Active Directory Windows Server 2008 - Admin Role Separation

Uma das funcionalidades que mostrarei no Teched Brasil este ano, na palestra de Windows Server 2008 é a possibilidade de se criar "administradores locais" em Domain Controllers.

Isto mesmo. Vamos explicar melhor. A feature chama-se "Admin Role Separation" e está disponível para Domain Controllers do tipo RODC (Read Only Domain Controller). Esses servidores são recomendáveis para escritórios ou localidades remotas, onde você possui poucos usuários, mas é necessário fornecer serviços de rede, tais como autenticação, file/print, etc. Muitas vezes, esses locais não possuem o mesmo grau de segurança de uma matriz / datacenter. Por isso, instalar um servidor Domain Controller FULL pode representar riscos de segurança. Assim, um RODC, que possui sua base NTDS.DIT somente leitura, possui um nível maior de proteção. Além disso, por padrão, as credenciais (senhas) não são armazenadas em cache em um RODC, assim, se um server for comprometido, não há credenciais locais.

Bem, dado o cenário, você tem a possibilidade de adicionar uma conta do comínio como Admin local do DC - isto mesmo, ele será administrador apenas do DC que pertence à sua localidade remota, eliminando a necessidade de adicioná-lo ao grupo "Domain Admins" e assim, lhe dar "super poderes".

Essa configuração pode ser feita através do comando dsmgmt , que pode ser executado localmente no RODC:

c:\> dsmgmt

local roles

add domain\account administrators

show role administrators

quit