Az Active Directory tartományvezérlő beállítása a 2018r2 Windows szerverben lévő rodc olvasásához konfigurálja
Nyissa meg az Active Directory-felhasználókat és a számítógépeket. Megnézzük a vezérlők listáját, köztük az SZHF-t.
Az RODC az Active Directory normál bejövő replikációját és a DFS elosztott fájlrendszernek a HUB webhelyről történő módosítását jelenti. Az írásvédett tartományvezérlő minden Active Directory adatot kap, kivéve a nem védett információkat; Alapértelmezés szerint a hitelesítő adatok, például a domain-adminisztrátorok, a vállalati adminisztrátorok és a séma-adminisztrátorok kizárásra kerülnek az írásvédett tartományvezérlő replikációs folyamatából.
Ha az alkalmazás írási hozzáférést igényel az Active Directoryhoz, az RODC egy LDAP választ küld, amely automatikusan átirányítja az alkalmazást a HUB webhelyen található írási hozzáféréssel rendelkező tartományvezérlőre. Szükség esetén az írásvédett tartományvezérlő a Globális Katalógus Olvasót is futtathatja a gyorsabb regisztráció érdekében.
Ez egy nagy előnye a fiókirodák, mintha valaki nyer a fizikai hozzáférést a szerverhez, vagy akár lopni, akkor képes lesz arra, hogy csapkod a személyes fiókot jelszó az Active Directory, de nem lesz képes, hogy hozzáférjen az érzékeny adatokat, mivel azok nem található az írásvédett .
Ez azt is jelenti, hogy ezek a nem védett rendszergazdai fiókok nem regisztrálhatnak az írásvédett tartományvezérlőn, ha nincs WAN kapcsolat a HUB webhely fejrészéhez.
Lépjünk át a Felhasználók tárolójára, és nézzük meg, hogy két csoport létezik, az első olyan csoport, amely tiltja az RODC jelszavas replikációt és a második csoportot RODC jelszavas replikációs engedélyével.
Amint azt a név is jelzi, mindegyik magában hordozza a névben meghatározott funkciókat, lehetővé teszi, hogy mindenki, aki belépjen, tárolja a tárat, a másik pedig megtiltja.
Lássuk a csoport tulajdonságait az RODC jelszavas replikáció tilalmával, és nézzük meg a Tagok lapon lévő személyek és csoportok listáját, akik alapértelmezés szerint nem olvashatók le a vezérlőre.
Általánosságban elmondható, hogy jobb, ha különálló csoportokat hoz létre minden egyes ágazat számára, amelynek tagjai átmásolhatók az írásvédett területre. Hozzon létre például egy rodc_cache fájlt.
Most nézzük közelebb az írásvédett tartományvezérlő tulajdonságait. Menjen az Írásvetítő-számítógépek számítógépének tulajdonságaihoz, kattintson a Tagcsoport fülre. Látjuk, hogy tagja a Domain Controllers csoportnak - az olvasáshoz.
Menjen a Jelszó-replikációs házirend lapra, nézze meg a tiltott vagy a rágógumiból letiltott csoportokat.
Kattintson a Hozzáadás gombra, és írja be a létrehozott rodc_cache csoportot a listán.
Egy másik érdekes a kezelt lap, csak a mi csoportunkat látjuk, amelyet a telepítés során jeleztünk, ha kívánja, megváltoztathatja.
Menjen a Jelszó-replikációs házirend lapra, és kattintson a Speciális gombra
Alapértelmezésben az írásvédett nem tárol a felhasználó vagy a számítógép hitelesítő kivéve a számlájára az írásvédett magát, és egy külön számlára „krbtgt”, amely elérhető az összes írásvédett.
Az előnye, hogy a mandátumok caching, hogy segít megvédeni a jelszavakat fiókirodák és csökkenti a biztonsági rés a megbízások esetén az írásvédett sérül. Ha Bizonyítvány gyorsítótárral és ha írásvédett ellopják, a jelszavakat, és a számítógépek lehet visszaállítani, attól függően, hogy az írásvédett tartoznak.
Bizonyítvány gyorsítótárral hagyható ki van kapcsolva, akkor csökken a potenciális kockázat, de másrészt ez növeli az összeget a WAN forgalom, mivel az összes hitelesítési kéréseket fog küldeni a vezérlő az iratokhoz való hozzáférés a fő HUB oldalon.
Látjuk, hogy a hitelesítő adatok ezen a vezérlőn vannak tárolva.
Azt is megjelenítheti, aki átment a hitelesítésen ezen a DC-n. Látjuk, hogy bejelentkeztem.
A Result Policy (Tulajdonságok) lapon megmutatjuk, hogy a kiválasztott fiók gyorsítótárazási állapotát milyen állapotban lehet. Kattintson a Hozzáadás gombra.
Megtudhatjuk, hogy fiókom nem tárolható ebben a DC-ben.
Add felhasználó ivanov.i
A rendszer megkérdezi, hogy elküldi az aktuális vezérlőnek, kattintson az Igen gombra
Ha figyelmeztetést kap, először hozzá kell adnia a fiókhoz a fiókot a gyorsítótárazási jogosultsággal, és ellenőrizni kell, hogy szerepel-e a tiltásban, mivel az explicit tiltás erősebb, mint a felbontás.
Látjuk, hogy minden sikeresen átkerült
Most próbálkozzunk az ADUC-on keresztül a vezérlőnk számára az olvasáshoz. Jobb egérgombbal kattintson az aktuális tartományra, és válassza a vezérlő módosítását.
Megjelenik egy figyelmeztetés A kiválasztott tartományvezérlő csak olvasható. Nem írhat műveletet.
Próbáld meg most megnyitni a fiókok tulajdonságait, mivel láthatod, hogy mindent inaktív a szerkesztéshez.
A csoportoknak ugyanaz a dolog
Az írásvédett tartományvezérlő mellett telepítheti a DNS szolgáltatást is. Az írásvédett tartományvezérlőn futó DNS-kiszolgáló nem támogatja a dinamikus frissítéseket. Azonban az ügyfelek használhatják a DNS-kiszolgálót a névfeloldás kérésére.
Mivel a DNS csak olvasható, az ügyfelek nem tudják frissíteni a rekordokat. Ha azonban az ügyfél DNS-rekordjait frissíteni kívánja, az írásvédett tartományvezérlő kérést küld a hozzá tartozó DNS-kiszolgálónak. A frissített rekordot egy DNS-kiszolgálóról átmásolják írási hozzáféréssel az írásvédett tartományvezérlő DNS-kiszolgálójára. Ez egy speciális replikáció egy objektum (DNS rekord), amely lehetővé teszi az RODC DNS szerverek frissítését. A fiókok ügyfelei gyorsabb névfeloldást kapnak a replikáció miatt.
A DNS-ben megyünk és látjuk, hogy lehetetlen szerkeszteni a rekordokat
És semmit sem tudsz létrehozni
Az Active Directory beépülő modulban is minden üres
Egy kicsit a SZJA biztonságáról.
Ha az írásvédett vezérlő feltörték, elvileg kérheti kivonatolt jelszót a számla, amely hozzáférést biztosít a bizalmas információkat. Ennek megakadályozása érdekében az adminisztrátor minden egyes vezérlőpultnál beállíthat jelszó-replikációs házirendet. A replikációs irányelv az RODC vezérlő számítógép objektumának két attribútuma. Képesség msDS-RevealOnDemandGroup tartalmazza megkülönböztető neveket csoportok, felhasználók, számítógépek, figyelembe jelszavak lehet kivonatolt az írásvédett (általában a felhasználók és a számítógépek ugyanazon a helyszínen, mint a vezérlő maga írásvédett). Képesség msDS-NeverRevealGroup tartalmaz különböző csoportok nevét, a felhasználók, számítógépek, amelyek hashelt a jelszavakat az írásvédett nem (például a rendszergazda jelszavát, semmiképpen nem kivonatolt az írásvédett). Amikor az írásvédett kéri a kivonatolt jelszót egy adott fiókot, FDC értékeli a kérelem szerinti jelszó replikációs Policy meghatározza, akkor létrehozhat egy jelszót az írásvédett másolata, vagy lehetetlen. Abban az esetben lopást egy tartományvezérlő, hogy csökkentse a biztonsági rés az említett jelszavakat kivonatolt az írásvédett idején lekapcsolása a hálózatról, és elkerüljék a törés fontos fiókhoz.
Az RODC vezérlő számítógép objektumának két további attribútuma van, amelyek lehetővé teszik, hogy meghatározhassuk, melyik jelszavakat kell törölni. Az msDS-AuthenticatedAtDC attribútum tartalmazza az RODC-ben hitelesített fiókok listáját, és az msDS-RevealedList attribútum azon fiókok listája, amelyek jelszavait jelenleg az írásvédett tartományvezérlőn tárolják.
Teljes tartományvezérlőn az RODC-vezérlők nem minősülnek megbízhatónak. A bizalmi kapcsolatok szempontjából az FDC-vezérlő az RODC vezérlőkhöz, valamint a tartományhoz tartozó egyéb szerverekhez tartozik. Az RODC vezérlők nem tartoznak sem az Enterprise Domain Controllers csoporthoz, sem a Domain Controllers csoporthoz. Az iratkezelő fiók segítségével nagyon keveset lehet frissíteni a könyvtárakban, így ha a támadó egy RODC-fiókot csap, akkor nem kap semmilyen kiváltságot, amely hasznos neki.
Az RODC vezérlők nem szerepelnek a szokásos DS replikációs topológiában sem. Mivel írásvédett néz ki, nem különbözik a más szerverek a domain, a tudás-ellenőrző (vagy KCC - ez a folyamat áll rendelkezésre minden tartományvezérlő, felelős a számítás a replikációs topológia DS) nem hoz létre az írásvédett kapcsolat objektumokat. Sem a teljes tartományvezérlő, sem az írásvédett tartományvezérlő vezérlője nem olvassa le a vezérlő alapját. Másfelől az írásvédett tartományvezérlő olyan kapcsolódási objektumot hoz létre, amely bejövő replikációs megállapodás a teljes tartományvezérlőből, de ezt az objektumot csak az írásvédett tartományvezérlő replikájában tárolja - nem másolódik más tartományvezérlőkre. A replikáció szempontjából az írásvédett tartományvezérlõ vezérlõje hasonlít a csótányok horgolásához: mindenkinek szabadon engedve, hogy senki ne hagyja ki.
A tárolt jelszavak törlése
Hiányzik a mechanizmusa a felhasználó gyorsítótárban tárolt jelszavainak törléséhez. Ha törölni kívánja az írásvédett tartományvezérlőben tárolt jelszót, akkor az adminisztrátornak vissza kell állítania a csomópont webhelyén. Ebben az esetben a részlegben tárolt jelszó érvénytelenné válik a webhely helyének vagy más részlegének erőforrásainak eléréséhez. Ha az írásvédett tartományvezérlő védelme veszélybe került, állítsa alaphelyzetbe a pillanatnyilag tárolt jelszavakat, majd állítsa újra az írásvédett tartományvezérlőt.