Folytatva az új Active Directory technológiáról - RODC (csak olvasható tartományvezérlők) szóló cikksorozatot, szeretném megismerni a jelszó-replikációs politika - Jelszó-replikációs politika (PRP) témáját. Alapértelmezés szerint egyetlen felhasználói vagy számítógépes jelszó sem tárolódik az RODC-n (kivéve a saját számítógépes fiókját és a speciális krbtgt fiókot). Ennek a komplikációnak a célja a biztonság fokozása, mert ha az RODC veszélybe kerül, akkor nem kell aggódnia, hogy az értékes információk támadó kezébe kerülnek..
Vagy jó lenne, ha van lehetőség arra, hogy a felhasználókat replikálják webhelyükre azzal a céllal, hogy még akkor is, ha a WAN-kapcsolat megszakad, akkor be tudnak jelentkezni. Ezeket a beállításokat láthatja az ADUC konzolon a RODC-fiók tulajdonságai fülön a fülön jelszó
replikáció Irányelv (PRP). Itt megadhatja, hogy mely felhasználók jelszavait kell replikálni ehhez az RODC-hez, és melyeket nem.
Ezeket a beállításokat akkor is meg lehet határozni, ha az RODC szerepkört a felügyelet nélküli válaszfájl segítségével telepíti, a következő paraméterek felhasználásával:
PasswordReplicationDenied =
PasswordReplicationAllowed =
További információkért használja a fület fejlett, itt megtudhatja, melyik fiókok hitelesíthetők RODC, valamint egyéb hasznos információk, amelyek segítenek a PRP optimális konfigurálásában. lap eredő politika megadhat egy felhasználónevet, és megtudhatja, hogy a felhasználó jelszava tárolódik-e a RODC-n.
Amikor az RODC bejelentkezési kérelmet kap, megkísérel replikálni a hitelesítő adatokat egy szokásos "írást engedélyező" Windows 2008 tartományvezérlőről. Ez a vezérlő hozzáfér a PRP-hez, és megpróbálja meghatározni, hogy a felhasználó hitelesítő adatait meg kell-e replikálni a RODC-hez. Ha engedélyezve van, a normál DC replikálja a hitelesítő adatokat a RODC-khez, és a RODC helyileg tárolja őket. Ezután a felhasználói hitelesítést a RODC gyorsítótárán keresztül hajtják végre, és a normál DC-hez való hivatkozás hiánya már nem kritikus.
Ennek ellenére van egy hátrány, nincs mód a jelszó-gyorsítótár ürítésére az RODC tartományvezérlőn. Az Active Directory rendszergazda ebben az esetben csak az összes gyorsítótárazott fiók jelszavát állíthatja vissza, miután a RODC gyorsítótára irreleváns lesz, és ezek az adatok nem használhatók a rendszerbe való belépéshez. Ugyanezt az eljárást kell elvégezni a sérült RODC újratelepítése előtt. Ez sokkal könnyebb, mint manuálisan megkísérelni kitalálni, hogy mely fiók-jelszavak vannak tárolva a RODC-n. Amikor megpróbálja eltávolítani a RODC-t az ADUC konzolról, az alábbi ablak jelenik meg előtted:
És akkor milyen funkció Prepoluatejelszavak? Képzeljünk el egy olyan helyzetet, amikor fióktelepénél több mint 100 felhasználó van, és a csoportot hozzáadták a PRP-hez. Nos, tegyük fel, hogy 100 felhasználó van ebben az ágban, és hozzáadta a PRP-csoportokat. És annak érdekében, hogy ne várjuk meg az egyes felhasználók belépését a rendszerbe, felszólíthatjuk a tartományvezérlőt, hogy azonnal indítsa el a jelszavak replikálását. Szintén működik Prepoluatejelszavakhasználható egy új RODC szervernek egy központi adatközpontról egy fióktelepre történő szállításakor a WAN-csatorna terhelésének csökkentése érdekében a tömeges felhasználói bejelentkezés során.