Udostępnij za pośrednictwem

Kontroler RODC replikuje hasła po udzieleniu nieprawidłowych uprawnień w systemie Windows Server

W tym artykule rozwiązano problem polegający na tym, że kontroler RODC replikuje hasła po udzieleniu nieprawidłowych uprawnień w systemie Windows Server.

Oryginalny numer KB: 4050867

Objaw

Zwykle kontrolery domeny tylko do odczytu (RODC) replikują hasła użytkowników tylko dla kont użytkowników, które są członkami dozwolonej grupy replikacji haseł kontrolera RODC lub są wymienione w atrybucie msDS-RevealOnDemandGroup konta kontrolera RODC.

Jednak w przypadku niektórych kont użytkowników, które nie są członkami dozwolonej grupy replikacji haseł kontrolera RODC lub nie są wymienione w atrybucie msDS-RevealOnDemandGroup konta kontrolera RODC, może się okazać, że hasła dla tych kont uwierzytelnionych przez kontroler RODC mogą być buforowane przez kontroler RODC.

Na przykład podczas porównywania danych wyjściowych właściwości Zaawansowane zasady replikacji haseł przy użyciu Użytkownicy i komputery usługi Active Directory i danych wyjściowych repadmin /prp view RODC_name revealelementu wpisy wymienione są różne między nimi.

Przyczyna

Ten problem jest spowodowany nieprawidłową konfiguracją uprawnień.

Domyślnie grupa Kontrolery domeny przedsiębiorstwa, która zawiera tylko zapisywalne kontrolery domeny, ma uprawnienie Replikowanie zmian katalogu Wszystkie na partycji domeny. Na przykład na "DC=contoso,DC=com" w usłudze Active Directory.

Jednak w przypadku wystąpienia problemu kontroler RODC ma również uprawnienie Replikowanie katalogu Zmiany wszystkie w domenie, ponieważ został on przyznany przez administratora grupie Kontrolery domeny tylko do odczytu przedsiębiorstwa lub bezpośrednio lub pośrednio za pośrednictwem innego członkostwa w grupie Kontrolery domeny tylko do odczytu przedsiębiorstwa lub do obiektu RODC bezpośrednio lub pośrednio.

Zwykle kontrolery RODC replikują hasła użytkowników tylko wtedy, gdy konta użytkowników są członkami dozwolonej grupy replikacji haseł kontrolera RODC lub są wymienione w atrybucie msDS-RevealOnDemandGroup konta kontrolera RODC.

Przy użyciu uprawnienia Replikowanie katalogu zmienia wszystkie atrybuty użytkownika, w tym hasła, są replikowane ze źródłowego kontrolera domeny do kontrolera RODC tak, jakby kontroler RODC był normalnym kontrolerem domeny zapisu odczytu (RWDC).

Rozwiązanie

Aby rozwiązać ten problem, zmień uprawnienie Replikowanie katalogu Zmienia wszystkie, które zostało przyznane dla obiektu Kontrolery domeny tylko do odczytu przedsiębiorstwa na Replikowanie zmian katalogu.

Więcej informacji

Wykonaj następujące kroki, aby pomóc zweryfikować uprawnienia i określić, skąd pochodzą nieprawidłowe uprawnienia.

Krok 1

Użyj protokołu LDP, aby wyświetlić uprawnienia "kontroli dostępu" w domenie. W tym celu wykonaj następujące czynności:

  1. Uruchom polecenie LDP.exe na kontrolerze domeny.
  2. Połącz się z drzewem (na przykład DC=contoso,DC=com).
  3. Kliknij prawym przyciskiem myszy węzeł DC=contoso,DC=com , wybierz pozycję Zaawansowane, a następnie wybierz pozycję Deskryptor zabezpieczeń.
  4. Wybierz opcję Zrzut tekstu dla widoku tekstowego uprawnień lub pozostaw je niezaznaczone, aby uzyskać edytor zabezpieczeń graficznego interfejsu użytkownika.
  5. Sprawdź uprawnienia, aby upewnić się, że grupa Kontrolery domeny tylko do odczytu przedsiębiorstwa ma uprawnienia Replikowanie zmian katalogu.

Krok 2

Sprawdź członkostwo w grupach kontrolera RODC, aby określić, czy replikowanie zmian katalogu Wszystkie jest przyznawane za pośrednictwem innej grupy.

Aby uzyskać prawdziwe członkostwo kontrolera RODC, możesz użyć zapytania dla atrybutu TokenGroups , aby pobrać efektywną listę grup użytkownika przy użyciu narzędzia LDP.

Zrzut ekranu przedstawiający okno Wyszukiwania wypełnione zapytaniem dla atrybutu TokenGroups.

Upewnij się, że wybrano pozycję Zakres podstawowy i dodano wymagany atrybut. Podczas określania zakresu wyszukiwania dla pojedynczego użytkownika zostanie wyświetlona lista dla tego użytkownika. Jeśli użytkownik znajduje się w wielu grupach, musisz rozszerzyć ilość danych, które LDP drukuje w oknie po prawej stronie, wybierz pozycję Opcje\Ogólne z menu i dostosuj znaki na pole do większej wartości:

Zrzut ekranu przedstawiający okno Opcje ogólne z znakami na pole, które można dostosować.

Krok 3

W systemie Windows Server 2008 R2, Windows 7, Windows Server 2008 lub Windows Vista sprawdź, czy napotkasz problem opisany w następującym artykule:
Przystawka MMC "Użytkownicy i komputery usługi Active Directory" nie wyświetla listy wszystkich kont, które mają hasła buforowane na kontrolerze RODC w systemie Windows

Krok 4

Potwierdź spójność właściwości konta komputera kontrolera RODC na wszystkich kontrolerach domeny w domenie.

Jedną z metod jest wyeksportowanie repadmin metadanych replikacji konta komputera kontrolera RODC ze wszystkich kontrolerów domeny. W tym celu użyj następującego polecenia:

repadmin /showobjmeta *<dn of RODC account>' > rodc_meta.txt

Krok 5

Podobnie jak w kroku 4, potwierdź spójność dozwolonej grupy replikacji haseł kontrolera RODC i dowolnej innej grupy skonfigurowanej w atrybucie msDS-RevealOnDemandGroup, aby sprawdzić, czy niepoprawnie buforowane hasła użytkowników mogą być wyjaśnione przez niespójne członkostwo w grupach na różnych kontrolerach domeny, które mogą być spowodowane przez problem z replikacją.

Krok 6

Sprawdź, czy użytkownicy, którzy mają swoje hasła buforowane przez kontroler RODC, nie są przypadkowo członkami grupy skonfigurowanej do buforowania haseł.

Uwaga 16.

Program MMC zbierze informacje o zasadach replikacji haseł z dowolnego kontrolera domeny (nawet samego kontrolera RODC), podczas gdy repadmin /prp polecenie zawsze przesłuchuje kontroler domeny odczytu i zapisu.

Jeśli istnieją jakiekolwiek niespójności replikacji między kontrolerem RODC i kontrolerem domeny RW, może to wyjaśnić różnicę w danych wyjściowych tych dwóch narzędzi/metod.