只读域控制器(RODC)是在Windows Server? 操作系统中一种新的域控制器有了只读域控制器组织能够容易地的物理安全得不到保证的地区部署域控制器一台RODC包含了活动目录数据库的只读部分 在Windows Server? 发布以前如果用户不得不跨广域网连接域控制器进行身份验证的话那也就没有其它更好的选择在许多案例中这不是有效的解决方法分支机构通常无法为一台可写的域控制器提供的足够的物理安全而且当分支机构连接到枢纽站点时它们的网络带宽通常比较差这将导致登录时间变长这也会阻碍网络资源的访问 从Windows Server? 开始组织能够部署RODC来处理这些问题作为部署的结果用户能够获得以下好处改进的安全性快速登录更有效的访问网络资源RODC可以做什么? 在考虑部署RODC时物理安全的不足是最为寻常的理由RODC给那些需要快速可靠的身份验证同时对可写域控制器而言物理安全无法得到确保的地方部署域控制器提供了新的方法 然而你的组织也可以为了特殊的管理需要选择部署RODC比如业务程序(lineofbusinessLOB)只能被安装到域控制器上并才能得以成功运行或者域控制器是分支机构仅有的服务器而不得不运行服务器应用 在这些例子中业务程序所有者必须经常交互式登录到域控制器或者使用终端服务来配置和管理程序这种环境引起了在可写域控制器上不被接受的安全风险 RODC为在这些场景中部署域控制器提供了更安全的机械结构你能够将登录到RODC的权利转让给没有管理权限的域用户同时最小化给互动目录森林带来的安全风险 你也可以在其它场景中部署RODC比如在外延网(EXTRANETS)中本地储存的所有域密码被认为是主要威胁 还有其它要特别考虑的吗? 为了部署RODC域中必须至少有一台运行Windows Server 的可写域控制器此外活动目录域和森林的功能级必须是Windows Server 或者更高 这项特性提供了什么新功能? RODC处理了在分支机构中的普遍问题这些地方也许没有域控制器或者他们有可写的域控制器但是没有足够的物理安全网络带宽以及专门的技术人员来提供支持下面的RODC的功能缓解了这些问题只读活动目录数据库单向复制凭据缓存管理员角色分割只读DNS 只读活动目录数据库除了账户密码之外RODC拥有所有可写域控制器拥有的对象和属性然而无法针对储存在RODC的数据库进行任何数据上的改变数据上的改变必须在可写域控制器上进行然后复制回RODC 请求获得目录读取权限的本地程序能够获得访问许可当使用轻型目录访问协议(LDAP)的程序请求写入权限时将会收到referral应答在枢纽站点中通常情况下这些应答将写入请求引导到可写的域控制器 RODC已筛选属性集使用AD DS作为数据存储的某些程序也许会将类似信任凭据的数据(诸如密码信任凭据加密密钥)储存在RODC上而你不想将这些数据储存在RODC上是因为考虑到RODC受到安全威胁的情况 为了这些程序你可以在架构中动态配置不被复制到RODC的域对象的属性集这个属性集被称为RODC已筛选属性集在RODC已筛选属性集定义的属性不允许复制到森林内的任何一台RODC 威胁到RODC的恶意用户能够以某种途径尝试配置RODC并尝试将RODC已筛选属性集中定义的属性复制到其它域控制器如果RODC尝试从一台安装Windows Server 的域控制器上复制这些属性那么复制请求将被拒绝然而如果RODC尝试从一台安装Windows Server 的域控制器上复制这些属性复制请求将被接受 因此作为安全性的预防措施如果你想配置RODC已筛选属性集请确保森林的功能级是Windows Server 如果森林的功能级是Windows Server 那么收到威胁的RODC将不能被如此利用因为运行Windows Server 的域控制器在森林中是不被允许的 你无法添加系统关键属性到RODC已筛选属性集判断是否是系统关键属性的依据是看以下服务能否正常工作这样的服务有 AD DSLSASAM(及SSPIs比如Kerberos)在Windows Server Beta的后继版本中系统关键属性拥有属性值等于的schemaFlagsEx属性 RODC已筛选属性集被配置在拥有架构操作主机的的服务器上如果你尝试添加系统关键属性打到RODC已筛选属性集而且架构操作主机运行在Windows Server 上那么服务器将返回unwillingToPerform的LDAP错误如果你尝试添加系统关键属性打到RODC已筛选属性集但是架构操作主机运行在Windows Server 上那么操作将看上去是成功完成了然而属性值实际上却没有被添加因此当你想要添加属性到RODC已筛选属性集时价格操作主机建议是运行Windows Server 的域控制器这保证了系统关键属性不包含在RODC已筛选属性集中 单向复制因为没有任何属性的变化会被直接写入RODC所以任何变化不会从RODC发起因此作为复制伙伴的可写域控制器不会产生从RODC拉数据的操作这意味着恶意用户在分支结构的RODC上进行的操作的结果不会被复制到森林的剩余部分这也减少了枢纽站点里的桥头服务器的工作量以及为了监视复制所要求的工作量 RODC的单向复制同时应用于AD DS及分布式文件系统(DFS)的复制RODC为AD DS及DFS执行正常的入站复制 凭据缓存凭据缓存是用户或者计算机凭据的储存器凭据是由和安全主体关联的一小组大约接近个密码的集合所组成在默认情况下RODC不储存用户或者计算机凭据例外的情况是RODC自身的计算机账户以及每台RODC所有的特殊的krbtgt账户你在RODC上必须显示允许其它任何凭据缓存 RODC宣告成为分支结构的密钥分配中心(KDC)RODC与可写域控制器上的KDC相比它将使用不同的krgbrt账户和密码来签名或加密(TGT)请求 当一个账户被成功验证时RODC会试图联系枢纽站点中一台可写的的域控制器并请求一份合适凭据的副本可写域控制器将会识别出这个请求来自RODC并考略影响到RODC的密码复制策略 密码复制策略决定了用户或者计算机的凭据是否可以从可写域控制器复制到RODC如果策略允许那么可写域控制器将密码复制到RODC上并且RODC缓存这些凭据 当凭据被RODC缓存之后RODC能够直接为用户登录请求服务直到凭据发生变化(当TGT被RODC的krbtgt账户签名时RODC识别出它有一份缓存的凭据副本如果其它域控制器对TGT进行了签名那么RODC将会把这个请求转递给一台可写域控制器) 因为凭据缓存被限制为只有被RODC认证的用户的凭据才能被缓存所以由于RODC受到威胁而导致的潜在的凭据洩露也得到了限制因此域用户中只有很少一部分的凭据被缓存在RODC上因此当发生RODC被盗的事件时只有这些被缓存的凭据才有可能被破解 保持凭据缓存关闭也许能更深层次的限制洩露但是这样将导致所有的认证请求都被传递给可写域控制器管理员能够修改默认密码策略来允许用户凭据被缓存到RODC上 管理员角色分割你能委派RODC的本地管理权限至任何域用户而不用使该用户获得域或者域控制器的用户权限这使分支机构的用户能够登录至RODC并执行诸如升级驱动程序之类的维护工作然而分支结构用户无法登录到其它任何域控制器或者在域中执行其它管理工作因此分支结构用户能够委派有效的权利来管理分支机构的RODC而不会威胁到域内其它部分的安全 只读DNS你能在RODC上安装DNS服务RODC能够复制DNS使用的所有程序目录分区包括ForestDNSZones以及DomainDNSZones如果DNS服务被安装到RODC上用户能够像查询其它DNS服务器一样进行名称解析 然而在RODC上的DNS服务不支持客户端直接更新因为RODC不登记它所拥有任何的AD集成区域的NS资源记录当客户端试图在RODC上尝试更新DNS记录时服务器会返回包含支持客户端更新的DNS服务器的引用随后客户端能够尝试利用引用中提供的DNS服务器进行DNS记录更新而在后台RODC上的DNS服务器会尝试从更新的DNS服务器中复制已更新的记录复制请求仅针对单一对象(DNS记录)整个变化区域的列表或者域数据在特定的复制单一对象的请求过程中将不被复制 |