在部署RODC时,还必须在用于复制伙伴的可写域控制器上配置密码复制策略。密码复制策略可以当作访问控制列表(ACL),决定了RODC是否可以将特定的用户或计算机的密码缓存起来。在获得了已验证用户或计算机的登录请求后,RODC会使用密码复制出来判断自己是否应该缓存该帐户的密码。
使用密码复制策略
我们可以通过多种方式配置密码复制策略,具体如下:
可禁止帐户被缓存以实现严格的控制,例如在RODC的物理安全无法保证时。
可允许少数用户被缓存实现强控制,例如在RODC物理安全正常,但是无法总是有把握。
可允许很多帐户被缓存以实现不太严格的控制,例如在RODC的物理安全总是有保证时。
密码复制策略是以每计算机为基础进行管理的。RODC中的计算机对象会被更新以包含下列安全主体(用户、计算机,以及组)的多值目录属性。
msDS-Reveal-OnDemandGroup定义了允许帐户(Allowed Account)的列表
msDS-NeverRevealGroup定义了拒绝帐户(Denied Account)的列表
msDS-RevealedUsers定义了披露帐户(Revealed Account)的列表
msDS-AuthenticatedToAccountList定义了验证到(Authenticated To)列表
RODC可以配合使用这些属性判断某个帐号的密码是否可以被复制和缓存。拒绝帐户的密码永远不会被复制和缓存,允许帐户的密码总是可以被复制和缓存。密码是否可以被缓存并不取决于用户或计算机是否通过RODC登录到域。不管什么时候,RODC都可以复制允许帐户的密码,而管理员可以使用Active Directory用户和计算机控制台允许帐户准备密码。
在RODC的高级安装模式过程中,我们可以配置初始的密码复制策略设置。为了支持RODC,Windows Server 2008包含了下列新的内建组:
Enterprise Read-Only Domain ControllersActive Directory林中的每台RODC都会自动成为改组的成员,该组成员关系是正常运转的必要条件
Read-Only Domain ControllersActive Directory域中的每台RODC会自动成为改组的成员,该组的成员关系是这场运作的必要条件。
Allowed RODC Password Replication Group该组可用于管理允许帐户,该组成员帐户的密码总是会被复制到RODC
Denied RODC Password Replication Group该组可用于管理拒绝帐户,该组成员帐户的密码永远不会被复制到RODC
默认情况下Allowed RODC Password Replication Group组中没有成员;同样默认情况下Allowed RODC Password Replication Group组是密码复制策略中定义的唯一允许的帐户。
默认情况下,Denied RODC Password Replication Group组包含下列成员:
Cert Publishers
Domain Admins
Domain Controllers
Enterprise Admins
Group Policy Creator Owners
Read-Only Domain Controllers
Schema Admins
The domain-wide krbtgt account
同样默认情况下,拒绝帐户列表中包含下列的安全主体,并且全部是内建组:
Account Operators
Administrators
Backup Operators
Denied RODC Password Replication Group
Server Operators
在密码复制策略中允许或拒绝帐户
每台RODC都有独立的密码复制策略。要管理密码复制策略,必须使用Domain Admins组的成员登录,而管理密码复制策略最简单的办法如下。
将不允许密码复制的帐户添加到Denied RODC Password Replication Group组
将允许密码复制的帐户添加到Allowed RODC Password Replication Group组
然而,如果只需要为每个位置的用户和计算机帐户限制密码的缓存,这种做法并不能满足安全需求。因此,管理密码复制策略和限制密码缓存操作最理想的办法是直接编辑密码复制策略设置。要为RODC编辑密码复制策略,请按照下列步骤操作。
在Active Directory用户和计算机控制台中,确保Active Directory用户和计算机已经连接到了Windows Server2008的可写域控制器。用鼠标右键单击Active Directory用户和计算机节点,选择”更改域控制器“命令。如下图所示,我们要连接到一台可写域控制器,也就是说,其”DC类型“中不能包含"RODC"的字样。如果连接到的就是RODC,请改为连接到可写域控制器。随后单击”确定“或“取消”
在Active Directory用户和计算机窗口中,展开”域“节点,然后选择”Domain Controllers“
在右侧窗口中,用鼠标右键单击RODC计算机帐户,然后选择”属性“
在下图所示的”密码复制策略“选项卡中,可以看到该RODC目前的密码复制策略设置。
随后可以执行以下操作
定义允许帐户。
单击”添加“,选择”允许该帐户的密码复制到此RODC“,然后单击”确定“。在随后出现”选择用户、联系人、计算机或组“对话框中,输入帐户名称,单击”检查名称“。入股列出的帐户名称是正确的,单击”确定“将其添加到密码复制出来的允许帐户列表中。
定义拒绝帐户。
单击”添加“,选择”拒绝该帐户的密码复制到此RODC“,然后单击”确定“。在随后出现”选择用户、联系人、计算机或组“对话框中,输入帐户名称,单击”检查名称“。列出的帐户名称是正确的,单击”确定“将其添加到密码复制出来的拒绝帐户列表中。
从密码复制策略中删除帐户。
在”组、用户和计算机“列表中选中目标帐户,然后单击”删除“,在要求确认时单击“是”。
查看和管理RODC上的凭据
通过使用高级密码复制策略对话框,我们可以查看缓存的凭据或预设凭据。在预设用户帐号时,还应该考虑预设用户将要使用的计算机帐户的密码。
要查看或操作该对话框,请按照下列步骤操作:
在Active Directory用户和计算机控制台中,展开域节点,选择Domain Controllers
在右侧窗格中,用鼠标右击RODC计算机帐户,选择属性
在”密码复制策略“选择卡中,单击”高级“按钮打开如图所示高级密码复制策略对话框。
随后可以执行以下操作
默认这里会显示RODC上已经保存了密码的帐户。要查看已经被该RODC验证的帐户,请在”显示满足下列条件的用户和计算机“下拉列表中选择”已通过此只读域控制器身份验证的帐户“选项。
要为中华预设密码,请单击”预设密码“按钮,在随后出现的”选择用户或计算机“对话框中,输入帐号的密码,当即”检查名称“按钮。如果列出的帐户名称正确,单击”确定“按钮以添加缓存密码到RODC上的请求。在要求确认的时候单击”是“,然后单击”确定“。
判断帐户是被允许或拒绝访问
要判断某个帐户是否被允许或限制,可以使用结果策略检查所有相关的成员关系,并判断最终应用的结构。具体步骤如下:
在Active Directory用户和计算机控制台中,展开域节点,选择Domain Controllers
在右侧窗格中,用鼠标右击RODC计算机帐户,选择属性
在”密码复制策略“选择卡中,单击”高级“按钮打开如图所示高级密码复制策略对话框。
在”结果策略“选项卡中单击”添加“
在”选择用户或计算机“对话框中输入帐户名称,单击”检查名称”按钮。如果列出的帐户名称是正确的,单击“确定”按钮切换到下图所示的“结果策略”选项卡。
重设凭据
如果RODC被攻陷或失窃,还可以为该RODC上缓存里凭据的所有帐户重设密码,步骤如下:
在Active Directory用户和计算机控制台中,确保Active Directory用户和计算机已经连接到运行Windows Server 2008的可写域控制器。用鼠标右键单击Active Directory用户和计算机节点,选择“更改域控制器”,要连接到的应该是一个可写域控制器,也就是说,其“DC类型”中不包含“RODC”字样。如果连接到是RODC,请更改为连接到可写域控制器。随后按情况单击”确定“按钮或”取消“按钮。
在Active Directory用户和计算机窗口中展开域节点,选择”Domain Controllers“
在右侧窗格中,用鼠标右键单击RODC计算机帐户,选择”删除“
在要求确认时单击”是“
当再次确认时,设定要为该RODC上缓存里凭据的所有用户重设密码
随后,单击”导出“按钮,将缓存的帐户列表导出为文件,该文件中列出的每个展会的密码都会被重设。
委派管理权限
在RODC的配置过程中,还有机会指定某个用户或组帐户可以被委派管理权限。在初始的配置结束后,还可以使用Dsmgmt命令添加或删除管理权限
在提升后的密码提示行窗口中,运行”dsmgmt“
在dsmgmt提示符后运行”local roles“
在local roles提示符后运行”show roles administrators“以列出当前的管理员。在默认的配置中,不会列出任何用户或组
在local roles提示符后,运行”addDomain\Users administrator“以便分配管理权限,其中Domain是该用户帐户所在的域,而User是帐户的名称,例如Contoso\rodcadmin。
通过运行”show roles administrators“确认操作结果
运行”quit“两次以退出dsmgmt
要删除管理权限,请按照以下步骤操作:
在提升后的密码提示行窗口中,运行”dsmgmt“
在dsmgmt提示符后运行”local roles“
在local roles提示符后运行”show roles administrators“以列出当前的管理员。在默认的配置中,不会列出任何用户或组
在local roles提示符后,运行”removeDomain\Users administrator“以便分配管理权限,其中Domain是该用户帐户所在的域,而User是帐户的名称,例如Contoso\rodcadmin。
通过运行”show roles administrators“确认操作结果
运行”quit“两次以退出dsmgmt