Förkonfigurera lösenord

Cachelagring av autentiseringsuppgifter innebär lagring av autentiseringsuppgifter för användare och datorer. Som standard lagras inte autentiseringsuppgifter för användare och datorer på en RODC (skrivskyddad domänkontrollant), förutom för det egna datorkontot och ett särskilt krbtgt-konto för den aktuella domänkontrollanten. Cachelagring av andra autentiseringsuppgifter måste uttryckligen tillåtas på skrivskyddade domänkontrollanter.

Första gången du installerar en RODC måste du konfigurera en lösenordsreplikeringsprincip på den skrivbara domänkontrollant som kommer att vara dess replikeringspartner. Lösenordsreplikeringsprincipen fungerar som en ACL (åtkomstkontrollista). Den avgör om en RODC ska kunna lagra autentiseringsuppgifter för ett konton. När en RODC tar emot en inloggningsbegäran från en användare eller en dator försöker den replikera autentiseringsuppgifterna för det kontot från en skrivbar Windows Server 2008- eller Windows Server 2008 R2-domänkontrollant. Den skrivbara domänkontrollanten refererar till lösenordsreplikeringsprincipen för att avgöra om autentiseringsuppgifterna för kontot ska lagras. Om lösenordsreplikeringsprincipen tillåter att kontot lagras replikerar den skrivbara Windows Server 2008-domänkontrollanten autentiseringsuppgifterna för kontot till en RODC som sedan lagrar uppgifterna. Vid påföljande inloggningar för det kontot kan RODC autentisera kontot genom att referera till de autentiseringsuppgifter som finns lagrade. RODC har inte kontakt med den skrivbara domänkontrollanten.

I Windows Server 2008- och Windows Server 2008 R2-baserade Active Directory-domäner introduceras två inbyggda grupper som stöder RODC-åtgärder. De inbyggda grupperna är Gruppen för tillåten lösenordsreplikering för RODC-domänen och Gruppen för nekad lösenordsreplikering för RODC-domänen. Med hjälp av de här grupperna kan du implementera listor med tillåtna och nekade lösenord för lösenordsreplikeringsprincipen på den skrivskyddade domänkontrollanten.

Som standard innehåller gruppen Gruppen för nekad lösenordsreplikering för RODC-domänen följande medlemmar:

• Företagets domänkontrollanter
  
  
• Företagets skrivskyddade domänkontrollanter
  
  
• Skapare och ägare av grupprincip
  
  
• Domänadministratörer
  
  
• Certifikatpublicerare
  
  
• Företagsadministratörer
  
  
• Schemaadministratörer
  
  
• KRBTGT-konto i hela domänen
  
  

Som standard innehåller attributet Lista över nekade följande säkerhetsobjekt, som alla är inbyggda grupper:

• Gruppen för nekad lösenordsreplikering för RODC-domänen
  
  
• Kontoansvariga
  
  
• Serveransvariga
  
  
• Ansvariga för säkerhetskopiering
  
  
• Administratörer
  
  

Det finns ingen mekanism för att rensa lagrade lösenord för en given användare i RODC. Om du vill rensa ett lösenord som är lagrat i en RODC måste en administratör återställa lösenordet på navplatsen. På så sätt kommer lösenordet som har lagrats i grenen inte längre att vara giltigt för åtkomst till resurser på navplatsen eller andra i grenar. Om en RODC komprometteras, återställer du de lösenord som för närvarande används och återskapar sedan RODC:n.

• Användargränssnitt: Active Directory – användare och datorer