server 2008 R2 Active Directory представлены две новые встроенные группы, которые поддерживают операции RODC. Это группа, для которой разрешена репликация пароля на RODC домена, и группа, для которой запрещена репликация пароля на RODC домена. Эти группы помогают применять разрешающий и запрещающий списки по умолчанию для политики репликации паролей RODC.

По умолчанию в группу, для которой запрещена репликация пароля на RODC домена, включены следующие члены.

  • Контроллеры домена предприятия

  • Контроллеры домена только для чтения предприятия

  • Создатели-владельцы групповой политики

  • Администраторы домена

  • Издатели сертификатов

  • Администраторы предприятия

  • Администраторы схемы

  • Учетная запись KRBTGT на уровне домена

По умолчанию атрибут Denied List содержит следующие субъекты безопасности (все они являются встроенными группами).

  • Группа, для которой запрещена репликация пароля на RODC домена

  • Операторы учета

  • Операторы сервера

  • Операторы архива

  • Администраторы

Очистка кэшированных паролей

Механизм очистки кэшированных паролей данного пользователя на RODC отсутствует. Если требуется очистить пароль, хранящийся в RODC, администратор должен сбросить его на узловом сайте. В этом случае кэшированный в подразделении пароль станет недействительным для доступа к ресурсам узлового сайта или других подразделений. В случае нарушения защиты RODC переустановите пароли, которые кэшированы на данный момент, а затем перестройте RODC.

Дополнительные ссылки


Содержание