Многие компании территориально размещены по нескольким офисам, будь то в одном городе или в нескольких регионах. Стабильная работа в филиалах - в случае единого централизованного IT-управления - требует постоянного соединения с центральным офисом, что не всегда реально достижимо. Одним из способов организации работы в случае нестабильного канала связи является размещение в филиале дополнительного контроллера домена. Однако в филиале гораздо сложнее обеспечить необходимый уровень безопасности сервера, а при наличии физического доступа к системе злоумышленнику не представляет особого труда скомпрометировать ее. С выходом ОС Windows 2008 Server появилась возможность установки контроллера домена "только для чтения" - RODC (Read-Only Domain Controller). RODC в некоторой степени можно рассматривать как расширение функционала Backup Domain Controller - контроллеров в домене Windows NT 4.0, на которые также нельзя было вносить изменения.

RODC имеет несколько особенностей:

Односторонняя репликация. Данные копируются на RODC с других контроллеров. Если программа пытается внести изменения в базу, хранящуюся на RODC, то операция записи будет транслироваться на "обычные" контроллеры и выполняться там.

Ограниченный набор атрибутов. На RDOC кэшируется только часть атрибутов каталога. Настройками на контроллере-хозяине схемы администратор может изменить состав этих атрибутов, но часть их помечена как критические и их нельзя реплицировать на RODC. На RODC можно установить сервер DNS в режиме только для чтения.

Возможность хранения данных аутентификации. Администратор может настроить список учетных записей, для которых данные аутентификации будут храниться (кэшироваться) на RODC. Эти пользователи смогут входить в домен и т. п. даже в случае отсутствия соединения с центральным офисом. В случае же компрометации RDOC администратор будет знать, к каким учетным записям злоумышленник мог получить доступ, и сможет принять необходимые меры.

Делегирование прав локального администратора. На "обычных" контроллерах домена локальный администратор является администратором домена. Для выполнения задач обслуживания RODC (установка драйверов и аналогичные операции, требующие наличия прав администратора) предусмотрено, что любая учетная запись, включенная в группу локальных администраторов, будет обладать правами локального администратора, но не получит никаких прав по управлению доменом.

ПримЕчАниЕ

В случае взлома RODC злоумышленник может настроить репликацию на него дополнительных атрибутов службы каталогов, которые не копируются в филиал в нормальных условиях по соображениям безопасности. При взаимодействии с контроллером на Windows 2008 последний откажет в операции копирования. Если связь будет установлена с контроллером на Windows 2003 Server, то данные будут скопированы. Поэтому в целях безопасности необходимо устанавливать RODC в домене, режим которого переведен на уровень Windows 2008.

Установка RODC не представляет никакой сложности. Администратору необходимо начать установку контроллера домена (dcpromo или из консоли управления). Далее на соответствующем шаге мастера указать, что необходимо установить контроллер в режиме "только для чтения", а затем выбрать политику репликации паролей учетных записей. Обычно достаточно согласиться с предложением мастера операций: настройки по умолчанию подходят в большинстве случаев.

Отметим также, что RODC может быть установлен как на полную версию сервера Windows 2008, так и на вариант core.

Карантин клиентов удаленного подключения | Самоучитель системного администратора | Directaccess


Самоучитель системного администратора



Новости за месяц

  • Август
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31