Продовжуючи цикл статей про нову технологію Active Directory - RODC (Read-Only Domain Controllers), хотілося б торкнутися докладніше тему політики реплікації паролів - Password Replication Policy (PRP). За замовчуванням на RODC не зберігається ні паролі користувачів ні комп'ютерів (за винятком його власного облікового запису комп'ютера і спеціального облікового запису krbtgt). Мета цього ускладнення - підвищення рівня безпеки, так як якщо RODC буде скомпрометований, ви не будете хвилюватися про те, що цінна інформація потрапить в руки до зловмисника.
А може бути було б непогано, якщо була б можливість реплицировать користувачів на їх сайт з тією метою, що якщо навіть з'єднання WAN з головним офісом буде розірвано, вони могли б здійснювати вхід в систему. Саме такі настройки побачити в консолі ADUC на вкладці властивостей облікового запису RODC на вкладці Password
Replication Policy (PRP). Тут ви можете вказати, паролі яких користувачів повинні бути реплікуються на цей RODC, а які ні.
Ці настройки можна також задати при установці ролі RODC за допомогою файлу відповідей Unattended, для цього використовують такі параметри:
PasswordReplicationDenied =
PasswordReplicationAllowed =
Для отримання додаткової інформації можна скористатися вкладкою Advanced, тут можна дізнатися яким облікових записів можна аутентифицироваться на RODC, і також іншу корисну інформацію, яка допоможе вам оптимально налаштувати PRP. на вкладці Resultant Policy можна ввести ім'я користувача і дізнатися чи буде пароль цього користувача збережена в кеші на RODC чи ні.
Коли RODC отримує запит на вхід в систему, він намагається реплицировать повноваження зі звичайного "доступного на запис" контролера домену Windows 2008. Цей контролер звертається до PRP, і намагається визначити, чи повинні бути реплікуються на RODC облікові дані цього користувача чи ні. Якщо дозволено, то звичайний DC реплицирует повноваження на RODC і RODC кешируєт їх локально. Подальша перевірка справжності користувача потім здійснюється з використанням кешу на RODC і відсутність каналу зв'язку зі звичайним DC вже не критично.
Однак є і недолік, не існує можливості очистити кеш паролів на контролері домену RODC. Єдине, що може зробити адміністратор Active Directory в цьому випадку - це скинути паролі всіх облікових записів, які закеширувалася, після чого кеш на контролері RODC стане неактуальним і ці дані не можуть бути використані для входу в систему. Цю ж процедуру потрібно виконати перед перевстановлення скомпрометованого RODC. Це набагато простіше, ніж вручну спробувати з'ясувати, паролі яких учеток були кешованими на RODC. При спробі видалить RODC з консолі ADUC, перед вами з'явиться наступне вікно:
А що ж тоді за функція PrepoluatePasswords? Уявіть ситуацію, коли в вашому філії більше 100 користувачів і ви додали їх групу в PRP. Ну, скажімо, у вас є 100 користувачів в цій філії, і ви додали їх групи PRP. І щоб не чекати входу кожного користувача в систему, ми можемо вказати контролеру домену негайно почати реплікацію паролів. також функцію PrepoluatePasswordsможна використовувати при транспортуванні нового сервера RODC з центрального датацентру до філії, з тим, щоб зменшити навантаження на канал WAN при масовому вході користувачів в систему.