建立唯讀網域控制站 (RODC) 帳戶時,Active Directory 網域服務安裝精靈上會出現 [指定密碼複寫原則] 精靈頁面,但前提是您必須在精靈的 [歡迎使用 Active Directory 網域服務安裝精靈] 頁面上,選取 [使用進階模式安裝] 核取方塊。
密碼複寫原則的運作方式
密碼複寫原則 (PRP) 可以決定 RODC 執行認證快取的方式。認證快取為使用者或電腦認證的存放區。
在由 RODC 提供服務的站台上,當使用者或電腦嘗試向網域驗證其身分時,根據預設值 RODC 會無法確認其認證。之後 RODC 會將驗證要求轉送至可寫入網域控制站。但是,可能需要使用一組安全性主體,才能在由 RODC 提供服務的站台中進行驗證,即使是在未與可寫入網域控制站連線的情況下。
例如,您可能想要驗證分公司辦公室中的一組使用者及電腦,即使該分公司辦公室與包含可寫入網域控制站的站台之間沒有連線。若要解決此問題,您可以為該 RODC 設定 PRP,讓那些使用者的密碼可以在 RODC 上快取。如果是在 RODC 上快取帳戶密碼,則 RODC 就能在無法連線至可寫入網域控制站時驗證那些帳戶。
PRP 可做為存取控制清單 (ACL)。它能決定 RODC 是否允許快取帳戶的認證。在 RODC 收到使用者或電腦的登入要求之後,它會嘗試從執行 Windows Server 2008 或 Windows Server 2008 R2 的可寫入網域控制站複寫該帳戶的認證。可寫入的網域控制站依據 PRP 決定是否應該快取帳戶的認證。如果 PRP 允許快取帳戶,則可寫入網域控制站就會將該帳戶的認證複寫到 RODC,然後由 RODC 進行快取。後續登入該帳戶時,RODC 可根據快取的認證驗證帳戶。RODC 不需連線至可寫入的網域控制站。
操作中的 PRP
PRP 由兩個多值 Active Directory 屬性加以定義,這兩個屬性中包含數個安全性主體 (使用者、電腦及群組)。每個 RODC 電腦帳戶都有下列兩個屬性:
-
msDS-Reveal-OnDemandGroup,也稱為「允許清單」
-
msDS-NeverRevealGroup,也稱為「拒絕清單」
為了協助管理 PRP,也會為每個 RODC 維護與 PRP 相關的另外兩個屬性:
-
msDS-RevealedList,也稱為「顯示清單」
-
msDS-AuthenticatedToAccountList,也稱為「通過驗證清單」
msDS-Reveal-OnDemandGroup 屬性用來指定哪些安全性主體可以使用在 RODC 上快取的密碼。根據預設值,此屬性只有一個值,即 [允許的 RODC 密碼複寫群組]。因為此網域本機群組預設為沒有任何成員,所以根據預設值,無法在任何 RODC 上快取帳戶密碼。
本節說明如何使用允許清單、拒絕清單、顯示清單以及通過驗證清單等屬性。
當 RODC 要求複寫使用者的密碼時,RODC 所連絡的可寫入 Windows Server 2008 網域控制站會允許或拒絕該要求。若要允許或拒絕該要求,可寫入網域控制站會針對提出要求的 RODC 檢查其允許清單和拒絕清單的值。
如果 RODC 要求密碼的帳戶位於該 RODC 的允許清單中 (而不是拒絕清單),則會允許該要求。
下圖顯示此作業如何進行。
拒絕清單的優先順序高於允許清單。
例如,假設組織具有一個名稱為 Admins 的安全性群組供系統管理員使用。該組織具有一個名稱為 S1 的站台,而且該站台內具有一個內含員工且名稱為 Emp_S1 的安全性群組。該組織另外還有一個名稱為 S2 的站台,而且該站台內具有一個內含員工且名稱為 Emp_S2 的安全性群組。
站台 S2 只有一個 RODC。Bob 是在站台 S2 工作的系統管理員。因此,他同時隸屬於群組 Emp_S2 及 Admins。安裝好站台 S2 的 RODC 時,便會將下表列出的安全性群組新增到 PRP。
| 安全性群組 | PRP 設定 |
|---|---|
|
Admins |
拒絕 |
|
Emp_S2 |
允許 |
根據指定的原則,只有 Emp_S2 群組中不屬於 Admins 群組之成員的認證,才可以在站台 S2 的 RODC 上快取。而 Emp_S1 及 Admins 群組成員的認證一律不會在 RODC 上快取。不過 Emp_S2 群組成員的認證則可以在 RODC 上快取。因此永遠不會在 RODC 上快取 Bob 的認證。
PRP 預設值
每個 RODC 都有一個 PRP,用以定義允許哪些帳戶將密碼複寫到 RODC,以及明確拒絕哪些帳戶將密碼複寫到 RODC。下表為預設原則指定的群組及設定。
| 群組名稱 | PRP 設定 |
|---|---|
|
Administrators |
拒絕 |
|
Server Operators |
拒絕 |
|
Backup Operators |
拒絕 |
|
Account Operators |
拒絕 |
|
Denied RODC Password Replication Group |
拒絕 |
|
Allowed RODC Password Replication Group |
允許 |
根據預設值,拒絕的 RODC 密碼複寫群組具有下列網域帳戶成員:
-
Cert Publishers
-
Domain Admins
-
Enterprise Admins
-
Enterprise Domain Controllers
-
Enterprise Read-Only Domain Controllers
-
Group Policy Creator Owners
-
krbtgt
-
Schema Admins
根據預設值,允許的 RODC 密碼複寫群組則無任何成員。
預設的 PRP 可以改進 RODC 安裝的安全性,方法是透過確認預設將不儲存任何帳戶密碼,並確認已明確拒絕讓安全性帳戶 (例如 Domain Admins 群組的成員) 將密碼儲存在 RODC。
修改預設的 PRP
您可以在建立 RODC 的帳戶時或在 RODC 帳戶建立後,修改預設的 PRP。若要在 RODC 帳戶建立後修改預設的 PRP,請在 [Active Directory 使用者和電腦] 嵌入式管理單元的 [網域控制站] 組織單位 (OU) 中,以滑鼠右鍵按一下該 RODC 帳戶,按一下 [內容],然後按一下 [密碼複寫原則] 索引標籤。(若要開啟 Active Directory 使用者和電腦嵌入式管理單元,請按一下 [開始],指向 [系統管理工具],然後按一下 [Active Directory 使用者和電腦])。
若要在建立 RODC 帳戶時,將帳戶新增至預設的 PRP,請按一下 [指定密碼複寫原則] 精靈頁面上的 [新增],然後指定要允許或拒絕將該帳戶的密碼儲存在 RODC 上。接著,使用 [選取使用者、電腦或群組] 對話方塊來選取要新增的帳戶。
您必須在 PRP 中加入適當的使用者、電腦及服務帳戶,才能讓 RODC 滿足本機的驗證及服務票證要求。如果您未在允許清單中加入分公司使用者用於登入網路的電腦帳戶,則 RODC 將無法滿足本機的服務票證要求,而需要藉由存取可寫入網域控制站來滿足這些要求。如果廣域網路 (WAN) 處於離線,這可能會導致服務中斷。
拒絕設定的優先順序高於允許設定。如果因為指定的使用者是所指定安全性群組 (或於指定的安全性群組內呈巢狀) 的成員,而直接或間接將兩種設定指定給該使用者,則該使用者的密碼便無法儲存在 RODC 上。不過請務必注意,如果可寫入網域控制站的 WAN 連線可以使用,則無法將密碼儲存在 RODC 上的使用者仍然可使用 RODC 進行登入。該使用者的密碼不會複寫至 RODC,但可以透過 WAN 由可寫入的網域控制站驗證登入。
下表說明三個 PRP 設定範例的優缺點。
| 範例 | 優點 | 缺點 |
|---|---|---|
|
不快取任何帳戶 (預設)。 |
最安全:由可寫入網域控制站來驗證使用者,並從 RODC 取得其 [群組原則] 以便快速處理該原則。 |
任何人都無法離線存取,需要 WAN 才能登入。 |
|
快取大部分帳戶。 |
輕鬆密碼管理:此選項專門用於最關心提升 RODC 可管理性而非安全性的組織。 |
可能暴露更多密碼給 RODC。 |
|
快取少數帳戶。 |
可以讓需要的使用者離線存取,但安全性比快取大部分帳戶來得高。 |
此方法需要更詳細的系統管理。您必須將使用者及電腦對應到擁有 RODC 的每個分公司。您也可以使用工具 (例如 repadmin /prp),將通過 RODC 驗證的帳戶移到「允許清單」的群組中,或是使用 Identity Lifecycle Manager (ILM) 來自動化此程序。 |
下列各節將更詳盡地解說各個範例。
不快取任何帳戶
此範例提供最安全的選項。除了 RODC 電腦帳戶及其特殊 krbtgt 帳戶之外,不會將任何密碼複寫到 RODC。不過,使用者與電腦驗證有賴於 WAN 可用性。此範例的優點是只要使用預設設定,就可以不需要進行任何額外的系統管理設定 (或者只需要進行極少系統管理設定)。
您可以選擇將有安全性顧慮的使用者群組加入「拒絕清單」中。儘管根據預設值不會快取任何帳戶,但是將有安全性顧慮的使用者帳戶加入「拒絕清單」中,可防止不小心將那些群組納入「允許清單」,並能防止之後在 RODC 上快取它們的密碼。
請注意,委派的 RODC 系統管理員帳戶並不會自動加入「允許清單」中。最佳的做法是,將委派的 RODC 系統管理員帳戶加入「允許清單」中,以確保委派的系統管理員永遠能夠登入 RODC,無論 WAN 是否可以連線到可寫入網域控制站。
快取大部分帳戶
此範例是最簡單的管理模式,不再需要仰賴 WAN 可用性來進行使用者及電腦驗證。在此範例中,您可以填入適用於所有 RODC 的「允許清單」,其中的群組可代表絕大部分的使用者及電腦。「拒絕清單」不允許對有安全性顧慮的使用者群組 (例如 Domain Admins) 快取其密碼。不過,大部分 的其他使用者可以視需要來快取自己的密碼。您可以選擇將有安全性顧慮的使用者群組加入「拒絕清單」中。
這個設定最適用於 RODC 實體安全性不會有風險的環境。例如,您可以用這個方法來為部署在安全地點中的 RODC 設定其 PRP,這麼做的主要好處在於能夠減少複寫和系統管理需求。
 | 重要 |
|
您也必須將使用者的電腦帳戶加入「允許清單」中,如此那些使用者才能在 WAN 離線時於分公司辦公室登入。 |
快取少數帳戶
此範例會限制可以快取的帳戶。通常,您必須分別定義每個 RODC,因為每個 RODC 各有一組被允許快取的使用者與電腦帳戶。此範例通常適用於在特定實體位置工作的一組使用者。
此範例的優點在於,這組使用者可以在 WAN 離線時,於分公司辦公室中登入網路並由 RODC 進行驗證。同時,透過減少可快取其密碼的使用者數量,遭到暴露的密碼範圍也因此受到限制。
在此範例中,填入「允許清單」和「拒絕清單」會造成系統管理工作負擔。沒有預設的自動化方法能夠從已知的安全性主體中讀取已根據特定 RODC 進行驗證的帳戶,也沒有預設方法能夠將這些帳戶填入「允許清單」。您可以使用 repadmin /prp move 命令將這些帳戶移到「允許清單」的群組中,或是使用指令碼或應用程式 (例如 ILM) 來建置此移動程序。
雖然您可以直接將使用者或電腦帳戶加入「允許清單」中,但是您應該改為替每個 RODC 建立一個安全性群組,將該群組加入「允許清單」中,然後在該安全性群組中新增使用者及電腦帳戶。使用這個方法時,您可以使用標準群組管理工具 (例如 [Active Directory 使用者和電腦] 嵌入式管理單元或 Dsadd 或 Dsmod 命令列工具),來管理可以在 RODC 上快取的帳戶。
repadmin /prp move 命令要求您指定安全性群組。如果您指定的安全性群組不存在,則會建立該群組,並將其加入「允許清單」中。
如同前述範例,您也必須將適當的電腦帳戶加入「允許清單」中。