RODC-gefilterter Attributsatz

 

 

schreibgeschützter Domänencontroller

Bereitstellung

Trennung der Administratorenrolle

 

 

Das Schema der AD verfügt über einen Standartattributsatz mit RODC-Filter, der vertrauliche Attribute enthält. Diese Attribute können nicht von der Gruppe Authentifizierten Benutzer gelesen und nicht auf den RODC repliziert werden.

 

Wenn Sie Anwendungen einsetzen, die AD DS als Datenspeicher benutzen und vertrauliche Daten enthalten, kann es möglich sein, das diese Informationen nicht auf einen RODC repliziert werden sollen.

Mit dem RODC-gefilterte Attributsatz können Sie festlegen welche Attribute zusätzlich nicht auf den RODC repliziert werden dürfen. Wenn Sie diese als vertraulich kennzeichnen können sie nicht von der Gruppe Authentifizierte Benutzer gelesen werden.

 

Der RODC-gefilterte Attributsatz wird ab dem Server 2008 unterstützt, Server 2003 ignoriert ihn. Deshalb sollte bei Einsatz eines RODC die Domänenfunktionsebene auf Server 2008 festgelegt werden, bzw. alle DC auf Server 2008 aktualisiert werden.

 

Systemkritische Attribute können nicht zum RODC-gefiltertem Attributsatz hinzugefügt werden. Ein Attribut gilt als systemkritisch, wenn es für die ordnungsgemäße Funktion von AD DS, LSA (Local Security Authority), SAM (Security Accounts Manager) oder eines der Microsoft-spezifischen Sicherheitsdienstanbieter wie das Kerberos-Authentifizierungsprotokoll benötigt wird. Bei einem systemkritischen Attribut ist der Wert des schemaFlagsEx-Attributs gleich 1.

 

rodcfilter_002.jpg

 

Im Bild die Eigenschaften des Attributes ms-PKI-AccountCredentials aus dem Standartattributsatz mit RODC-Filter. Es ist vertraulich und RODC-gefiltert, kein systemkritisches Attribut.

 

 

Wollen Sie ein Attribut dem RODC-gefilterten Attributsatz hinzufügen starten Sie auf dem DC, der die Betriebsmasterrolle Schemamaster ausführt, den ADSI-Editor.

 

rodcfilter_001.jpg

 

Verbinden Sie sich mit dem Schema.

 

rodcfilter_004.jpg

 

Wählen Sie das Attribut, das dem RODC-gefilterten Attributsatz hinzugefügt werden soll. Klicken Sie mit der rechten Maustaste darauf > Eigenschaften

Suchen Sie das Attribut searchFlags

 

rodcfilter_003.jpg

 

Klicken Sie auf Bearbeiten und geben Sie den Wert als dezimale oder hexadezimale Zahl ein. Dabei gelten folgende Werte:

 

                                                          

Attribut

Dezimal

Hexadezimal

 

 

 

indiziert

        1 

0x001

vertraulich      

    128 

0x080

RODC-gefiltert

    512             

0x200

 

 

                                                             

                                              

                       

 

Wobei diese Werte additiv sind, wenn sie kombiniert werden, müssen sie zusammen addiert werden. Vertraulich und RODC-gefiltert ergibt 640 oder 0x280.