活動目錄在WindowsServer2008中的改進:只讀域控制器(RODC)

字號:

只讀域控制器(RODC)是在Windows Server? 2008操作系統(tǒng)中一種新的域控制器。有了只讀域控制器,組織能夠容易地的物理安全得不到保證的地區(qū)部署域控制器。一臺RODC包含了活動目錄數(shù)據(jù)庫的只讀部分。
    在Windows Server? 2008發(fā)布以前,如果用戶不得不跨廣域網(wǎng)連接域控制器進行身份驗證的話,那也就沒有其它更好的選擇。在許多案例中,這不是有效的解決方法。分支機構(gòu)通常無法為一臺可寫的域控制器提供的足夠的物理安全。而且,當分支機構(gòu)連接到樞紐站點時,它們的網(wǎng)絡(luò)帶寬通常比較差。這將導致登錄時間變長。這也會阻礙網(wǎng)絡(luò)資源的訪問。
    從Windows Server? 2008開始,組織能夠部署RODC來處理這些問題。作為部署的結(jié)果,用戶能夠獲得以下好處:改進的安全性快速登錄更有效的訪問網(wǎng)絡(luò)資源RODC可以做什么?
    在考慮部署RODC時,物理安全的不足是最為尋常的理由。RODC給那些需要快速可靠的身份驗證,同時對可寫域控制器而言物理安全無法得到確保的地方部署域控制器提供了新的方法。
    然而你的組織也可以為了特殊的管理需要選擇部署RODC。比如,業(yè)務程序(line-of-business,LOB)只能被安裝到域控制器上并才能得以成功運行?;蛘?,域控制器是分支機構(gòu)僅有的服務器,而不得不運行服務器應用。
    在這些例子中,業(yè)務程序所有者必須經(jīng)常交互式登錄到域控制器或者使用終端服務來配置和管理程序。這種環(huán)境引起了在可寫域控制器上不被接受的安全風險。
    RODC為在這些場景中部署域控制器提供了更安全的機械結(jié)構(gòu)。你能夠?qū)⒌卿浀絉ODC的權(quán)利轉(zhuǎn)讓給沒有管理權(quán)限的域用戶同時最小化給互動目錄森林帶來的安全風險。
    你也可以在其它場景中部署RODC,比如在外延網(wǎng)(EXTRANETS)中本地儲存的所有域密碼被認為是主要威脅。
    還有其它要特別考慮的嗎?
    為了部署RODC,域中必須至少有一臺運行Windows Server 2008的可寫域控制器。此外,活動目錄域和森林的功能級必須是Windows Server 2003或者更高。
    這項特性提供了什么新功能?
    RODC處理了在分支機構(gòu)中的普遍問題。這些地方也許沒有域控制器?;蛘咚麄冇锌蓪懙挠蚩刂破鞯菦]有足夠的物理安全,網(wǎng)絡(luò)帶寬以及專門的技術(shù)人員來提供支持。下面的RODC的功能緩解了這些問題:只讀活動目錄數(shù)據(jù)庫單向復制憑據(jù)緩存管理員角色分割只讀DNS
    只讀活動目錄數(shù)據(jù)庫除了賬戶密碼之外,RODC擁有所有可寫域控制器擁有的對象和屬性。然而,無法針對儲存在RODC的數(shù)據(jù)庫進行任何數(shù)據(jù)上的改變。數(shù)據(jù)上的改變必須在可寫域控制器上進行然后復制回RODC。
    請求獲得目錄讀取權(quán)限的本地程序能夠獲得訪問許可。當使用輕型目錄訪問協(xié)議(LDAP)的程序請求寫入權(quán)將會收到“referral”應答。在樞紐站點中,通常情況下這些應答將寫入請求引導到可寫的域控制器。
    RODC已篩選屬性集使用AD DS作為數(shù)據(jù)存儲的某些程序,也許會將類似信任憑據(jù)的數(shù)據(jù)(諸如密碼,信任憑據(jù),加密密鑰)儲存在RODC上。而你不想將這些數(shù)據(jù)儲存在RODC上是因為考慮到RODC受到安全威脅的情況。
    為了這些程序。你可以在架構(gòu)中動態(tài)配置不被復制到RODC的域?qū)ο蟮膶傩约?。這個屬性集被稱為RODC已篩選屬性集。在RODC已篩選屬性集定義的屬性不允許復制到森林內(nèi)的任何一臺RODC。
    威脅到RODC的惡意用戶能夠以某種途徑嘗試配置RODC,并嘗試將RODC已篩選屬性集中定義的屬性復制到其它域控制器。如果RODC嘗試從一臺安裝Windows Server 2008的域控制器上復制這些屬性,那么復制請求將被拒絕。然而,如果RODC嘗試從一臺安裝Windows Server 2003的域控制器上復制這些屬性,復制請求將被接受。
    因此,作為安全性的預防措施,如果你想配置RODC已篩選屬性集請確保森林的功能級是Windows Server 2008。如果森林的功能級是Windows Server 2008,那么收到威脅的RODC將不能被如此利用,因為運行Windows Server 2003的域控制器在森林中是不被允許的。
    你無法添加系統(tǒng)關(guān)鍵屬性到RODC已篩選屬性集。判斷是否是系統(tǒng)關(guān)鍵屬性的依據(jù)是看以下服務能否正常工作,這樣的服務有 AD DS、LSA、SAM(及SSPIs比如Kerberos)在Windows Server 2008 Beta3的后繼版本中,系統(tǒng)關(guān)鍵屬性擁有屬性值等于1的schemaFlagsEx屬性。