Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Por qué es algo que se debe considerar
Se ha quitado a uno o más miembros predeterminados del grupo de replicación de contraseña RODC denegada. Este grupo se utiliza para asegurar que las contraseñas de determinados usuarios o grupos con privilegios elevados no se almacenen en caché en los controladores de dominio de solo lectura (RODC). Eliminar miembros predeterminados de este grupo puede crear una vulnerabilidad de seguridad.
Vea a un ingeniero de clientes explicando el problema
Contexto y prácticas recomendadas
Los RODC se introdujeron en Windows Server 2008. Se diseñaron para proporcionar alguna funcionalidad de controlador de dominio de solo lectura en entornos que pueden ser físicamente menos seguros que un departamento de TI o centros de datos centralizados, como por ejemplo, sucursales. La naturaleza de solo lectura del RODC proporciona alguna funcionalidad a los usuarios locales sin dejar de ofrecer cierta protección a la infraestructura general de la empresa ante rupturas de seguridad locales.
Los RODC se emparejan con un controlador de dominio grabable (RWDC) que replica los cambios en el RODC. Si un RODC recibe una solicitud de escritura, esta se reenvía a un RWDC mediante el vínculo de la red de área extensa (WAN). Las actualizaciones se replican entonces en el RODC.
Los RODC suelen configurarse para permitir que determinadas cuentas de usuario (normalmente, de personal de una sucursal) se autentiquen de forma loca, aunque el vínculo WAN a la infraestructura de TI central no tenga conexión. Para lograrlo, el RODC debe almacenar en caché de forma local las contraseñas de esos usuarios. Si un usuario intenta autenticarse en un RODC y este no tiene una contraseña almacenada en caché para el usuario, el RODC reenvía la solicitud a un RWDC a través del enlace WAN.
El grupo de replicación de contraseña RODC denegada es un grupo local de dominio que especifica usuarios y grupos cuyas contraseñas no se pueden almacenar en caché en RODC. De forma predeterminada, este grupo contiene los siguientes usuarios y grupos con muchos privilegios:
- El grupo Enterprise Domain Controllers.
- El grupo Enterprise Domain Controllers de solo lectura.
- El grupo Administradores de empresa.
- El grupo Administradores de dominio.
- El grupo Administradores de esquema.
- El grupo Propietarios del creador de directivas de grupo.
- El grupo Publicadores de certificados.
- La cuenta krbtgt en todo el dominio.
Microsoft recomienda no quitar estos usuarios ni grupos del Grupo de replicación de contraseña RODC denegada.
Nota: Los controladores de dominio usan una clave derivada de la contraseña de la cuenta krbtgt (la cuenta de servicio distribución de claves) para cifrar vales de concesión de vales Kerberos (TGT). Como tal, cada controlador de dominio necesita una cuenta krbtgt. Para impedir que los RODC en peligro amenacen a otros controladores de dominio, a cada RODC se le proporciona su propia cuenta krbtgt única. A esta cuenta se le llama krbtgt*[números]*, donde [números] es una cadena de números aleatorios.
Acciones recomendadas
El grupo de replicación de contraseña RODC denegada se utiliza para especificar usuarios y grupos cuyas contraseñas no se pueden almacenar en caché en RODC. De manera predeterminada, este grupo contiene usuarios o grupos con privilegios altos, como administradores de dominio. Si se quitan estos usuarios y grupos predeterminados, se puede aumentar la exposición de contraseñas del administrador a RODC. Esto, a su vez, frustra algunos de los objetivos de la implementación de RODC y puede aumentar la vulnerabilidad de todo el bosque de Active Directory.
Revise la directiva de replicación de contraseñas de RODC. Solo se debe permitir a RODC almacenar en la memoria caché las contraseñas de los usuarios que necesiten poder iniciar sesión localmente, aunque el vínculo de la red de área extensa (WAN) con la infraestructura central de TI esté sin conexión. En ausencia de un caso de negocio eficiente para quitar miembros predeterminados del grupo de replicación de contraseña RODC denegada, restaure todos los miembros predeterminados al grupo.
Los vínculos de la sección Más información ofrecen más instrucciones sobre la planificación y la configuración de directivas de replicación de contraseñas.
Más información
Para obtener instrucciones generales sobre la creación de una directiva de replicación de contraseñas, consulte Directiva de replicación de contraseñas en https://technet.microsoft.com/library/cc730883.aspx.
Para obtener instrucciones procedimentales sobre la configuración de la directiva de replicación de contraseñas, consulte Administración de la directiva de replicación de contraseñas en https://technet.microsoft.com/library/rodc-guidance-for-administering-the-password-replication-policy.aspx.
Para obtener más información sobre el almacenamiento en caché de las credenciales en los RODC, consulte Conjunto de atributos con filtro RODC, almacenamiento en caché de credenciales y proceso de autenticación con un RODC en https://technet.microsoft.com/library/cc753459.aspx.