RODC的密碼複制政策

RODC的密碼複制政策

接上一篇

繼續

RODC 密碼複制政策是由包含安全主體（使用者、計算機群組）的四個多值 AD DS 屬性決定的。每個 RODC 計算機帳戶都具有這四個屬性：

<b>msDS-Reveal-OnDemandGroup</b>，通常也稱為“允許清單”

<b>msDS-NeverRevealGroup</b>，通常也稱為“拒絕清單”

<b>msDS-RevealedList</b>，通常也稱為“顯示清單”

<b>msDS-AuthenticatedToAccountList</b>，通常也稱為“身份驗證清單”

RODC 可以随時複制“允許清單”中帳戶的密碼，無論該帳戶是否嘗試登入 RODC 都是如此。使用者登入觸發該操作僅僅是為了管理友善。

這意味着密碼複制政策是 RODC 的安全邊界。每個 RODC 可以有不同的密碼複制政策。但是，如果未修改密碼複制政策，則域中所有 RODC 的有效政策都相同。

<b>密碼複制政策允許清單和拒絕清單</b>

為了支援 RODC 操作，在 Windows Server 2008 Active Directory 域中引入了兩個新的内置組。它們是“允許的 RODC 密碼複制組”和“拒絕的 RODC 密碼複制組”。

這兩個組可以幫助實施 RODC 密碼複制政策的預設允許清單和拒絕清單。預設情況下，這兩個組分别被添加到前面提到的 <b>msDS-Reveal-OnDemandGroup</b> 和 <b>msDS-NeverRevealGroup</b> Active Directory 屬性中。

預設情況下，“允許的 RODC 密碼複制組”不包含任何成員。而預設情況下，“允許清單”屬性隻包含“允許的 RODC 密碼複制組”。

預設情況下，“拒絕的 RODC 密碼複制組”包含下列成員：

企業域控制器

企業隻讀域控制器

組政策建立者所有者

Domain Admins

證書發行者

Enterprise Admins

Schema Admins

域範圍 krbtgt 帳戶

預設情況下，<b>拒絕清單</b>屬性包含下列安全主體，它們全部為内置組：

拒絕的 RODC 密碼複制組

Account Operators

Server Operators

Backup Operators

管理者

每個 RODC 的<b>允許清單</b>和<b>拒絕清單</b>屬性以及域範圍“拒絕的 RODC 密碼複制組”和“允許的 RODC 密碼複制組”的組合為管理者提供了極大的靈活性。他們可以精确地決定将哪些帳戶緩存在特定 RODC 上。

在最初部署 RODC 時，必須在作為複制夥伴的可寫入域控制器上配置密碼複制政策。

密碼複制政策相當于一個通路控制清單 (ACL)。它确定是否允許 RODC 緩存密碼。在 RODC 收到經過身份驗證的使用者或計算機登入請求時，它将參考密碼複制政策來确定是否應緩存該帳戶的密碼。然後，同一帳戶便可以更有效地執行後續登入。

密 碼複制政策列出了允許緩存的帳戶以及明确拒絕緩存的帳戶。允許緩存的使用者和計算機帳戶清單并不表示 RODC 一定緩存了這些帳戶的密碼。例如，管理者可以事先指定 RODC 将緩存的任何帳戶。這樣即使指向中心站點的 WAN 連結脫機，RODC 也可以對這些帳戶進行身份驗證。

下表概述了密碼複制政策的三個可能的管理模型。

<a href="http://yuzeying.blog.51cto.com/attachment/200907/13/644976_124749956966nk.jpg"></a>

不緩存任何帳戶

此 模型提供了最安全的配置。沒有密碼複制到 RODC，RODC 計算機帳戶及其特殊 krbtgt 帳戶除外。但是，透明的使用者和計算機身份驗證依賴于 WAN 的可用性。此模型的優點是需要很少或者不需要對預設設定進行額外的管理配置。客戶可以選擇将其自己的安全敏感使用者組添加到預設的拒絕使用者清單中。這樣可以防止這些使用者組意外包含在允許的使用者清單中，而且還可以防止之後将其密碼緩存在 RODC 上。

緩存大多數帳戶

此 模型提供了最簡單的管理模式并且允許脫機操作。所有 RODC 的“允許清單”都用代表大部分使用者群體的組填充。“拒絕清單”不允許安全敏感的使用者組，如 Domain Admins。但是，大多數其他使用者都可以根據需要緩存其密碼。此配置最适合于 RODC 的實體安全沒有危險的環境。

緩存很少帳戶

此模型限制可以緩存的帳戶。通常，管理者為每個 RODC 進行嚴格定義，即每個 RODC 都有其允許緩存的一組不同的使用者和計算機帳戶。通常，這基于在特定實體位置工作的一組使用者。

此模型的優點是萬一出現 WAN 故障，一組使用者都将從脫機身份驗證中獲益。同時，密碼洩露的範圍也得到了限制，因為隻有少量使用者的密碼可以被緩存。

有 一項與在此模型中填充“允許清單”和“拒絕清單”關聯的管理開銷。沒有預設的自動方法可從已認證給定 RODC 身份驗證的已知安全主體清單中讀取帳戶。也沒有預設的方法用于使用這些帳戶填充“允許清單”。管理者可能能夠使用腳本或應用程式（如 MIIS）建構一個過程，以便将這些帳戶直接添加到“允許清單”。

有兩種方法可用來添加這些帳戶。管理者可以将使用者直接添加到“允許清單”或者将其添加到在該 RODC 的“允許清單”中已定義的組（首選）。管理者可以建立“特定 RODC”組來實作此目的。或者他們可以使用 AD DS 中具有合适成員範圍的現有組。

<a href="http://yuzeying.blog.51cto.com/attachment/200907/13/644976_12474995715Mtj.jpg"></a>

<a href="http://yuzeying.blog.51cto.com/attachment/200907/13/644976_1247499577oTvA.jpg"></a>

當允許清單中僅包含來自分支機構的使用者時，RODC 無法在本地滿足服務票證請求，是以它依賴于對 Windows Server 2008 可寫域控制器的通路來滿足請求。在 WAN 脫機的情況下，這樣操作可能會導緻服務中斷。

首先，您應該為密碼複制政策定義管理模型。然後，定期檢視或手動更新此密碼複制政策。如果 RODC 被盜，則您必須重置其密碼已緩存在 RODC 上的所有使用者和計算機的密碼。

<a href="http://yuzeying.blog.51cto.com/attachment/200907/13/644976_1247499583BR2p.jpg"></a>

密碼複制政策”頁籤列出了預設情況下在 RODC 的“允許清單”和“拒絕清單”中定義的帳戶。若要添加應該包含在“允許清單”或“拒絕清單”中的其他組，請單擊“添加”。若要添加将不允許憑據緩存在 RODC 上的其他帳戶，請單擊“拒絕”。若要添加将允許憑據緩存在 RODC 上的其他帳戶，請單擊“允許”。

将不允許憑據緩存在 RODC 上的帳戶仍然可以使用 RODC 進行域登入。但是，将不會緩存憑據以便以後使用 RODC 登入。

選擇進階

<a href="http://yuzeying.blog.51cto.com/attachment/200907/13/644976_1247499587xxz5.jpg"></a>

<b>除了RODC自身的計算機賬戶和Kerberos 票據授權票 (KRBTGT)賬戶之外，确實預設情況下沒有緩存任何賬戶的密碼。</b>

我們可以檢視 其密碼已存儲在此隻讀域控制器中的帳戶

選擇下拉清單

檢視已認證此隻讀域控制器身份驗證的帳戶

<a href="http://yuzeying.blog.51cto.com/attachment/200907/13/644976_1247499591YghV.jpg"></a>

<b>通過這個清單其實可以幫助您來确定哪些賬戶的密碼應該允許此RODC進行緩存</b>

預設的ALLOW組是沒有内容的

<a href="http://yuzeying.blog.51cto.com/attachment/200907/13/644976_12474996025jgK.jpg"></a>

在檢視一下已經通過此隻讀域控制器身份驗證的賬戶

關閉

<a href="http://yuzeying.blog.51cto.com/attachment/200907/13/644976_1247499606jIRJ.jpg"></a>

選擇添加

<a href="http://yuzeying.blog.51cto.com/attachment/200907/13/644976_1247499622TKhi.jpg"></a>

<a href="http://yuzeying.blog.51cto.com/attachment/200907/13/644976_1247499636t7Cd.jpg"></a>

<a href="http://yuzeying.blog.51cto.com/attachment/200907/13/644976_1247499640Sxl4.jpg"></a>

以本地管理者登進來

<a href="http://yuzeying.blog.51cto.com/attachment/200907/13/644976_1247499643bvnE.jpg"></a>

我們看一下dns根本就沒有建立這一選項

由于對RODC的密碼複制政策了解的不是很好 ，是以看起來文章有些亂 。文中的文字解釋多來自于微軟。 歡迎看到的高手批評指正

本文轉自 yuzeying1 51CTO部落格，原文連結:http://blog.51cto.com/yuzeying/177688