Instalace řadiče domény RODC v systému Windows Server 2016

Poprvé funkčnost řadiče domény jen pro čtení (Rodc - řadič domény jen pro čtení), byl zaveden v systému Windows Server 2008. Hlavním úkolem technologie RODC je schopnost bezpečně nainstalovat vlastní řadič domény ve vzdálených pobočkách a kancelářích, ve kterých je obtížné zajistit fyzickou ochranu serveru s rolí DC. Řadič domény RODC obsahuje kopii databáze Active Directory pouze pro čtení. To znamená, že nikdo ani po získání fyzického přístupu k takovému doménovému řadiči nebude moci měnit data v AD (včetně resetování hesla správce domény).

V tomto článku si probereme hlavní funkce použití a postup instalace nového řadiče domény RODC založeného na systému Windows Server 2016..

Obsah:

  • Vlastnosti řadiče domény RODC
  • Nainstalujte RODC z GUI správce serveru
  • Nainstalujte RODC pomocí PowerShell
  • Zásady replikace hesel RODC

Vlastnosti řadiče domény RODC

Hlavní rozdíly mezi řadiči domény jen pro čtení a běžnými řadiči domény s možností zápisu (RWDC)

  1. Řadič domény RODC ukládá kopii databáze AD pouze pro čtení. Klienti takového řadiče domény tedy nemohou provádět změny..
  2. RODC nereplikuje data AD a složku SYSVOL na jiné řadiče domény (RWDC).
  3. Řadič RODC ukládá úplnou kopii databáze AD, s výjimkou hashe hesel objektů AD a dalších atributů obsahujících citlivé informace. Tato sada atributů se nazývá Filtrovaná sada atributů (FAS). To zahrnuje atributy, jako jsou ms-PKI-AccountCredentials, ms-FVE-RecoveryPassword, ms-PKI-DPAPIMasterKeys atd. V případě potřeby můžete do této sady přidat další atributy, například při použití protokolu LAPS k němu přidat atribut ms-MCS-AdmPwd.
  4. Když RODC obdrží od uživatele požadavek na ověření, přesměruje tento požadavek na řadič RWDC.
  5. Řadič RODC může ukládat mezipaměti některých uživatelů do mezipaměti (to urychluje rychlost autorizace a umožňuje uživatelům přihlásit se k řadiči domény, i když není připojení k úplnému řadiči domény).
  6. Řadičům domény RODC může být poskytnut administrativní přístup běžným uživatelům (například specializovanému odbornému odvětví).

Požadavky na nasazení řadiče domény jen pro čtení.

  1. Serveru musí být přidělena statická IP
  2. Brána firewall musí být deaktivována nebo správně nakonfigurována, aby umožňovala přenos mezi řadiči domény a přístup z klientů
  3. Jako server DNS musí být zadán nejbližší řadič RWDC.

Nainstalujte RODC z GUI správce serveru

Otevřete konzolu Správce serveru a přidejte roli Služby Active Directory Domain Services (souhlasí s instalací všech dalších součástí a ovládacích prvků).

Ve fázi určování nastavení nového řadiče domény zadejte, že chcete přidat nový řadič domény do existující domény (Přidejte řadič domény do existující domény), zadejte název domény a v případě potřeby informace o uživatelském účtu s právy správce domény.

Vyberte, co chcete nainstalovat role serveru DNS, globálního katalogu (GC) a RODC. Dále vyberte web, na kterém bude nový řadič umístěn, a heslo pro přístup v režimu DSRM.

V dalším okně pro zadání parametrů RODC musíte určit uživatele, kteří potřebují poskytnout administrativní přístup k řadiči domény, jakož i seznam účtů / skupin, jejichž hesla jsou povolena a zakázána, aby se replikovala do tohoto RODC (můžete nastavit později).

Určete, že data databáze AD lze replikovat z libovolného řadiče domény.

Poté určete cesty k databázi NTDS, jejím protokolům a složce SYSVOL (v případě potřeby je můžete později přenést na jinou jednotku).

To je vše. Po kontrole všech podmínek můžete zahájit instalaci role.

Nainstalujte RODC pomocí PowerShell

Chcete-li nasadit nový modul RODC pomocí prostředí PowerShell, musíte nainstalovat roli ADDS a modul PowerShell ADDS.

Doplňkové služby AD-WindowsFeature AD-Domain, RSAT-AD-AdminCenter, RSAT-ADDS-Tools

Nyní můžete zahájit instalaci RODC:

Install-ADDSDomainController -ReadOnlyReplica -DomainName yourdimain.com -SiteName "Default-First-Site-Name" -InstallDns: $ true -NoGlobalCatalog: $ false

Po dokončení rutiny cmdlet požádá o restartování serveru..

Můžete ověřit, že server je v režimu RODC pomocí příkazu:

Get-ADDomainController -Identity S2016VMLT

Hodnota atributu IsReadOnly musí být True.

Zásady replikace hesel RODC

Na každém řadiči domény jen pro čtení můžete definovat seznam uživatelů a skupin, jejichž hesla lze nebo nemohou být replikována na tento ovládací prvek domény.

Ve výchozím nastavení jsou v doméně vytvořeny dvě nové globální skupiny

  1. Povolená skupina replikace hesel RODC
  2. Odepřená skupina pro replikaci hesel RODC

První skupina je ve výchozím nastavení prázdná a druhá obsahuje skupiny zabezpečení pro správu, jejichž uživatelská hesla nelze replikovat a ukládat do mezipaměti na řadiči domény jen pro čtení, aby se vyloučilo riziko jejich ohrožení. To zahrnuje ve výchozím nastavení skupiny jako:

  • Vlastníci tvůrců skupinových zásad
  • Správci domén
  • Vydavatelé certifikátů
  • Enterprise admins
  • Správci schémat
  • Účet Krbtgt
  • Provozovatelé účtu
  • Operátoři serveru
  • Operátory zálohování

Ve skupině povolených replikací hesel RODC je zpravidla možné přidat skupiny uživatelů větve, která slouží tomuto modulu RODC..

V případě, že je v doméně několik řadičů domény, je vhodné vytvořit takové skupiny jednotlivě pro každý řadič domény jen pro čtení. Vazebné skupiny k řadiči domény RODC se provádějí ve vlastnostech serveru v konzole ADUC na kartě Heslo
Zásady replikace (více informací).

Když se konzola ADUC připojí k řadiči domény s rolí RODC, ani administrátor domény nebude moci upravovat atributy uživatele / počítače (pole nelze upravovat) ani vytvářet nové..

Kategorie