Schreibgeschützter Domänencontroller
ermöglicht an physisch
weniger sicheren Standorten den Einsatz eines Domänencontrollers
durch den Einsatz des RODC
ist die Möglichkeit die Domäne mit gestohlenen oder manipulierten DC
anzugreifen eingeschränkt
der RODC speichert keine
sicherheitsrelevanten Informationen
Trennung
der Administratorenrolle
Kennwortreplikationsrichtlinie
Die
Kennwortreplikationsrichtlinie (Password Replication Policy,
PRC) legt fest, welche Benutzerinformationen auf dem RODC zwischengespeichert
werden dürfen.
Ist das Zwischenspeichern
erlaubt werden Authentifizierungs- und Dienstticketaktivitäten des Benutzers
vom RODC verarbeitet.
Ist es verboten werden die
Anfragen an einen Domänencontroller mit Schreibberechtigung weitergeleitet.
Es gibt zwei
Mehrwertattribute die auch Liste der
zulässigen Konten und Liste der
abgelehnten Konten genannt werden, wenn der Benutzer Mitglied beider Listen
ist hat die Ablehnung Vorrang.
Im Windows Server 2008
befinden sich zwei vorkonfigurierte domänenlokale Sicherheitsgruppen im Users Container der AD. Die Gruppe Zulässige RODC-Kennwortreplikationsgruppe
wird er Liste der zulässigen Konten
hinzugefügt, diese Gruppe ist standardmäßig leer, sollen die
Anmeldeinformationen von Benutzern zwischengespeichert werden, müssen die in
diese Gruppe aufgenommen werden. Die Gruppe Abgelenhnte RODC-Kennwortreplikationsgruppe wird der Liste der abgelehnten Konten hinzugefügt, Standardmäßig enthält sie
sicherheitsrelevante Konten die unter anderem Mitglieder der Gruppen Domänen-Admin, Organisations-Admin und Richtlinien-Ersteller-Besitzer
sind, sollen Anmeldeinformationen bestimmter Benutzer nicht zwischengespeichert
werden, fügen sie sie dieser Gruppe hinzu.
soll der RODC an jeder
Zweigstelle direkt konfiguriert werden, müssen die Listen direkt bearbeitet
werden, dazu öffnen sie die Eigenschaften des RODC-Computerkontos in der OU
Domain Controllers
Verwalten der RODC-Zwischenspeicherung von
Anmeldeinformationen
in den Eigenschaften des
Schreibgeschützten Domänecontrollers in der Benutzer-
und Computerverwaltung, in der Registerkarte Kennwortreplikationsrichtlinie > Erweitert > Richtlinienverwendung
kann geprüft werden wie die Richtlinien angewendet werden
Konten, deren Kennwörter auf diesen schreibgeschützten
Domänencontroller gespeichert sind
zeigt die Liste der Benutzer-
und Computeranmeldeinformationen auf den Server gespeichert sind
Von diesem schreibgeschützten Domänencontroller
authentifizierte Konten
zeigt eine Liste der
Benutzer- und Computeranmeldeinformationen an, die an einen Domänencontroller
mit Schreibberechtigung zur Authentifizierung oder Dienstticketverarbeitung
weitergeleitet wurden
es können nur Anmeldeinformationen
zwischengespeichert werden, wenn der Benutzer oder Computer in der Liste der
zulässigen Konten geführt wird, die Zwischenspeicherung erfolgt erst wenn durch
den RODC eine Replikation der Anmeldeinformationen von einen Domänecontroller mit Schreibberechtigung durchführt
durch das Auffüllen von
Kennworten wird sichergestellt, das sich auch Benutzer oder Computer am RODC
anmelden können die sich das erste Mal in der AD anmelden
DNS Server auf RODC
der DNS Service auf einem
RODC stellt primäre schreibgeschützte DNS-Zonen bereit
diese Zonen sind
autorisierend werden aber nicht dynamisch aktualisiert
der DNS Server auf dem RODC
ruft neue und aktualisierte Einträge von einem DC mit Schreibberechtigung ab,
sofern der dieses erlaubt