只读 DC 和 Active Directory 架构

Windows Server 2008 引入了一种新的域控制器类型,即只读域控制器 (RODC)。 这就为无法放置完整域控制器的分支机构提供了一个域控制器。 这样做的目的是让分支机构的用户即使在没有网络连接到中心站点的情况下,也能登录并执行文件/打印机共享等任务。

RODC 不会改变架构的使用方式。 不过,值得一提的是,架构支持只读部分属性集 (RO-PAS),也称为 RODC 筛选属性集,这是一种特殊的属性集,出于安全考虑,它不会被复制到 RODC。 模式中的 RO-PAS 是通过 searchFlags 属性定义的。

RODC 筛选的属性集

某些使用 Active Directory 域服务作为数据存储的应用程序可能会有类似凭据的数据(比如密码、凭据或加密密钥),这些数据不应存储在只读域控制器上,以防 RODC 被盗或泄露。 对于这种类型的应用程序,可以将属性添加到 RODC 筛选属性集,以防止它被复制到林中的 RODC 中,并将属性标记为机密,这样就可以让“已验证用户”组(包括任何 RODC)成员无法读取数据。

将属性添加到 RODC 筛选的属性集

RODC 筛选的属性集是一个动态属性集,它不会被复制到林中的任何 RODC。 可以在运行 Windows Server 2008 的架构主机上配置 RODC 筛选的属性集。 当属性被阻止复制到 RODC 时,如果 RODC 被盗或泄露,数据就能免去不必要的公开。

不能将系统关键属性添加到 RODC 筛选的属性集中。 如果 AD DS、本地安全机构 (LSA)、安全帐户管理器 (SAM) 和任何特定于 Microsoft 的安全服务提供程序(如 Kerberos 身份验证协议)需要某个属性才能正常运行,那么该属性就是系统关键属性。 在 Beta 3 之后的 Windows Server 2008 版本中,系统关键属性的 schemaFlagsEx 属性值为(schemaFlagsEx 属性值 & 0x1 = TRUE)。

有关向 RODC 筛选属性集添加属性的分步说明,请参阅 RODC 分步骤指南附录 D

将属性标记为机密

此外,还建议将配置为 RODC 筛选属性集一部分的任何属性也标记为机密。 要将属性标记为机密,必须删除“经过身份验证的用户组”属性的“读取”权限。 将属性标记为机密属性可提供额外的保护,从而防止 RODC 因删除读取类似凭据数据所需的权限而遭到破坏。

RODC 分步骤指南附录 D