Риски нарушения безопасности RODC

Политика репликации паролей

По умолчанию RODC не помещает в кэш пароли поль­зователей домена, поэтому если нужно сделать так, чтобы в случае недоступности канала связи WAN с главным узлом сервер RODC мог самостоятельно аутентифицировать поль­зователей и их компьютеры, администраторы должны изменить применяемую по умолча­нию политику репликации паролей. В активном состоянии политика репликации паролей (Password Replication Policy) указывает, разрешено ли реплицировать учетные данные и по­мещать их в кэш на RODC. Если разрешено, тогда при следующей попытке пользователя войти в систему его запрос обслуживается непосредственно сервером RODC. И так проис­ходит до тех пор, пока поддерживающий доступ для записи контроллер домена не сообщит серверу RODC о том, что учетные данные пользователя изменились.

При таком подходе продуктивность конечных пользователей значительно улучшается благодаря тому, что про­цесс входа в систему протекает гораздо быстрее. Последствия проблем со связью, кото­рые так часто встречаются в дочерних офисах, вроде низкой пропускной способности или длительных задержек WAN-соединений, уменьшаются, потому что пользователи проходят процедуру аутентификации локально прямо на сервере RODC. Благодаря тому, что сервер RODC осуществляет репликацию только во входящем направлении, объем передаваемого по сети трафика тоже сокращается. Чтобы обеспечить помещение пароля пользователя в кэш на сервере RODC, необходимо добавить этого пользователя либо в стандартную груп­пу Allowed RODC Password Replication Group (Группа репликации разрешенных паролей на RODC), либо прямо в политику Password Replication Policy на серверах RODC.

Серверы RODC также помогают сократить в дочерних офисах риск нарушения безо­пасности и количество задач, связанных с администрированием. Поскольку Active Directory Domain Services управляет также и списком всех учетных данных, которые хранятся на сер­верах RODC, в случае нарушения безопасности на одном из этих серверов администраторы могут принудительно сбросить пароли для всех хранящихся на нем учетных записей поль­зователей. Свести к минимуму риск угрозы нарушения безопасности помогает и тот факт, что серверы RODC не могут назначаться хранителями роли операций (точнее — роли гиб­ких операций с одним мастером (Flexible Single Master Operations — FSMO)), потому что такая роль требует записи информации в базу данных Active Directory. Кроме того, серверы RODC также не могут выступать в роли ведущего сервера (bridgehead server), поскольку такие серверы предусматривают репликацию изменений с других сайтов.

2016  Командная строка Windows  
top Яндекс.Метрика