За първи път функционалността на контролер на домейн само за четене (RODC - контролер на домейни само за четене), беше представен в Windows Server 2008. Основната задача, преследвана от технологията RODC, е възможността безопасно да инсталирате свой собствен контролер на домейни в отдалечени клонове и офиси, в които е трудно да се осигури физическа защита на сървър с ролята на DC. Контролерът на домейни RODC съдържа копие на базата данни на Active Directory само за четене. Това означава, че никой, дори след като получи физически достъп до такъв контролер на домейн, няма да може да променя данни в AD (включително да нулира паролата на администратора на домейна).
В тази статия ще обсъдим основните характеристики на използването и процедурата на инсталиране на нов контролер на домейн RODC, базиран на Windows Server 2016.
Съдържание:
- Характеристики на контролера на домейна RODC
- Инсталирайте RODC от GUI на Server Manager
- Инсталирайте RODC с PowerShell
- Правила за репликация на парола на RODC
Характеристики на контролера на домейна RODC
Основните разлики между RODC и обикновените контролери за регистрация на домейни (RWDC)
- Контролерът на домейни RODC съхранява копие на базата данни на AD само за четене. Съответно клиентите на такъв контролер на домейн не могат да правят промени в него..
- RODC не репликира данни от AD и папката SYSVOL в други контролери на домейни (RWDC).
- Контролерът RODC съхранява пълно копие на базата данни на AD, с изключение на хеширане на пароли на AD обекти и други атрибути, съдържащи чувствителна информация. Този набор от атрибути се нарича Филтриран набор от атрибути (FAS). Това включва атрибути като ms-PKI-AccountCredentials, ms-FVE-RecoveryPassword, ms-PKI-DPAPIMasterKeys и т.н. Ако е необходимо, можете да добавите други атрибути към този набор, например, когато използвате LAPS, добавете към него атрибута ms-MCS-AdmPwd.
- Когато RODC получи заявка за удостоверяване от потребителя, той пренасочва тази заявка към контролера RWDC.
- Контролерът RODC може да кешира идентификационните данни на някои потребители (това ускорява скоростта на авторизация и позволява на потребителите да влизат в контролера на домейна, дори ако няма връзка с пълен DC).
- Контролерите на домейни на RODC могат да получат административен достъп на обикновените потребители (например, клон технически специалист).
Изисквания за разполагане на контролер на домейн само за четене.
- Сървърът трябва да бъде назначен статичен IP
- Защитната стена трябва да е деактивирана или правилно конфигурирана, за да позволи трафик между DC и достъп от клиенти
- Най-близкият RWDC контролер трябва да бъде посочен като DNS сървър.
Инсталирайте RODC от GUI на Server Manager
Отворете конзолата на Server Manager и добавете роля Домейн услуги на Active Directory (съгласете се да инсталирате всички допълнителни компоненти и контроли).
На етапа на уточняване на настройките на новия DC, посочете, че искате да добавите нов контролер на домейн към съществуващ домейн (Добавете контролер на домейн към съществуващ домейн), посочете името на домейна и, ако е необходимо, информация за потребителския акаунт с права на администратор на домейна.
Изберете какво искате да инсталирате ролите на DNS сървър, глобален каталог (GC) и RODC. След това изберете сайта, където ще се намира новият контролер и паролата за достъп в режим DSRM.
В следващия прозорец за определяне на параметрите на RODC трябва да посочите потребителите, които трябва да осигурят административен достъп до контролера на домейна, както и списък на акаунти / групи, чиито пароли са разрешени и забранени да бъдат репликирани в този RODC (можете да зададете по-късно). 
Уточнете, че данните от базата данни на AD могат да бъдат копирани от всеки DC.
След това посочете пътищата до базата данни на NTDS, нейните регистрационни файлове и папката SYSVOL (ако е необходимо, можете да ги прехвърлите на друго устройство по-късно).
Това е всичко. След като проверите всички условия, можете да започнете инсталирането на ролите.
Инсталирайте RODC с PowerShell
За да внедрите нов RODC с помощта на PowerShell, трябва да инсталирате ролята на ADDS и ADS модула PowerShell.
Add-WindowsFeature AD-Domain-Services, RSAT-AD-AdminCenter, RSAT-ADDS-Tools
Сега можете да започнете инсталирането на RODC:
Инсталиране-ADDSDomainController -ReadOnlyReplica -DomainName yourdimain.com -SiteName "По подразбиране-Име на името на сайта" -InstallDns: $ true -NoGlobalCatalog: $ false
След завършване на командлета, той ще поиска рестартиране на сървъра.
Можете да проверите дали сървърът е в режим RODC, като използвате командата:
Get-ADDomainController -Identity S2016VMLT
Стойността на атрибута IsReadOnly трябва да е True.
Правила за репликация на парола на RODC
На всеки RODC можете да дефинирате списък с потребители и групи, чиито пароли могат или не могат да бъдат репликирани в този контрол на домейна.
По подразбиране в домейна се създават две нови глобални групи
- Разрешена RODC група за репликация на пароли
- Отказана група за репликация на пароли RODC
Първата група е празна по подразбиране, а втората съдържа административни групи за сигурност, чиито потребителски пароли не могат да бъдат копирани и кеширани на RODC, за да се елиминира рискът от техния компромис. Това включва групи по подразбиране като:
- Собственици на създатели на групови правила
- Администратори на домейни
- Cert Publishers
- Enterprise администратори
- Администратори на схеми
- Krbtgt сметка
- Оператори на сметки
- Сървърни оператори
- Резервни оператори
Като правило, в групата за разрешени пароли за разрешена RODC можете да добавяте потребителски групи на клона, който обслужва този RODC.
В случай, че има няколко DC в домейна, струва си да създадете такива групи поотделно за всеки RODC. Свързването на групи към контролера на домейна RODC се извършва в свойствата на сървъра в конзолата ADUC в раздела парола
Политика на репликация (повече подробности).
Когато конзолата ADUC се свърже към контролер на домейн с ролята на RODC, дори администраторът на домейн няма да може да редактира атрибути потребител / компютър (полетата не могат да се редактират) или да създадат нови.
