RODC的密碼複製策略
RODC的密碼複製策略
接上一篇
繼續
RODC 密碼複製策略是由包含安全主體(使用者、計算機和組)的四個多值 AD DS 屬性決定的。每個 RODC 計算機帳戶都具有這四個屬性:
- msDS-Reveal-OnDemandGroup,通常也稱為“允許列表”
- msDS-NeverRevealGroup,通常也稱為“拒絕列表”
- msDS-RevealedList,通常也稱為“顯示列表”
- msDS-AuthenticatedToAccountList,通常也稱為“身份驗證列表”
RODC 可以隨時複製“允許列表”中帳戶的密碼,無論該帳戶是否嘗試登入 RODC 都是如此。使用者登入觸發該操作僅僅是為了管理方便。
這意味著密碼複製策略是 RODC 的安全邊界。每個 RODC 可以有不同的密碼複製策略。但是,如果未修改密碼複製策略,則域中所有 RODC 的有效策略都相同。
密碼複製策略允許列表和拒絕列表
為了支援 RODC 操作,在 Windows Server 2008 Active Directory 域中引入了兩個新的內建組。它們是“允許的 RODC 密碼複製組”和“拒絕的 RODC 密碼複製組”。
這兩個組可以幫助實施 RODC 密碼複製策略的預設允許列表和拒絕列表。預設情況下,這兩個組分別被新增到前面提到的 msDS-Reveal-OnDemandGroup 和 msDS-NeverRevealGroup Active Directory 屬性中。
預設情況下,“允許的 RODC 密碼複製組”不包含任何成員。而預設情況下,“允許列表”屬性只包含“允許的 RODC 密碼複製組”。
預設情況下,“拒絕的 RODC 密碼複製組”包含下列成員:
- 企業域控制器
- 企業只讀域控制器
- 組策略建立者所有者
- Domain Admins
- 證書發行者
- Enterprise Admins
- Schema Admins
- 域範圍 krbtgt 帳戶
預設情況下,拒絕列表屬性包含下列安全主體,它們全部為內建組:
- 拒絕的 RODC 密碼複製組
- Account Operators
- Server Operators
- Backup Operators
- 管理員
每個 RODC 的允許列表和拒絕列表屬性以及域範圍“拒絕的 RODC 密碼複製組”和“允許的 RODC 密碼複製組”的組合為管理員提供了極大的靈活性。他們可以精確地決定將哪些帳戶快取在特定 RODC 上。
在最初部署 RODC 時,必須在作為複製夥伴的可寫入域控制器上配置密碼複製策略。
密碼複製策略相當於一個訪問控制列表 (ACL)。它確定是否允許 RODC 快取密碼。在 RODC 收到經過身份驗證的使用者或計算機登入請求時,它將參考密碼複製策略來確定是否應快取該帳戶的密碼。然後,同一帳戶便可以更有效地執行後續登入。
密 碼複製策略列出了允許快取的帳戶以及明確拒絕快取的帳戶。允許快取的使用者和計算機帳戶列表並不表示 RODC 一定快取了這些帳戶的密碼。例如,管理員可以事先指定 RODC 將快取的任何帳戶。這樣即使指向中心站點的 WAN 連結離線,RODC 也可以對這些帳戶進行身份驗證。
下表概述了密碼複製策略的三個可能的管理模型。
不快取任何帳戶
此 模型提供了最安全的配置。沒有密碼複製到 RODC,RODC 計算機帳戶及其特殊 krbtgt 帳戶除外。但是,透明的使用者和計算機身份驗證依賴於 WAN 的可用性。此模型的優點是需要很少或者不需要對預設設定進行額外的管理配置。客戶可以選擇將其自己的安全敏感使用者組新增到預設的拒絕使用者列表中。這樣可以防止這些使用者組意外包含在允許的使用者列表中,而且還可以防止之後將其密碼快取在 RODC 上。
快取大多數帳戶
此 模型提供了最簡單的管理模式並且允許離線操作。所有 RODC 的“允許列表”都用代表大部分使用者群體的組填充。“拒絕列表”不允許安全敏感的使用者組,如 Domain Admins。但是,大多數其他使用者都可以根據需要快取其密碼。此配置最適合於 RODC 的物理安全沒有危險的環境。
快取很少帳戶
此模型限制可以快取的帳戶。通常,管理員為每個 RODC 進行嚴格定義,即每個 RODC 都有其允許快取的一組不同的使用者和計算機帳戶。通常,這基於在特定物理位置工作的一組使用者。
此模型的優點是萬一出現 WAN 故障,一組使用者都將從離線身份驗證中獲益。同時,密碼洩露的範圍也得到了限制,因為只有少量使用者的密碼可以被快取。
有 一項與在此模型中填充“允許列表”和“拒絕列表”關聯的管理開銷。沒有預設的自動方法可從已通過給定 RODC 身份驗證的已知安全主體列表中讀取帳戶。也沒有預設的方法用於使用這些帳戶填充“允許列表”。管理員可能能夠使用指令碼或應用程式(如 MIIS)構建一個過程,以便將這些帳戶直接新增到“允許列表”。
有兩種方法可用來新增這些帳戶。管理員可以將使用者直接新增到“允許列表”或者將其新增到在該 RODC 的“允許列表”中已定義的組(首選)。管理員可以建立“特定 RODC”組來實現此目的。或者他們可以使用 AD DS 中具有合適成員範圍的現有組。
當允許列表中僅包含來自分支機構的使用者時,RODC 無法在本地滿足服務票證請求,因此它依賴於對 Windows Server 2008 可寫域控制器的訪問來滿足請求。在 WAN 離線的情況下,這樣操作可能會導致服務中斷。
首先,您應該為密碼複製策略定義管理模型。然後,定期檢視或手動更新此密碼複製策略。如果 RODC 被盜,則您必須重置其密碼已快取在 RODC 上的所有使用者和計算機的密碼。
密碼複製策略”選項卡列出了預設情況下在 RODC 的“允許列表”和“拒絕列表”中定義的帳戶。若要新增應該包含在“允許列表”或“拒絕列表”中的其他組,請單擊“新增”。若要新增將不允許憑據快取在 RODC 上的其他帳戶,請單擊“拒絕”。若要新增將允許憑據快取在 RODC 上的其他帳戶,請單擊“允許”。
將不允許憑據快取在 RODC 上的帳戶仍然可以使用 RODC 進行域登入。但是,將不會快取憑據以便以後使用 RODC 登入。
選擇高階
除了RODC自身的計算機賬戶和Kerberos 票據授權票 (KRBTGT)賬戶之外,確實預設情況下沒有快取任何賬戶的密碼。
我們可以檢視 其密碼已儲存在此只讀域控制器中的帳戶
選擇下拉選單
檢視已通過此只讀域控制器身份驗證的帳戶
通過這個列表其實可以幫助您來確定哪些賬戶的密碼應該允許此RODC進行快取
預設的ALLOW組是沒有內容的
在檢視一下已經通過此只讀域控制器身份驗證的賬戶
關閉
選擇新增
預設的DENY組阻止這些內容
以本地管理員登進來
我們看一下dns根本就沒有新建這一選項
由於對RODC的密碼複製策略理解的不是很好 ,所以看起來文章有些亂 。文中的文字解釋多來自於微軟。 歡迎看到的高手批評指正
本文轉自 yuzeying1 51CTO部落格,原文連結:http://blog.51cto.com/yuzeying/177688
相關文章
- Artifactory製品庫的密碼管理及策略配置密碼
- 資料複製策略綜述
- 密碼的複雜化密碼
- Weblogic Session複製策略與方式WebSession
- 古典密碼的演化 (一)— 密碼學複習(二)密碼學
- 古典密碼的演化 (二)— 密碼學複習(三)密碼學
- MySQL入門--密碼策略MySql密碼
- MySQL密碼過期策略MySql密碼
- 複製程式碼
- 4、 oracle 10g中的密碼策略---密碼重用規則Oracle 10g密碼
- 分組密碼(一) — 密碼學複習(四)密碼學
- Linux設定密碼策略Linux密碼
- 一次密碼檔案丟失導致的dataguard複製中斷密碼
- 密碼學期末複習密碼學
- [密碼學複習]Cryptography密碼學
- Shell批量複製或執行檔案(自動輸入密碼)密碼
- 密碼學基礎概念 — 密碼學複習(一)密碼學
- 12c複製 RAC ASM中的密碼檔案到檔案系統ASM密碼
- MySQL 5.7 初始密碼和密碼複雜度問題MySql密碼複雜度
- 複雜密碼生成工具apg密碼
- 用Abp實現找回密碼和密碼強制過期策略密碼
- 如何設定 Linux 系統的密碼策略Linux密碼
- 關於mysql忘記密碼的解決策略MySql密碼
- 使用者備份策略和使用者密碼策略密碼
- SSH免密登入與SCP遠端複製
- MySQL8.0變化之密碼策略MySql密碼
- 談談系統密碼儲存策略密碼
- Linux密碼策略和登入配置Linux密碼
- SQL Server 2008密碼策略SQLServer密碼
- MySQL 5.7 密碼安全策略簡介MySql密碼
- 主從複製、雙主複製及半同步複製、以及基於SSL的複製
- Java引用複製、淺複製、深複製Java
- 防止網頁被複製的程式碼網頁
- ruby指令碼,隨機生成複雜密碼指令碼隨機密碼
- Linux 生成複雜密碼並且檢查密碼強度Linux密碼
- 分組密碼(四)AES演算法① — 密碼學複習(七)演算法密碼學
- JS物件複製:深複製和淺複製JS物件
- MySQL的主從複製、半同步複製、主主複製詳解MySql