Продължавайки поредицата от статии за новата технология на Active Directory - RODC (Контролери на домейни само за четене), бих искал да засегна темата за политиката за репликация на парола - Политика за репликация на парола (PRP). По подразбиране в RODC не се съхраняват никакви потребителски или компютърни пароли (с изключение на собствената му компютърна сметка и специална сметка krbtgt). Целта на това усложнение е да повиши нивото на сигурност, защото ако RODC е компрометиран, няма да се притеснявате, че ценната информация ще попадне в ръцете на нападател.
Или би било хубаво, ако има възможност за репликиране на потребителите на уебсайта им с целта, че дори и връзката WAN с централния офис, те да могат да влязат. Именно тези настройки можете да видите в конзолата ADUC в раздела за свойства на акаунта RODC в раздела парола
копиране Политика (PRP). Тук можете да определите кои пароли на кои потребители трябва да бъдат репликирани в този RODC и кои не.
Тези настройки могат да бъдат зададени и при инсталиране на ролята на RODC с помощта на файла без отговор, като се използват следните параметри:
PasswordReplicationDenied =
PasswordReplicationAllowed =
За повече информация можете да използвате раздела напреднал, тук можете да разберете кои акаунти могат да бъдат удостоверени RODC, както и друга полезна информация, която ще ви помогне оптимално да конфигурирате PRP. етикет Получено политика можете да въведете потребителско име и да разберете дали паролата за този потребител ще бъде кеширана на RODC или не.
Когато RODC получи заявка за вход, той се опитва да репликира идентификационните данни от обикновен контролер на домейни на Windows 2008. „Достъпно за запис“. Ако е активиран, обикновеният DC репликира идентификационните данни на RODC и RODC ги кешира локално. Следващото удостоверяване на потребителя след това се извършва с помощта на кеша на RODC и липсата на връзка към обикновен DC вече не е критична.
Има обаче недостатък, няма начин да изчистите кеша на паролите на контролера на домейна RODC. Единственото нещо, което администраторът на Active Directory може да направи в този случай, е да нулира паролите на всички кеширани акаунти, след което кешът на RODC ще стане без значение и тези данни не могат да бъдат използвани за влизане в системата. Същата процедура трябва да се извърши преди повторно инсталиране на компрометирания RODC. Това е много по-лесно, отколкото ръчно да се опитвате да разберете кои пароли за акаунт са кеширани на RODC. Когато се опитате да премахнете RODC от конзолата ADUC, пред вас ще се появи следният прозорец:
И тогава каква функция PrepoluateПаролите? Представете си ситуация, когато вашият клон има повече от 100 потребители и сте добавили тяхната група към PRP. Е, да речем, че имате 100 потребители в този бранш и добавихте техните PRP групи. И за да не чакаме всеки потребител да влезе в системата, можем да инструктираме контролера на домейна незабавно да започне репликиране на пароли. Също така функционират PrepoluateПаролитеможе да се използва при транспортиране на нов RODC сървър от централен център за данни до клон, за да се намали натоварването на WAN канала по време на масово влизане на потребители.