只讀域控制器(RODC)是在Windows Server? 操作系統中一種新的域控制器有了只讀域控制器組織能夠容易地的物理安全得不到保證的地區部署域控制器一台RODC包含了活動目錄數據庫的只讀部分
在Windows Server? 發布以前如果用戶不得不跨廣域網連接域控制器進行身份驗證的話那也就沒有其它更好的選擇在許多案例中這不是有效的解決方法分支機構通常無法為一台可寫的域控制器提供的足夠的物理安全而且當分支機構連接到樞紐站點時它們的網絡帶寬通常比較差這將導致登錄時間變長這也會阻礙網絡資源的訪問
從Windows Server? 開始組織能夠部署RODC來處理這些問題作為部署的結果用戶能夠獲得以下好處改進的安全性快速登錄更有效的訪問網絡資源RODC可以做什麼?
在考慮部署RODC時物理安全的不足是最為尋常的理由RODC給那些需要快速可靠的身份驗證同時對可寫域控制器而言物理安全無法得到確保的地方部署域控制器提供了新的方法
然而你的組織也可以為了特殊的管理需要選擇部署RODC比如業務程序(lineofbusinessLOB)只能被安裝到域控制器上並才能得以成功運行或者域控制器是分支機構僅有的服務器而不得不運行服務器應用
在這些例子中業務程序所有者必須經常交互式登錄到域控制器或者使用終端服務來配置和管理程序這種環境引起了在可寫域控制器上不被接受的安全風險
RODC為在這些場景中部署域控制器提供了更安全的機械結構你能夠將登錄到RODC的權利轉讓給沒有管理權限的域用戶同時最小化給互動目錄森林帶來的安全風險
你也可以在其它場景中部署RODC比如在外延網(EXTRANETS)中本地儲存的所有域密碼被認為是主要威脅
還有其它要特別考慮的嗎?
為了部署RODC域中必須至少有一台運行Windows Server 的可寫域控制器此外活動目錄域和森林的功能級必須是Windows Server 或者更高
這項特性提供了什麼新功能?
RODC處理了在分支機構中的普遍問題這些地方也許沒有域控制器或者他們有可寫的域控制器但是沒有足夠的物理安全網絡帶寬以及專門的技術人員來提供支持下面的RODC的功能緩解了這些問題只讀活動目錄數據庫單向復制憑據緩存管理員角色分割只讀DNS
只讀活動目錄數據庫除了賬戶密碼之外RODC擁有所有可寫域控制器擁有的對象和屬性然而無法針對儲存在RODC的數據庫進行任何數據上的改變數據上的改變必須在可寫域控制器上進行然後復制回RODC
請求獲得目錄讀取權限的本地程序能夠獲得訪問許可當使用輕型目錄訪問協議(LDAP)的程序請求寫入權限時將會收到referral應答在樞紐站點中通常情況下這些應答將寫入請求引導到可寫的域控制器
RODC已篩選屬性集使用AD DS作為數據存儲的某些程序也許會將類似信任憑據的數據(諸如密碼信任憑據加密密鑰)儲存在RODC上而你不想將這些數據儲存在RODC上是因為考慮到RODC受到安全威脅的情況
為了這些程序你可以在架構中動態配置不被復制到RODC的域對象的屬性集這個屬性集被稱為RODC已篩選屬性集在RODC已篩選屬性集定義的屬性不允許復制到森林內的任何一台RODC
威脅到RODC的惡意用戶能夠以某種途徑嘗試配置RODC並嘗試將RODC已篩選屬性集中定義的屬性復制到其它域控制器如果RODC嘗試從一台安裝Windows Server 的域控制器上復制這些屬性那麼復制請求將被拒絕然而如果RODC嘗試從一台安裝Windows Server 的域控制器上復制這些屬性復制請求將被接受
因此作為安全性的預防措施如果你想配置RODC已篩選屬性集請確保森林的功能級是Windows Server 如果森林的功能級是Windows Server 那麼收到威脅的RODC將不能被如此利用因為運行Windows Server 的域控制器在森林中是不被允許的
你無法添加系統關鍵屬性到RODC已篩選屬性集判斷是否是系統關鍵屬性的依據是看以下服務能否正常工作這樣的服務有 AD DSLSASAM(及SSPIs比如Kerberos)在Windows Server Beta的後繼版本中系統關鍵屬性擁有屬性值等於的schemaFlagsEx屬性
RODC已篩選屬性集被配置在擁有架構操作主機的的服務器上如果你嘗試添加系統關鍵屬性打到RODC已篩選屬性集而且架構操作主機運行在Windows Server 上那麼服務器將返回unwillingToPerform的LDAP錯誤如果你嘗試添加系統關鍵屬性打到RODC已篩選屬性集但是架構操作主機運行在Windows Server 上那麼操作將看上去是成功完成了然而屬性值實際上卻沒有被添加因此當你想要添加屬性到RODC已篩選屬性集時價格操作主機建議是運行Windows Server 的域控制器這保證了系統關鍵屬性不包含在RODC已篩選屬性集中
單向復制因為沒有任何屬性的變化會被直接寫入RODC所以任何變化不會從RODC發起因此作為復制伙伴的可寫域控制器不會產生從RODC拉數據的操作這意味著惡意用戶在分支結構的RODC上進行的操作的結果不會被復制到森林的剩余部分這也減少了樞紐站點裡的橋頭服務器的工作量以及為了監視復制所要求的工作量
RODC的單向復制同時應用於AD DS及分布式文件系統(DFS)的復制RODC為AD DS及DFS執行正常的入站復制
憑據緩存憑據緩存是用戶或者計算機憑據的儲存器憑據是由和安全主體關聯的一小組大約接近個密碼的集合所組成在默認情況下RODC不儲存用戶或者計算機憑據例外的情況是RODC自身的計算機賬戶以及每台RODC所有的特殊的krbtgt賬戶你在RODC上必須顯示允許其它任何憑據緩存
RODC宣告成為分支結構的密鑰分配中心(KDC)RODC與可寫域控制器上的KDC相比它將使用不同的krgbrt賬戶和密碼來簽名或加密(TGT)請求
當一個賬戶被成功驗證時RODC會試圖聯系樞紐站點中一台可寫的的域控制器並請求一份合適憑據的副本可寫域控制器將會識別出這個請求來自RODC並考略影響到RODC的密碼復制策略
密碼復制策略決定了用戶或者計算機的憑據是否可以從可寫域控制器復制到RODC如果策略允許那麼可寫域控制器將密碼復制到RODC上並且RODC緩存這些憑據
當憑據被RODC緩存之後RODC能夠直接為用戶登錄請求服務直到憑據發生變化(當TGT被RODC的krbtgt賬戶簽名時RODC識別出它有一份緩存的憑據副本如果其它域控制器對TGT進行了簽名那麼RODC將會把這個請求轉遞給一台可寫域控制器)
因為憑據緩存被限制為只有被RODC認證的用戶的憑據才能被緩存所以由於RODC受到威脅而導致的潛在的憑據洩露也得到了限制因此域用戶中只有很少一部分的憑據被緩存在RODC上因此當發生RODC被盜的事件時只有這些被緩存的憑據才有可能被破解
保持憑據緩存關閉也許能更深層次的限制洩露但是這樣將導致所有的認證請求都被傳遞給可寫域控制器管理員能夠修改默認密碼策略來允許用戶憑據被緩存到RODC上
管理員角色分割你能委派RODC的本地管理權限至任何域用戶而不用使該用戶獲得域或者域控制器的用戶權限這使分支機構的用戶能夠登錄至RODC並執行諸如升級驅動程序之類的維護工作然而分支結構用戶無法登錄到其它任何域控制器或者在域中執行其它管理工作因此分支結構用戶能夠委派有效的權利來管理分支機構的RODC而不會威脅到域內其它部分的安全
只讀DNS你能在RODC上安裝DNS服務RODC能夠復制DNS使用的所有程序目錄分區包括ForestDNSZones以及DomainDNSZones如果DNS服務被安裝到RODC上用戶能夠像查詢其它DNS服務器一樣進行名稱解析
然而在RODC上的DNS服務不支持客戶端直接更新因為RODC不登記它所擁有任何的AD集成區域的NS資源記錄當客戶端試圖在RODC上嘗試更新DNS記錄時服務器會返回包含支持客戶端更新的DNS服務器的引用隨後客戶端能夠嘗試利用引用中提供的DNS服務器進行DNS記錄更新而在後台RODC上的DNS服務器會嘗試從更新的DNS服務器中復制已更新的記錄復制請求僅針對單一對象(DNS記錄)整個變化區域的列表或者域數據在特定的復制單一對象的請求過程中將不被復制
From:http://tw.wingwit.com/Article/os/xtgl/201311/8603.html
