Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Windows Server 2008 представляет новый тип контроллера домена, контроллер домена только для чтения (RODC). Это обеспечивает контроллер домена для использования в филиалах, где не удается разместить полный контроллер домена. Цель заключается в том, чтобы пользователи в филиалах могли входить в систему и выполнять такие задачи, как общий доступ к файлам и принтерам, даже если сетевое подключение к концентраторам отсутствует.
RODC не изменяет способ использования схемы. Однако следует отметить, что схема поддерживает набор атрибутов только для чтения (RO-PAS), который также называется набором отфильтрованных атрибутов RODC, который является специальным набором атрибутов, который не реплицируется в RODCs по соображениям безопасности. RO-PAS определяются в схеме с помощью атрибута searchFlags .
Набор отфильтрованных атрибутов RODC
Некоторые приложения, использующие службы домен Active Directory в качестве хранилища данных, могут иметь такие данные, как пароли, учетные данные или ключи шифрования), которые не должны храниться на контроллере домена только для чтения, если RODC украден или скомпрометирован. Для этого типа приложения можно добавить атрибут в отфильтрованный набор атрибутов RODC, чтобы предотвратить репликацию в РОДК в лесу и пометить атрибут как конфиденциальный, который удаляет возможность считывания данных для членов группы "Прошедшие проверку подлинности пользователей" (включая все контроллеры домена).
Добавление атрибутов в набор отфильтрованных атрибутов RODC
Отфильтрованный набор атрибутов RODC — это динамический набор атрибутов, которые не реплицируются в каких-либо контроллерах домена в лесу. Вы можете настроить отфильтрованный атрибут RODC в главной схеме под управлением Windows Server 2008. Если атрибуты не будут реплицироваться на контроллеры домена, данные не могут быть предоставлены без необходимости, если RODC украден или скомпрометирован.
Нельзя добавить системные критически важные атрибуты в набор отфильтрованных атрибутов RODC. Атрибут является системным, если он требуется для AD DS, локального центра безопасности (LSA), диспетчера учетных записей безопасности (SAM) и любого из поставщиков служб безопасности майкрософт, таких как протокол проверки подлинности Kerberos, для правильной работы. В выпусках Windows Server 2008 после бета-версии 3 системный атрибут имеет значение атрибута schemaFlagsEx (значение атрибута schemaFlagsEx и 0x1 = TRUE).
Пошаговые инструкции по добавлению атрибутов в набор отфильтрованных атрибутов RODC см . в приложении D пошагового руководства по контроллерам домена.
Маркировка атрибутов как конфиденциальных
Кроме того, рекомендуется пометить как конфиденциальные атрибуты, настроенные в составе отфильтрованного набора атрибутов RODC. Чтобы пометить атрибут конфиденциально, необходимо удалить разрешение на чтение атрибута для группы "Прошедшие проверку подлинности пользователей". Маркировка атрибута как конфиденциального обеспечивает дополнительную защиту от RODC, которая скомпрометирована путем удаления разрешений, необходимых для чтения данных, таких как учетные данные.