Ez az első alkalom egy írásvédett tartományvezérlő (írásvédett - Az írásvédett tartományvezérlő) bevezetésre került a Windows Server 2008-ban. A RODC technológia fő feladata a saját tartományvezérlő biztonságos telepítése távoli fiókokba és irodákba, ahol nehéz a DC szereppel rendelkező kiszolgálók fizikai védelme. A RODC tartományvezérlő az Active Directory adatbázis csak olvasható példányát tartalmazza. Ez azt jelenti, hogy senki sem, még az ilyen tartományvezérlőhöz való fizikai hozzáférés után sem képes megváltoztatni az adatokat az AD-ben (ideértve a domain rendszergazdai jelszó visszaállítását)..
Ebben a cikkben a Windows Server 2016 alapú új RODC tartományvezérlő főbb jellemzőit és telepítési eljárását tárgyaljuk..
Tartalom:
- A RODC tartományvezérlő jellemzői
- Telepítse az RODC-t a Server Manager GUI-ből
- Telepítse a RODC-t a PowerShell használatával
- RODC jelszó-replikációs házirendek
A RODC tartományvezérlő jellemzői
A fő különbségek az RODC-k és a szokásos írható tartományvezérlők (RWDC) között
- A RODC tartományvezérlő az AD-adatbázis csak olvasható példányát tárolja. Ennek megfelelően egy ilyen tartományvezérlő kliensei nem módosíthatják azt..
- Az RODC nem replikálja az AD adatokat és a SYSVOL mappát más tartományvezérlőkhöz (RWDC).
- A RODC vezérlő az AD-adatbázis teljes másolatát tárolja, kivéve az AD-objektumok jelszó-kivonatait és más érzékeny információkat tartalmazó attribútumokat. Ezt az attribútumkészletet nevezzük Szűrt attribútumkészlet (FAS). Ide tartoznak az olyan attribútumok, mint az ms-PKI-AccountCredentials, az ms-FVE-RecoveryPassword, az ms-PKI-DPAPIMasterKeys stb. Szükség esetén hozzáadhat további attribútumokat ehhez a készlethez, például LAPS használatakor vegye fel az ms-MCS-AdmPwd attribútumot.
- Amikor az RODC hitelesítési kérelmet kap a felhasználótól, átirányítja ezt a kérést az RWDC vezérlőhöz.
- Az RODC vezérlő gyorsítótárazhatja egyes felhasználók hitelesítő adatait (ez felgyorsítja az engedélyezési sebességet, és lehetővé teszi a felhasználóknak a tartományvezérlőbe történő bejelentkezéshez, még akkor is, ha nincs kapcsolat a teljes DC-vel).
- A RODC tartományvezérlők adminisztratív hozzáférést kaphatnak a hétköznapi felhasználók számára (például egy ágazati műszaki szakember).
A csak írásvédett tartományvezérlő telepítésének követelményei.
- A szerverhez statikus IP-t kell hozzárendelni
- A tűzfalat le kell tiltani vagy helyesen kell beállítani, hogy lehetővé tegye a DC-k közötti forgalmat és az ügyfelek hozzáférését
- A legközelebbi RWDC vezérlőt DNS-kiszolgálóként kell megadni.
Telepítse az RODC-t a Server Manager GUI-ből
Nyissa meg a Kiszolgálókezelő konzolt, és adjon hozzá egy szerepet Active Directory tartományi szolgáltatások (vállalja, hogy telepíti az összes kiegészítő komponenst és vezérlőt).
Az új DC beállításainak meghatározásának szakaszában adja meg, hogy új tartományvezérlőt szeretne hozzáadni egy meglévő tartományhoz (Adjon hozzá egy tartományvezérlőt egy meglévő tartományhoz), adja meg a domain nevet, és ha szükséges, a felhasználói fiókra vonatkozó információkat a tartományi rendszergazdai jogokkal.
Válassza ki, hogy mit kíván telepíteni a DNS-kiszolgáló, a globális katalógus (GC) és az RODC szerepkörei. Ezután válassza ki a helyet, ahol az új vezérlő található, és a jelszót a hozzáféréshez DSRM módban.
A RODC paraméterek meghatározására szolgáló következő ablakban meg kell adnia azokat a felhasználókat, akiknek adminisztratív hozzáférést kell biztosítaniuk a tartományvezérlőhöz, valamint azon fiókok / csoportok listáját, amelyek jelszavainak megengedett és tilos a RODC-re replikálása (később beállíthatja)..
Adja meg, hogy az AD adatbázis adatai bármilyen DC-ből replikálhatók-e.
Ezután adja meg az NTDS adatbázis elérési útjait, annak naplóit és a SYSVOL mappát (ha szükséges, később átviheti őket egy másik meghajtóra)..
Ez minden. Az összes feltétel ellenőrzése után elindíthatja a szerepkör telepítését.
Telepítse a RODC-t a PowerShell használatával
Egy új RODC telepítéséhez a PowerShell használatával telepítenie kell az ADDS szerepkört és a PowerShell ADDS modult..
Add-WindowsFeature AD-Domain-Services, RSAT-AD-AdminCenter, RSAT-ADDS-Tools
Most elkezdheti a RODC telepítését:
Telepítés-ADDSDomainController -ReadOnlyReplica -DomainName yourdimain.com -SiteName "Default-First-Site-Name" -InstallDns: $ true -NoGlobalCatalog: $ false
A parancsmag befejezése után a szerver újraindítását kéri..
A kiszolgáló RODC módban ellenőrizheti a következő paranccsal:
Get-ADDomainController -Identity S2016VMLT
Az IsReadOnly attribútum értékének igaznak kell lennie.
RODC jelszó-replikációs házirendek
Mindegyik RODC-n meghatározhat azoknak a felhasználóknak és csoportoknak a listáját, akiknek jelszavait replikálni lehet vagy nem lehet a tartományvezérlőre.
Alapértelmezés szerint két új globális csoport jön létre a tartományban
- Megengedett RODC jelszó-replikációs csoport
- A RODC jelszó-replikációs csoport megtagadva
Az első csoport alapértelmezés szerint üres, a második olyan adminisztratív biztonsági csoportokat tartalmaz, amelyek felhasználói jelszavait nem lehet megismételni és gyorsítótárazni a RODC-n a kompromisszum kockázatának kiküszöbölése érdekében. Ez alapértelmezés szerint magában foglalja a következő csoportokat:
- Csoportházirend-készítő tulajdonosok
- Domain adminok
- Cert Publishers
- Enterprise adminok
- Séma adminok
- Krbtgt számla
- Fiókkezelők
- Szerver operátorok
- Biztonsági mentési operátorok
Általános szabályként az Engedélyezett RODC jelszó-replikációs csoportba felveheti az RODC-t kiszolgáló ág felhasználói csoportjait..
Abban az esetben, ha több DC van a tartományban, érdemes létrehozni ezeket a csoportokat külön-külön minden RODC-hez. A csoportok RODC tartományvezérlőhöz történő összerendelését a fül ADUC konzoljának kiszolgáló tulajdonságaiban hajtják végre jelszó
Replikációs politika (további részletek).
Amikor az ADUC konzol csatlakozik egy tartományvezérlőhöz a RODC szerepkörrel, akkor még a tartomány adminisztrátora sem lesz képes szerkeszteni a felhasználói / számítógépes attribútumokat (a mezők nem szerkeszthetők) vagy újakat létrehozni.