Read-Only contrôleurs de domaine et le schéma Active Directory
Windows Server 2008 introduit un nouveau type de contrôleur de domaine, le contrôleur de domaine en lecture seule (RODC). Cela fournit un contrôleur de domaine à utiliser dans les succursales où un contrôleur de domaine complet ne peut pas être placé. L’objectif est de permettre aux utilisateurs des succursales de se connecter et d’effectuer des tâches telles que le partage de fichiers/imprimantes, même en l’absence de connectivité réseau aux sites hub.
RodC ne modifie pas la façon dont le schéma est utilisé. Toutefois, il est utile de mention que le schéma prend en charge un Read-Only jeu d’attributs partiels (RO-PAS), également appelé jeu d’attributs filtré par rodc, qui est un jeu d’attributs spécial qui n’est PAS répliqué sur des contrôleurs de domaine pour des raisons de sécurité. LES RO-PAS sont définis dans le schéma via l’attribut searchFlags .
Jeu d’attributs filtrés RODC
Certaines applications qui utilisent services de domaine Active Directory comme magasin de données peuvent avoir des données similaires à des informations d’identification (telles que des mots de passe, des informations d’identification ou des clés de chiffrement) qui ne doivent pas être stockées sur un contrôleur de domaine Read-Only en cas de vol ou de compromission du contrôleur de domaine. Pour ce type d’application, vous pouvez ajouter l’attribut au jeu d’attributs filtrés rodc pour l’empêcher de se répliquer sur des contrôleurs de domaine dans la forêt, et marquer l’attribut comme confidentiel, ce qui supprime la possibilité de lire les données pour les membres du groupe Utilisateurs authentifiés (y compris les contrôleurs de domaine).
Ajout d’attributs au jeu d’attributs filtrés rodC
L’ensemble d’attributs filtrés RODC est un ensemble dynamique d’attributs qui n’est répliqué sur aucun contrôleur de domaine dans la forêt. Vous pouvez configurer l’ensemble d’attributs filtrés rodC sur un master de schéma qui exécute Windows Server 2008. Lorsque les attributs ne peuvent pas être répliqués sur des contrôleurs de domaine, ces données ne peuvent pas être exposées inutilement en cas de vol ou de compromission d’un contrôleur de domaine.
Vous ne pouvez pas ajouter d’attributs critiques pour le système à l’ensemble d’attributs filtrés rodC. Un attribut est critique pour le système s’il est requis pour qu’AD DS, l’autorité de sécurité locale (LSA), le gestionnaire de comptes de sécurité (SAM) et l’un des fournisseurs de services de sécurité spécifiques à Microsoft, tels que le protocole d’authentification Kerberos, fonctionnent correctement. Dans les versions de Windows Server 2008 après bêta 3, un attribut critique pour le système a une valeur d’attribut schemaFlagsEx (valeur & de l’attribut schemaFlagsEx 0x1 = TRUE).
Pour obtenir des instructions détaillées sur l’ajout d’attributs au jeu d’attributs filtrés rodc, consultez l’Annexe D du guide pas à pas pour les contrôleurs de domaine.
Marquage des attributs comme confidentiels
En outre, il est recommandé de marquer comme confidentiels tous les attributs que vous configurez dans le cadre de l’ensemble d’attributs filtrés rodC. Pour marquer un attribut confidentiel, vous devez supprimer l’autorisation Lecture pour l’attribut du groupe Utilisateurs authentifiés. Le marquage de l’attribut comme confidentiel offre une protection supplémentaire contre un contrôleur de domaine en cours qui est compromis en supprimant les autorisations nécessaires pour lire les données de type informations d’identification. Pour plus d’informations sur le marquage des attributs comme confidentiels, consultez l’article 922836 dans la Base de connaissances Microsoft.
Rubriques connexes
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour