Бележка
Достъпът до тази страница изисква удостоверяване. Можете да опитате да влезете или да промените директориите.
Достъпът до тази страница изисква удостоверяване. Можете да опитате да промените директориите.
Защо да помислите за това
Един или повече членове по подразбиране са премахнати от групата за репликация на отказана парола на RODC. Тази група се използва, за да се гарантира, че паролите за определени потребители или групи с висока степен на привилегии не се кешират на домейнови контролери само за четене (RODC). Премахването на членовете по подразбиране от тази група може да създаде уязвимост в защитата.
Гледайте как инженер по клиенти обяснява проблема
Контекст и най-добри практики
RODC са въведени в Windows Server 2008. Те са проектирани да предоставят някои функционалности на домейнов контролер само за четене в среди, които може да са по-малко физически защитени от централизираните ИТ отдели или центрове за данни, като клонове. Естеството само за четене на RODC предоставя известна функционалност на местните потребители, като същевременно осигурява известна защита от пробиви в локалната сигурност на по-широката корпоративна инфраструктура.
RODC са сдвоени с записваем домейнов контролер (RWDC), който репликира промените в RODC. Ако RODC получи заявка за запис, заявката се препраща към RWDC през връзката Wide Area Network (WAN). След това актуализациите се репликират обратно в RODC.
RODC обикновено са конфигурирани да позволяват на определени потребителски акаунти (обикновено служители на клона) да се удостоверяват локално, дори ако WAN връзката към централната ИТ инфраструктура е офлайн. За да направи това, RODC трябва да кешира паролите за тези потребители локално. Ако потребителят се опита да се удостовери в RODC и RODC няма кеширана парола за потребителя, RODC препраща заявката към RWDC през WAN връзката.
Групата за репликация на отказана парола на RODC е локална група на домейна, която определя потребители и групи, чиито пароли не могат да бъдат кеширани в RODC. По подразбиране тази група съдържа следните високо привилегировани потребители и групи:
- Групата Enterprise Domain Controllers .
- Групата на корпоративните домейнови контролери само за четене.
- Групата "Корпоративни администратори".
- Групата Администратори на домейни.
- Групата Администратори на схема.
- Групата "Собственици на създатели на групови правила".
- Групата Cert Publishers .
- Акаунтът krbtgt за целия домейн.
Microsoft препоръчва да не премахвате тези потребители и групи от групата за репликация на отказана парола RODC.
Забележка: Домейновите контролери използват ключ, получен от паролата на акаунта на krbtgt (акаунта на услугата за разпространение на ключове), за да криптират билети за предоставяне на билети (TGT) на Kerberos. Като такъв, всеки домейнов контролер се нуждае от krbtgt акаунт. За да се предотврати компрометирането на RODC да застраши други домейн контролери, всеки RODC получава свой собствен уникален krbtgt акаунт. Този акаунт се нарича krbtgt*[числа]*, където [числа] е низ от случайни числа.
Предложени действия
Групата за репликация на отказана парола на RODC се използва за определяне на потребители и групи, чиито пароли не могат да бъдат кеширани в RODC. По подразбиране тази група съдържа различни потребители или групи с висока привилегия, като например администратори на домейни. Премахването на тези потребители и групи по подразбиране може да увеличи излагането на администраторски пароли на RODC. Това от своя страна осуетява някои от целите на внедряването на RODC и може да увеличи уязвимостта на цялата гора на Active Directory.
Прегледайте правилата за репликация на пароли за RODC. RODC трябва да има право да кешира пароли само за потребители, които трябва да могат да влизат локално, дори ако връзката на Wide Area Network (WAN) към централната ИТ инфраструктура е офлайн. При липса на убедителен бизнес казус за премахване на членовете по подразбиране от групата за репликация на отказана парола на RODC, възстановете всички членове по подразбиране в групата.
Връзките в раздела Научете повече предоставят повече насоки за планиране и конфигуриране на правила за репликация на пароли.
Научете повече
За общи указания относно създаването на правила за репликация на пароли вижте Правила за репликация на пароли на https://technet.microsoft.com/library/cc730883.aspx.
За процедурни указания относно конфигурирането на правилата за репликация на пароли вижте Администриране на правилата за репликация на пароли на https://technet.microsoft.com/library/rodc-guidance-for-administering-the-password-replication-policy.aspx.
За повече информация относно кеширането на идентификационни данни на RODC вижте Филтриран набор от атрибути на RODC, Кеширане на идентификационни данни и Процес на удостоверяване с RODCна https://technet.microsoft.com/library/cc753459.aspx.