RODC的密码复制策略

RODC的密码复制策略

接上一篇

继续

RODC 密码复制策略是由包含安全主体（用户、计算机和组）的四个多值 AD DS 属性决定的。每个 RODC 计算机帐户都具有这四个属性：

• msDS-Reveal-OnDemandGroup，通常也称为“允许列表”
• msDS-NeverRevealGroup，通常也称为“拒绝列表”
• msDS-RevealedList，通常也称为“显示列表”
• msDS-AuthenticatedToAccountList，通常也称为“身份验证列表”

RODC 可以随时复制“允许列表”中帐户的密码，无论该帐户是否尝试登录 RODC 都是如此。用户登录触发该操作仅仅是为了管理方便。

这意味着密码复制策略是 RODC 的安全边界。每个 RODC 可以有不同的密码复制策略。但是，如果未修改密码复制策略，则域中所有 RODC 的有效策略都相同。

密码复制策略允许列表和拒绝列表

为了支持 RODC 操作，在 Windows Server 2008 Active Directory 域中引入了两个新的内置组。它们是“允许的 RODC 密码复制组”和“拒绝的 RODC 密码复制组”。

这两个组可以帮助实施 RODC 密码复制策略的默认允许列表和拒绝列表。默认情况下，这两个组分别被添加到前面提到的  msDS-Reveal-OnDemandGroup 和  msDS-NeverRevealGroup Active Directory 属性中。

默认情况下，“允许的 RODC 密码复制组”不包含任何成员。而默认情况下，“允许列表”属性只包含“允许的 RODC 密码复制组”。

默认情况下，“拒绝的 RODC 密码复制组”包含下列成员：

• 企业域控制器
• 企业只读域控制器
• 组策略创建者所有者
• Domain Admins
• 证书发行者
• Enterprise Admins
• Schema Admins
• 域范围 krbtgt 帐户

默认情况下， 拒绝列表属性包含下列安全主体，它们全部为内置组：

• 拒绝的 RODC 密码复制组
• Account Operators
• Server Operators
• Backup Operators
• 管理员

每个 RODC 的 允许列表和 拒绝列表属性以及域范围“拒绝的 RODC 密码复制组”和“允许的 RODC 密码复制组”的组合为管理员提供了极大的灵活性。他们可以精确地决定将哪些帐户缓存在特定 RODC 上。

在最初部署 RODC 时，必须在作为复制伙伴的可写入域控制器上配置密码复制策略。

密码复制策略相当于一个访问控制列表 (ACL)。它确定是否允许 RODC 缓存密码。在 RODC 收到经过身份验证的用户或计算机登录请求时，它将参考密码复制策略来确定是否应缓存该帐户的密码。然后，同一帐户便可以更有效地执行后续登录。

密 码复制策略列出了允许缓存的帐户以及明确拒绝缓存的帐户。允许缓存的用户和计算机帐户列表并不表示 RODC 一定缓存了这些帐户的密码。例如，管理员可以事先指定 RODC 将缓存的任何帐户。这样即使指向中心站点的 WAN 链接脱机，RODC 也可以对这些帐户进行身份验证。

下表概述了密码复制策略的三个可能的管理模型。

不缓存任何帐户

此 模型提供了最安全的配置。没有密码复制到 RODC，RODC 计算机帐户及其特殊 krbtgt 帐户除外。但是，透明的用户和计算机身份验证依赖于 WAN 的可用性。此模型的优点是需要很少或者不需要对默认设置进行额外的管理配置。客户可以选择将其自己的安全敏感用户组添加到默认的拒绝用户列表中。这样可以防止这些用户组意外包含在允许的用户列表中，而且还可以防止之后将其密码缓存在 RODC 上。

缓存大多数帐户

此 模型提供了最简单的管理模式并且允许脱机操作。所有 RODC 的“允许列表”都用代表大部分用户群体的组填充。“拒绝列表”不允许安全敏感的用户组，如 Domain Admins。但是，大多数其他用户都可以根据需要缓存其密码。此配置最适合于 RODC 的物理安全没有危险的环境。

缓存很少帐户

此模型限制可以缓存的帐户。通常，管理员为每个 RODC 进行严格定义，即每个 RODC 都有其允许缓存的一组不同的用户和计算机帐户。通常，这基于在特定物理位置工作的一组用户。

此模型的优点是万一出现 WAN 故障，一组用户都将从脱机身份验证中获益。同时，密码泄露的范围也得到了限制，因为只有少量用户的密码可以被缓存。

有 一项与在此模型中填充“允许列表”和“拒绝列表”关联的管理开销。没有默认的自动方法可从已通过给定 RODC 身份验证的已知安全主体列表中读取帐户。也没有默认的方法用于使用这些帐户填充“允许列表”。管理员可能能够使用脚本或应用程序（如 MIIS）构建一个过程，以便将这些帐户直接添加到“允许列表”。

有两种方法可用来添加这些帐户。管理员可以将用户直接添加到“允许列表”或者将其添加到在该 RODC 的“允许列表”中已定义的组（首选）。管理员可以创建“特定 RODC”组来实现此目的。或者他们可以使用 AD DS 中具有合适成员范围的现有组。

当允许列表中仅包含来自分支机构的用户时，RODC 无法在本地满足服务票证请求，因此它依赖于对 Windows Server 2008 可写域控制器的访问来满足请求。在 WAN 脱机的情况下，这样操作可能会导致服务中断。

首先，您应该为密码复制策略定义管理模型。然后，定期查看或手动更新此密码复制策略。如果 RODC 被盗，则您必须重置其密码已缓存在 RODC 上的所有用户和计算机的密码。

密码复制策略”选项卡列出了默认情况下在 RODC 的“允许列表”和“拒绝列表”中定义的帐户。若要添加应该包含在“允许列表”或“拒绝列表”中的其他组，请单击 “ 添加”。若要添加将 不允许凭据缓存在 RODC 上的其他帐户，请单击 “ 拒绝”。若要添加将允许凭据缓存在 RODC 上的其他帐户，请单击 “ 允许”。

将不允许凭据缓存在 RODC 上的帐户仍然可以使用 RODC 进行域登录。但是，将不会缓存凭据以便以后使用 RODC 登录。

选择高级

除了RODC自身的计算机账户和Kerberos 票据授权票 (KRBTGT)账户之外，确实默认情况下没有缓存任何账户的密码。

我们可以查看  其密码已存储在此只读域控制器中的帐户

选择下拉列表

查看 已通过此只读域控制器身份验证的帐户

通过这个列表其实可以帮助您来确定哪些账户的密码应该允许此RODC进行缓存

 

默认的ALLOW组是没有内容的

在查看一下已经通过此只读域控制器身份验证的账户

关闭

选择添加

   

默认的DENY组阻止这些内容

以本地管理员登进来

我们看一下dns根本就没有新建这一选项

 

 

 

由于对RODC的密码复制策略理解的不是很好 ，所以看起来文章有些乱 。文中的文字解释多来自于微软。 欢迎看到的高手批评指正

本文转自 yuzeying1 51CTO博客，原文链接:http://blog.51cto.com/yuzeying/177688