V pokračování řady článků o nové technologii Active Directory - RODC (řadiče domény jen pro čtení) bych se chtěl dotknout tématu politiky replikace hesla - zásady replikace hesel (PRP). Ve výchozím nastavení nejsou na RODC uložena žádná uživatelská ani počítačová hesla (kromě vlastního účtu počítače a zvláštního účtu krbtgt). Účelem této komplikace je zvýšení úrovně bezpečnosti, protože pokud dojde ke kompromitaci RODC, nebudete se bát, že cenné informace padnou do rukou útočníka.
Nebo by bylo hezké, kdyby existovala příležitost replikovat uživatele na jejich webové stránky s cílem, že i kdyby bylo připojení WAN k centrále odpojeno, mohli se přihlásit. Právě tato nastavení můžete vidět v konzole ADUC na kartě Vlastnosti účtu RODC na kartě Heslo
Replikace Zásady (PRP). Zde můžete určit, která hesla, která uživatelé mají být replikováni do tohoto RODC a která nikoli.
Tato nastavení lze také určit při instalaci role RODC pomocí souboru odpovědí bezobslužné pomocí následujících parametrů:
PasswordReplicationDenied =
PasswordReplicationAllowed =
Pro více informací můžete použít kartu Pokročilé, zde můžete zjistit, na kterých účtech lze autentizovat RODC, jakož i další užitečné informace, které vám pomohou optimálně nakonfigurovat PRP. Tab Výsledný Zásady můžete zadat uživatelské jméno a zjistit, zda bude heslo tohoto uživatele uloženo v mezipaměti na RODC.
Když řadič domény jen pro čtení přijme žádost o přihlášení, pokusí se replikovat pověření z běžného řadiče domény Windows 2008 s povoleným zápisem. Tento řadič přistupuje k PRP a pokouší se určit, zda by pověření tohoto uživatele měla být replikována do řadiče domény jen pro čtení. Pokud je povoleno, běžný řadič domény replikuje přihlašovací údaje do řad RODC a RODC je ukládá do mezipaměti místně. Následné ověření uživatele je pak provedeno pomocí mezipaměti na řadiči domény jen pro čtení a absence odkazu na pravidelné DC již není kritická.
Nevýhodou však není způsob, jak vymazat mezipaměť hesel v řadiči domény RODC. Jediné, co může správce Active Directory v tomto případě udělat, je resetovat hesla všech účtů v mezipaměti, po kterých se mezipaměť na RODC stane irelevantní a tato data nemohou být použita pro vstup do systému. Stejný postup je třeba provést před opětovnou instalací kompromitovaného řadiče domény jen pro čtení. Je to mnohem snazší než se ručně pokusit zjistit, která hesla účtu byla uložena v mezipaměti na řadiči domény jen pro čtení. Při pokusu o odebrání řadiče domény jen pro čtení z konzoly ADUC se před vámi zobrazí následující okno:
A pak jaký druh funkce PrepoluátHesla? Představte si situaci, kdy má vaše pobočka více než 100 uživatelů a přidali jste jejich skupinu do PRP. Řekněme, že v této větvi máte 100 uživatelů a přidali jste jejich skupiny PRP. A abychom nečekali, až každý uživatel vstoupí do systému, můžeme pověřit řadič domény, aby okamžitě začal replikovat hesla. Fungují také PrepoluátHeslalze použít při přepravě nového serveru RODC z centrálního datového centra do větve, aby se během hromadného přihlášení uživatele snížilo zatížení kanálu WAN.