PRP 是由两个包含安全主体(用户、计算机和组)的多值 Active Directory 属性定义的。每个 RODC 计算机帐户都有以下两个属性:
msDS-Reveal-OnDemandGroup,也称为“允许列表”
msDS-NeverRevealGroup,也称为“拒绝列表”
为了帮助管理 PRP,还为每个 RODC 维护了另外两个与 PRP 相关的属性。
msDS-RevealedList,也称为“显示列表”
msDS-AuthenticatedToAccountList,也称为“身份验证列表”
msDS-Reveal-OnDemandGroup 属性指定可以在 RODC 上缓存哪些安全主体的密码。默认情况下,此属性有一个值,即Allowed RODC Password Replication Group。由于此域本地组中默认没有任何成员,因此默认情况下不能在 RODC 上缓存任何帐户密码。
本部分介绍如何使用“允许列表”、“拒绝列表”、“显示列表”和“身份验证列表”属性。
当 RODC 请求复制用户密码时,该 RODC 联系的可写 Windows Server 2008 域控制器允许或拒绝该请求。为了允许或拒绝请求,该可写域控制器会检查发出请求的 RODC 的“允许列表”和“拒绝列表”的值。
如果 RODC 所请求密码的帐户位于该 RODC 的“允许列表”(而不是“拒绝列表”)中,则允许该请求。
下图显示了此操作的过程。
“拒绝列表”优先于“允许列表”。
例如,假设有一个组织的管理员安全组名称为 Admins。该组织有一个名为 S1 的站点和一个名为 Emp_S1 的安全组,且 Emp_S1 安全组包含 S1 站点中的员工。该组织有另外一个名为 S2 的站点和一个名为 Emp_S2 的安全组,且 Emp_S2 安全组包含 S2 站点中的员工。
站点 S2 只有一个 RODC。Bob 是在站点 S2 工作的管理员。因此,他同时属于 Emp_S2 和 Admins 组。安装站点 S2 中的 RODC 时,会将下表中列出的安全组添加到 PRP 中。
安全组
PRP 设置
Admins
拒绝
Emp_S2
允许
根据指定的策略,只有属于 Emp_S2 组而且不属于 Admins 组成员的凭据才能在站点 S2 的 RODC 上缓存。同时属于 Emp_S1 组和 Admins 组成员的凭据将无法在该 RODC 上缓存。Emp_S2 组成员的凭据可能能够在该 RODC 上缓存。Bob 的凭据无法在该 RODC 上缓存。
扫一扫
5034
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
