V mém předchozím článku jsem vysvětlil hlavní důvody, proč se společnost Microsoft rozhodla vrátit se k technologii RODC v systému Windows Server 2008. Tento článek navazuje na sérii a budeme dále studovat některé praktické aspekty práce s řadiči domény jen pro čtení..
Přihlašovací údaje uživatele
V předchozím článku jsem řekl, že všechny informace o všech uživatelích domény nejsou přeneseny do řadičů domény RODC. Ve skutečnosti jsou informace o uživatelských účtech stále uloženy na řadiči domény jen pro čtení, uživatelská hesla se prostě nereplikují na takový řadič domény. A pokud někdo ukradne řadič domény z větve, nebude moci použít informace z databáze Active Directory k získání uživatelských hesel.
Atributy uživatele
Ve výchozím nastavení jsou hesla jediným atributem uživatele, který není replikován na řadič domény jen pro čtení. Je však možné ručně nakonfigurovat systém Windows, aby se zabránilo replikaci dalších atributů uživatele..
V jakých případech lze tuto funkci použít? Pokud používáte Active Directory pouze jako mechanismus ověřování, pravděpodobně jej nebudete potřebovat. Mějte však na paměti, že existují organizace, které se silně spoléhají na databázi Active Directory, která se nepoužívá pouze k ověřování..
Poměrně často ve velkých organizacích, které používají různé uživatelské aplikace a databáze, aby se snížil počet chyb a duplicitní uživatelské informace, raději používají jediné místo k ukládání všech informací o zaměstnancích (telefony, adresy, kontakty atd.) A skvělé místo pro toto je Active Directory.
Například znám jednu organizaci, která vyvinula aplikaci pro správu personálu, kterou používají ve svém obvodu. Přestože většina dat je uložena v databázi SQL, věci jako jména zaměstnanců, pozice, telefonní čísla atd. uložené ve službě Active Directory jako atributy účtu. A v databázi SQL Server jsou uložena data, jako jsou čísla CIN, informace o platu, a tato databáze neobsahuje jména zaměstnanců. Jedinou věcí, která spojuje databáze AD a SQL, je číslo zaměstnance, které je přítomno v obou databázích.
Uvedl jsem vám tento příklad, abychom objasnili, že v mnoha organizacích mohou být v atributech uživatelů služby AD obsaženy důvěrné informace. A v případě, že takové informace nejsou vyžadovány ve větvi, můžete zablokovat její replikaci do řadiče domény větve.
Další vlastností technologie řadiče domény jen pro čtení je, že takový řadič lze také nakonfigurovat jako server DNS určený pouze pro čtení. V podstatě to znamená, že pokud útočník získá přístup k serveru řadiče domény jen pro čtení, nebude schopen paralyzovat firemní DNS.
Administrativní otázky
Jsem si jistý, že nyní máte spoustu otázek o administraci rodc. Pokusím se některé z nich okamžitě odpovědět.
Jak jsou uživatelé ověřeni, pokud řadič domény nemá informace o svých heslech??
Tady je trik. Jak víte, heslo je spojeno s uživatelským i počítačovým účtem. Ve výchozím nastavení řadič domény jen pro čtení ukládá pouze své vlastní heslo (heslo účtu počítače) a heslo pro zvláštní účet zvaný „krbtgt“, který používá protokol Kerberos.
Protože hesla se neukládají lokálně, všechny požadavky na ověření jsou přesměrovány na běžný řadič domény, jehož záznam je povolen. V případě, že chcete, aby se uživatelé mohli přihlásit do systému, i když není k dispozici žádný běžný řadič, musíte povolit funkci ukládání do mezipaměti hesla. Pokud je povoleno ukládání do mezipaměti, bude mezipaměť ukládat pouze hesla pro účty, které byly ověřeny v řadiči domény. A i když je váš řadič domény ohrožen, můžete z jiného řadiče vždy identifikovat účty, jejichž hesla byla uložena v mezipaměti na rodc.
Administrativní práce s rodc
V mnoha pobočkách se řadič domény často používá také jako aplikační server. A v případě, že v takové kanceláři není samostatný IT specialista, můžete někoho z kanceláře jmenovat jako správce rodc řadiče, aniž byste mu udělili administrátorská práva na celou doménu (můžete si přečíst příspěvek o delegování správcovských práv na rodc řadič domény). Bude tedy mít práva pouze na místní správu takového serveru a nebude moci nic změnit nebo zkazit ve službě Active Directory. V důsledku toho bude mít takový uživatel právo instalovat aktualizace softwaru a provádět další každodenní úkoly správy a údržby serveru. Přiřazení někoho jako správce řadiče domény jen pro čtení je podobné postupu při určování konkrétního uživatele nebo skupiny jako místního správce pro člena nebo samostatný server.
Odkazy na všechny články v této sérii:
Práce s řadiči domény jen pro čtení (RODC) (část 1)
Práce s řadičem domény jen pro čtení (část 2)
Práce s řadičem domény jen pro čtení (část 3)