Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Hvorfor overveje dette
Et eller flere standardmedlemmer er blevet fjernet fra gruppen Til nægtet RODC-adgangskodereplikering. Denne gruppe bruges til at sikre, at adgangskoder for visse højt privilegerede brugere eller grupper ikke cachelagres på skrivebeskyttede domænecontrollere (RODCs). Hvis du fjerner standardmedlemmer fra denne gruppe, kan det medføre en sikkerhedsrisiko.
Se en kundetekniker, der forklarer problemet
Kontekst og bedste praksis
RODCs blev introduceret i Windows Server 2008. De er designet til at levere nogle skrivebeskyttede domænecontrollerfunktioner i miljøer, der kan være mindre fysisk sikre end centraliserede it-afdelinger eller datacentre, f.eks. forgreninger. RODC'ens skrivebeskyttede karakter giver nogle funktioner til lokale brugere, samtidig med at den giver en vis beskyttelse mod lokale sikkerhedsbrud til den bredere virksomhedsinfrastruktur.
RODCs er parret med en skrivbar domænecontroller (RWDC), som replikerer ændringer til RODC. Hvis en RODC modtager en skriveanmodning, videresendes anmodningen til et RWDC via WAN-linket (Wide Area Network). Opdateringerne replikeres derefter tilbage til RODC.
RODCs er typisk konfigureret til at tillade, at visse brugerkonti (typisk afdelingsmedarbejdere) godkender lokalt, selvom WAN-linket til den centrale it-infrastruktur er offline. For at gøre dette skal RODC cachelagre adgangskoder for disse brugere lokalt. Hvis en bruger forsøger at godkende til en RODC, og RODC ikke har en cachelagret adgangskode til brugeren, videresender RODC anmodningen til et RWDC via WAN-linket.
Den afviste RODC-adgangskodereplikeringsgruppe er en lokal domænegruppe, der angiver brugere og grupper, hvis adgangskoder ikke kan cachelagres på RODCs. Denne gruppe indeholder som standard følgende yderst privilegerede brugere og grupper:
- Gruppen Virksomhedsdomænecontrollere .
- Gruppen Skrivebeskyttede virksomhedsdomænecontrollere .
- Gruppen Virksomhedsadministratorer .
- Gruppen Domæneadministratorer .
- Gruppen Skemaadministratorer .
- Gruppen Ejere af gruppepolitikoprettere .
- Gruppen Cert Publishers .
- Krbtgt-kontoen for hele domænet.
Microsoft anbefaler, at du ikke fjerner disse brugere og grupper fra gruppen Til nægtet RODC-adgangskodereplikering.
Bemærk! Domænecontrollere bruger en nøgle, der er afledt af adgangskoden til krbtgt-kontoen (nøgledistributionstjenestekontoen) til at kryptere Kerberos Ticket-Granting Tickets (TGTs). Derfor skal alle domænecontrollere have en krbtgt-konto. For at forhindre kompromitterede RODCs i at bringe andre domænecontrollere i fare, får hver RODC sin egen unikke krbtgt-konto. Denne konto kaldes krbtgt*[tal]*, hvor [tal] er en streng af tilfældige tal.
Foreslåede handlinger
Den afviste RODC-adgangskodereplikeringsgruppe bruges til at angive brugere og grupper, hvis adgangskoder ikke kan cachelagres på RODCs. Denne gruppe indeholder som standard forskellige brugere eller grupper med mange rettigheder, f.eks. domæneadministratorer. Hvis du fjerner disse standardbrugere og -grupper, kan det øge eksponeringen af administratoradgangskoder til RODC'er. Dette besejrer igen nogle af målene med at implementere RODC'er og kan øge sårbarheden i hele Active Directory-området.
Gennemse politikken for replikering af adgangskode for RODC. RODC bør kun have tilladelse til at cachelagre adgangskoder for brugere, der skal kunne logge på lokalt, selvom WAN-linket (Wide Area Network) til den centrale it-infrastruktur er offline. I mangel af en overbevisende forretningssag for at fjerne standardmedlemmer fra gruppen Til nægtet RODC-adgangskodereplikering skal du gendanne alle standardmedlemmer til gruppen.
Linkene i afsnittet Få mere at vide indeholder mere vejledning i planlægning og konfiguration af politikker for replikering af adgangskoder.
Få mere at vide
Du kan finde en generel vejledning i, hvordan du opretter en politik for replikering af adgangskode, under Politik for replikering af adgangskode på https://technet.microsoft.com/library/cc730883.aspx.
Du kan finde en trinvis vejledning i konfiguration af politikken for replikering af adgangskode under Administration af politikken for replikering af adgangskode på https://technet.microsoft.com/library/rodc-guidance-for-administering-the-password-replication-policy.aspx.
Du kan få flere oplysninger om cachelagring af legitimationsoplysninger på RODCs under RODC-filtreret attributsæt, cachelagring af legitimationsoplysninger og godkendelsesprocessen med en RODCpå https://technet.microsoft.com/library/cc753459.aspx.