Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Windows Server 2008 introducerar en ny typ av domänkontrollant, den skrivskyddade domänkontrollanten (RODC). Detta ger en domänkontrollant för användning på avdelningskontor där en fullständig domänkontrollant inte kan placeras. Avsikten är att tillåta användare på avdelningskontoren att logga in och utföra uppgifter som fil-/skrivardelning även när det inte finns någon nätverksanslutning till hubbplatser.
RODC ändrar inte hur schemat används. Det är dock värt att nämna att schemat stöder en Read-Only partiell attributuppsättning (RO-PAS), även kallad en RODC-filtrerad attributuppsättning, vilket är en särskild attributuppsättning som INTE replikeras till RODC av säkerhetsskäl. RO-PAS definieras i schemat via attributet searchFlags.
RODC-filtrerad attributuppsättning
Vissa program som använder Active Directory Domain Services som ett datalager kan ha autentiseringsliknande data (till exempel lösenord, autentiseringsuppgifter eller krypteringsnycklar) som inte ska lagras på en Read-Only domänkontrollant om RODC blir stulen eller komprometterad. För den här typen av program kan du lägga till attributet i den RODC-filtrerade attributuppsättningen för att förhindra att det replikeras till RODC i skogen och markera attributet som konfidentiellt, vilket tar bort möjligheten att läsa data för medlemmar i gruppen Autentiserade användare (inklusive eventuella RODCs).
Lägga till attribut till den RODC-filtrerade attributuppsättningen
Den RODC-filtrerade attributuppsättningen är en dynamisk uppsättning attribut som inte replikeras till några RODC:er i skogen. Du kan konfigurera det RODC-filtrerade attributet som angetts för en schemahanterare som kör Windows Server 2008. När attributen hindras från att replikera till RODC kan dessa data inte exponeras i onödan om en RODC blir stulen eller komprometterad.
Du kan inte lägga till systemkritiska attribut i den RODC-filtrerade attributuppsättningen. Ett attribut är systemkritiskt om det krävs för att AD DS, Local Security Authority (LSA), Security Accounts Manager (SAM) och någon av Microsofts specifika säkerhetstjänstleverantörer, till exempel Kerberos-autentiseringsprotokollet, ska fungera korrekt. I versioner av Windows Server 2008 efter Beta 3 har ett systemkritiskt attribut ett schemaFlagsEx-attributvärde för (schemaFlagsEx-attributvärde & 0x1 = TRUE).
Stegvisa instruktioner för hur du lägger till attribut i den RODC-filtrerade attributuppsättningen finns i bilaga D i steg-för-steg-guiden för RODC-.
Markera attribut som konfidentiella
Dessutom rekommenderar vi att du också markerar som konfidentiella attribut som du konfigurerar som en del av den RODC-filtrerade attributuppsättningen. Om du vill markera ett konfidentiellt attribut måste du ta bort läsbehörigheten för attributet för gruppen Autentiserade användare. Att markera attributet som konfidentiellt ger ett ytterligare skydd mot en rodc som komprometteras genom att ta bort de behörigheter som krävs för att läsa autentiseringsliknande data.