Главные атрибуты RODC

Аутентификация сервера RODC

На сервере RODC (контроллер доменов с доступом только для чтения ) находятся все те же объекты и атрибуты, что и на поддерживающем доступ для записи контроллере домена за исключением разве что паролей пользователей.

Разница между сервером RODC и поддерживающим доступ для записи контроллером домена состоит в том, что вносимые локально изменения не добавляются сразу же в копию RODC, а сначала пересылаются контроллеру домена, поддерживающему доступ для записи, и только затем реплицируются обратно на сервер RODC. Кроме того, у администратора Active Directory есть возможность указать или ограничить список пользователей, пароли или учетные данные которых будут помещаться в кэш на удаленном сервере RODC. Она позволяет улучшить безопасность за счет сокращения рисков в отношении базы данных Active Directory, доступной только для чтения, на сервере RODC.

Помимо этого, администраторы Active Directory могут специально настраивать сервер RODC так, чтобы учетные данные пользователей на нем помещались в кэш. Когда поль­зователь пытается получить санкционированный доступ к RODC в первый раз, сервер RODC пересылает его запрос поддерживающему доступ для записи контроллеру домена.

В случае успешного прохождения аутентификации сервер RODC тогда запрашивает копию учетных данных этого пользователя. По умолчанию RODC не помещает в кэш пароли поль­зователей домена, поэтому если нужно сделать так, чтобы в случае недоступности канала связи WAN с главным узлом сервер RODC мог самостоятельно аутентифицировать поль­зователей и их компьютеры, администраторы должны изменить применяемую по умолча­нию политику репликации паролей. В активном состоянии политика репликации паролей (Password Replication Policy) указывает, разрешено ли реплицировать учетные данные и по­мещать их в кэш на RODC.


2016  Командная строка Windows  
top Яндекс.Метрика