Active Directory Etki Alanı Hizmetleri Yükleme Sihirbazı'nın Parola Çoğaltma İlkesini Belirtme sayfası, salt okunur etki alanı denetleyicisi (RODC) hesabı oluşturduğunuzda görüntülenir; ancak bunun için sihirbazın Active Directory Etki Alanı Hizmetleri Yükleme Sihirbazı'na Hoş Geldiniz sayfasında Gelişmiş mod yükleme kullan onay kutusunu seçmelisiniz.
Parola Çoğaltma İlkesi nasıl çalışır
Parola Çoğaltma İlkesi (PRP), bir RODC'nin kimlik bilgilerini önbelleğe alma işlemini nasıl gerçekleştirdiğini belirler. Kimlik bilgilerini önbelleğe alma, kullanıcı veya bilgisayar kimlik bilgilerini depolamadır.
Bir RODC'nin hizmet verdiği bir sitedeki kullanıcılar veya bilgisayarlar etki alanında kimlik doğrulaması yapmayı denediklerinde, varsayılan olarak RODC kimlik bilgilerini doğrulayamaz. RODC, daha sonra kimlik doğrulama isteğini yazılabilir etki alanı denetleyicisine iletir. Ancak, RODC tarafından hizmet verilen bir sitede kimlik doğrulaması yapabilecek bir güvenlik sorumluları grubu olabilir; bu sorumluların, yazılabilir etki alanı denetleyicileri ile bağlantısı olmayabilir.
Örneğin, bir şube ofisi ile yazılabilir etki alanı denetleyicilerinin bulunduğu siteler arasında bağlantı olmasa dahi, şube ofisinde kimlik doğrulamasının yapılmasını istediğiniz bir grup kullanıcı ve bilgisayar belirlemiş olabilirsiniz. Bu sorunu çözmek için, söz konusu RODC'ye ilişkin PRP'yi bu kullanıcıların parolalarının RODC'de önbelleğe alınmasına izin verecek şekilde yapılandırabilirsiniz. Hesap parolaları RODC'de önbelleğe alınırsa, yazılabilir etki alanı denetleyicileri ile bağlantı olmadığı zamanlarda RODC, bu hesapların kimlik doğrulamalarını yapabilir.
PRP bir erişim denetim listesi (ACL) görevi görür. Bir RODC'nin bir hesabın kimlik bilgilerini önbelleğe kaydetmesine izin verilip verilmeyeceğini belirler. RODC, bir kullanıcı veya bilgisayar oturum açma isteği aldıktan sonra, Windows Server 2008 veya Windows Server 2008 R2 çalıştıran yazılabilir etki alanı denetleyicisinden söz konusu hesaba ilişkin kimlik bilgilerini çoğaltmayı dener. Yazılabilir etki alanı denetleyicisi, hesaba ilişkin kimlik bilgilerinin önbelleğe alınıp alınmayacağını belirlemek için PRP'ye başvurur. PRP tarafından önbelleğe alma işlemine izin veriliyorsa, yazılabilir etki alanı denetleyicisi söz konusu hesaba ilişkin kimlik bilgilerini RODC'ye çoğaltır ve RODC, bunları önbelleğe alır. Bu hesapla sonraki oturum açma girişimlerinde, RODC önbelleğe aldığı kimlik bilgilerine başvurarak hesabın kimlik doğrulamasını yapabilir. RODC'nin yazılabilir etki alanı denetleyicisi ile iletişim kurmasına gerek yoktur.
PRP çalışırken
PRP, güvenlik sorumluları (kullanıcılar, bilgisayarlar ve gruplar) içeren birden çok değerli iki Active Directory özniteliği tarafından tanımlanır. Her RODC bilgisayar hesabı aşağıdaki iki özniteliğe sahiptir:
-
İzin Verilenler Listesi olarak da bilinen msDS-Reveal-OnDemandGroup
-
Reddedilenler Listesi olarak da bilinen msDS-NeverRevealGroup
PRP'nin yönetimine yardımcı olmak için PRP ile ilişkili diğer iki öznitelik her RODC'ye sağlanır:
-
Gösterilenler Listesi olarak da bilinen msDS-RevealedList
-
Kimliği Doğrulananlar Listesi olarak da bilinen msDS-AuthenticatedToAccountList
msDS-Reveal-OnDemandGroup özniteliği, hangi güvenlik sorumlularının parolalarının RODC önbelleğine alınacağını belirler. Varsayılan olarak, bu özniteliğin bir değeri vardır: Allowed RODC Password Replication Group. Bu etki alanı yerel grubunun varsayılan olarak hiçbir üyesi bulunmadığından, varsayılan olarak hiçbir hesap parolası RODC'de önbelleğe alınamaz.
Bu bölümde, İzin Verilenler, Reddedilenler, Gösterilenler ve Kimliği Doğrulananlar Listesi özniteliklerinin nasıl kullanıldığı açıklanmaktadır.
Bir RODC kullanıcı parolasını çoğaltmak üzere bir istekte bulunduğunda, RODC'nin bağlantı kurduğu yazılabilir Windows Server 2008 etki alanı denetleyicisi isteğe izin verir veya reddeder. Yazılabilir etki alanı denetleyicisi isteğe izin vermek veya reddetmek için, istekte bulunan RODC'ye ilişkin İzin Verilenler Listesi'ndeki ve Reddedilenler Listesi'ndeki değerleri inceler.
Parolası RODC tarafından istenen hesap ilgili RODC'nin İzin Verilenler Listesi'ndeyse (Reddedilenler Listesi'nde değilse) isteğe izin verilir.
Aşağıdaki şekilde bu işlemin nasıl gerçekleştiği gösterilmektedir.
Reddedilenler Listesi, İzin Verilenler Listesi'nden daha önceliklidir.
Örneğin, bir kuruluşun yöneticiler için Yöneticiler adlı bir güvenlik grubu olduğunu varsayalım. Bu kuruluşta S1 adlı bir site ve sitedeki çalışanları içeren Emp_S1 adlı bir güvenlik grubu vardır. Kuruluşun S2 adlı başka bir site ve sitedeki çalışanları içeren Emp_S2 adlı bir güvenlik grubu daha vardır.
Site S2'de yalnızca bir RODC vardır. Bob, S2 sitesinde çalışan bir yöneticidir. Bu nedenle, hem Emp_S2 hem de Yöneticiler grubunun bir üyesidir. S2 sitesine RODC yüklendiğinde, aşağıdaki tabloda listelenen güvenlik grupları PRP'ye eklenir.
| Güvenlik grubu | PRP ayarı |
|---|---|
|
Yöneticiler |
Reddedilen |
|
Emp_S2 |
İzin Verilen |
Belirtilen ilkeye göre, S2 sitesindeki RODC'de önbelleğe alınabilen kimlik bilgileri yalnızca Yöneticiler grubuna ait olmayan Emp_S2 grubu üyelerinin kimlik bilgileridir. Emp_S1 ve Yöneticiler grubu üyelerinin kimlik bilgileri RODC'de hiçbir zaman önbelleğe alınmaz. Emp_S2 grubu üyelerinin kimlik bilgileri RODC'de önbelleğe alınabilir. Bob'un kimlik bilgileri hiçbir zaman RODC'de önbelleğe alınmaz.
Varsayılan PRP ayarları
Her RODC'nin, hangi hesapların parolalarını RODC'ye çoğaltmalarına izin verildiğini ve hangi hesapların parolalarını RODC'ye çoğaltmalarının engellendiğini tanımlayan bir PRP'si vardır. Varsayılan ilke, aşağıdaki tabloda yer alan grupları ve ayarları belirtir.
| Grup adı | PRP ayarı |
|---|---|
|
Yöneticiler |
Reddet |
|
Sunucu işletmenleri |
Reddet |
|
Yedekleme işletmenleri |
Reddet |
|
Hesap işletmenleri |
Reddet |
|
Reddedilen RODC Parola Çoğaltma Grubu |
Reddet |
|
İzin Verilen RODC Parola Çoğaltma Grubu |
İzin Ver |
Reddedilen RODC Parola Çoğaltma Grubu'nun varsayılan olarak aşağıdaki etki alanı hesabı üyeleri vardır:
-
Serifika Yayımcıları
-
Etki Alanı Yöneticileri
-
Şirket Yöneticileri
-
Kuruluş Etki Alanı Denetleyicileri
-
Kuruluş Salt Okunur Etki Alanı Denetleyicileri
-
Grup İlkesi Oluşturucu Sahipleri
-
krbtgt
-
Şema Yöneticileri
İzin Verilen RODC Parola Çoğaltma Grubu'nun varsayılan olarak hiçbir üyesi yoktur.
Varsayılan PRP, hiçbir hesap parolasının varsayılan olarak depolanmamasını ve güvenlik açısından duyarlı hesapların (Domain Admins grubunun üyeleri gibi) parolalarının RODC'de depolanmasının açıkça reddedilmesini sağlayarak RODC yüklemesinin güvenliğini artırır.
Varsayılan PRP'yi değiştirme
RODC için bir hesap oluştururken veya RODC hesabı oluşturulduktan sonra varsayılan PRP'yi değiştirebilirsiniz. RODC hesabı oluşturulduktan sonra varsayılan PRP'yi değiştirmek için, Active Directory Kullanıcıları ve Bilgisayarları ek bileşenindeki Etki Alanı Denetleyicileri kuruluş biriminde (OU) RODC hesabını sağ tıklatın, Özellikler'i tıklatın ve daha sonra Parola Çoğaltma İlkesi sekmesini tıklatın. (Active Directory Kullanıcıları ve Bilgisayarları ek bileşenini açmak için, Başlat'ı tıklatın, Yönetimsel Araçlar'ın üzerine gelin ve sonra da Active Directory Kullanıcıları ve Bilgisayarları'nı tıklatın.)
RODC hesabını oluştururken varsayılan Parola Çoğaltma İlkesi'ne hesap eklemek için, sihirbazın Parola Çoğaltma İlkesini Belirtme sayfasında Ekle'yi tıklatın ve hesaba ait parolaların RODC'de depolanmasına izin verilmesini veya reddedilmesini seçin. Daha sonra, Kullanıcı, Bilgisayar veya Grup Seç iletişim kutusunu kullanarak, eklenecek hesapları seçin.
RODC'nin kimlik doğrulama ve hizmet anahtarı isteklerini yerel olarak karşılamasına izin vermek için PRP'ye uygun kullanıcı, bilgisayar ve hizmet hesaplarını eklemelisiniz. Şube kullanıcılarının ağ üzerinde oturum açmak için kullanacağı bilgisayar hesaplarını İzin Verilenler Listesi'ne eklemezseniz, RODC, hizmet anahtarı isteklerini yerel olarak karşılayamaz ve bu istekleri karşılamak üzere bir yazılabilir etki alanı denetleyicisine erişimi kullanır. Geniş alan ağı (WAN) çevrimdışıysa, bu durum bir hizmet kesintisine neden olabilir.
Reddet ayarı, İzin Ver ayarına göre daha önceliklidir. Belirli bir kullanıcı belirtilen bir güvenlik grubunun üyesi olduğu için (veya belirli bir güvenlik grubuyla iç içe geçtiği için), doğrudan veya dolaylı olarak kullanıcı için her iki ayar da belirtilmişse, kullanıcı parolası RODC'de depolanamaz. Ancak bir yazılabilir etki alanı denetleyicisine WAN bağlantısı varsa, parolası RODC'de depolanamayan bir kullanıcının oturum açmak için RODC'yi kullanabileceğini unutmayın. Kullanıcı parolası RODC'ye çoğaltılamaz, ancak oturum açma işlemi için yazılabilir etki alanı denetleyicisi tarafından WAN üzerinden kimlik doğrulaması gerçekleştirilebilir.
Aşağıdaki tabloda, PRP için üç farklı yapılandırma örneğinin faydaları ve kısıtlamaları açıklanmaktadır.
| Örnek | Olumlu Yönleri | Olumsuz Yönleri |
|---|---|---|
|
Hiçbir hesap önbelleğe alınmaz (varsayılan). |
En güvenli yöntemdir; kullanıcıların kimlikleri, yazılabilir etki alanı denetleyicisi tarafından doğrulanır ve hızlı ilke işleme için RODC'den Grup İlkesi'ni alırlar. |
Hiç kimse için çevrimdışı erişim olanağı yoktur; oturum açmak için WAN gerekir. |
|
Hesapların çoğu önbelleğe alınır. |
Parola yönetiminde kolaylık sağlar; bu seçenek, güvenlikten çok RODC'nin yönetilebilirliğinde gelişme sağlamayı önemseyen müşterilere yöneliktir. |
Parolaların çoğu RODC'de açıkça gösterilebilir. |
|
Az sayıda hesap önbelleğe alınır. |
Gereksinim duyan kullanıcılar için çevrimdışı erişim imkanı tanır, ancak hesapların çoğunun önbelleğe alınmasından daha fazla güvenlik sağlar. |
Bu yöntem daha ayrıntılı yönetim gerektirir. Kullanıcıları ve bilgisayarları, RODC bulunan her şubeyle eşleştirmeniz gerekebilir. RODC'de kimliği doğrulanmış hesapları İzin Verilenler Listesi'ndeki bir gruba taşımak için repadmin /prp gibi araçları kullanabilirsiniz veya bu işlemi otomatikleştirmek için Kimlik Yaşam Döngüsü Yöneticisi'ni (ILM) kullanmanız gerekebilir. |
Aşağıdaki bölümlerde bu örnekler daha ayrıntılı şekilde açıklanmaktadır.
Hiçbir hesap önbelleğe alınmaz
Bu örnek en güvenli seçeneği sağlar. RODC bilgisayar hesabı ve bu hesabın özel krbtgt hesabı dışında, hiçbir parola RODC'ye çoğaltılmaz. Ancak, kullanıcı ve bilgisayar kimlik doğrulaması WAN kullanılabilirliğine dayanır. Bu örneğin avantajı, varsayılan ayarların dışında çok az yönetim yapılandırması gerektirmesi veya hiç gerektirmemesidir.
Güvenlik açısından duyarlı olan kendi kullanıcı gruplarınızı Reddedilenler Listesi'ne eklemeyi seçebilirsiniz. Varsayılan olarak hiçbir hesap önbelleğe alınmasa da güvenlik açısından duyarlı olan kendi kullanıcı gruplarınızı Reddedilenler Listesi'ne eklemeniz, bu grupların yanlışlıkla İzin Verilenler Listesi'nde yer almasına ve ardından, parolalarının RODC'de önbelleğe alınmasına karşı koruma sağlayabilir.
Temsilci atanan RODC yönetici hesabının, İzin Verilenler Listesi'ne otomatik olarak eklenmediği unutulmamalıdır. En iyi yöntem olarak, temsilci atanan RODC yönetici hesabını İzin Verilenler Listesi'ne ekleyerek, yazılabilir etki alanı denetleyicisiyle WAN bağlantısı olsun ya da olmasın, temsilci atanan yöneticinin her zaman RODC'de oturum açabilmesini sağlayın.
Hesapların çoğu önbelleğe alınır
Bu örnek en basit yönetim modudur; kullanıcı ve bilgisayar kimlik doğrulaması için WAN bağlantısına bağımlılığı ortadan kaldırır. Bu örnekte, tüm RODC'lere yönelik İzin Verilenler Listesi'ni, kullanıcı ve bilgisayar topluluğunun önemli bir bölümünü temsil eden gruplarla doldurursunuz. Reddedilenler Listesi, Domain Admins gibi güvenlik açısından duyarlı kullanıcı gruplarının parolalarının önbelleğe alınmasına izin vermez. Ancak diğer kullanıcıların çoğu, parolalarının isteğe bağlı olarak önbelleğe alınmasını sağlayabilir. Güvenlik açısından duyarlı olan kendi kullanıcı gruplarınızı Reddedilenler Listesi'ne eklemeyi seçebilirsiniz.
Bu yapılandırma, RODC'nin fiziksel güvenlik açısından riskli olmadığı ortamlar için oldukça uygundur. Örneğin, öncelikle çoğaltma ve yönetim gereksinimlerinin azalmasından yararlanmak amacıyla güvenli bir konuma dağıttığınız RODC için PRP'yi bu şekilde yapılandırabilirsiniz.
 | Önemli |
|
WAN çevrimdışıyken kullanıcıların şube ofisinde oturum açabilmeleri için, bilgisayar hesaplarını da İzin Verilenler Listesi'ne eklemeniz gerekir. |
Az sayıda hesap önbelleğe alınır
Bu örnek önbelleğe alınabilen hesap sayısını kısıtlar. Genelde bu sayıyı her RODC için ayrı tanımlarsınız; her RODC'nin önbelleğe almasına izin verilen farklı kullanıcı ve bilgisayar hesapları kümesi vardır. Bu örnek, genellikle belirli bir fiziksel konumda çalışan kullanıcılardan oluşan küme için kullanılır.
Bu örneğin faydası, bir WAN çevrimdışıyken de bu kullanıcı grubunun ağda oturum açabilmesi ve şube ofisinde RODC tarafından kimlik doğrulamasının yapılabilmesidir. Aynı zamanda, parolaları önbelleğe alınabilen kullanıcı sayısı sınırlı olduğu için açığa çıkan parolalar da sınırlıdır.
Bu örnekte, yönetim açısından, İzin Verilenler Listesi'ni ve Reddedilenler Listesi'ni oluşturmayla ilişkili bir iş yükü vardır. İlgili RODC'de kimliği doğrulanmış güvenlik sorumlularının bilinen listesindeki hesapları okumak için varsayılan otomatik bir yöntem ya da İzin Verilenler Listesi'nin bu hesaplarla doldurulması için varsayılan bir yöntem yoktur. Bu hesapları İzin Verilenler Listesi'ndeki bir gruba taşımak için repadmin /prp move komutunu veya bir işlem oluşturmak üzere komut dosyaları veya ILM gibi uygulamaları kullanabilirsiniz.
İzin Verilenler Listesi'ne kullanıcı veya bilgisayar hesaplarını doğrudan ekleyebilirsiniz; ancak, bunun yerine her RODC için bir güvenlik grubu oluşturup İzin Verilenler Listesi'ne eklemeli; ardından kullanıcı ve bilgisayar hesaplarını güvenlik grubuna eklemelisiniz. Bu şekilde, RODC'de önbelleğe alınabilecek hesapları yönetmek için Active Directory Kullanıcıları ve Bilgisayarları ek bileşeni veya Dsadd veya Dsmod komut satırı araçları gibi standart grup yönetimi araçlarını kullanabilirsiniz.
repadmin /prp move komutu, bir güvenlik grubu belirtmenizi gerektirir. Belirttiğiniz güvenlik grubu yoksa, grup komut tarafından oluşturulur ve İzin Verilenler Listesi'ne eklenir.
Önceki örnekte olduğu gibi, uygun bilgisayar hesaplarını da İzin Verilenler Listesi'ne eklemeniz gerekir.