V mojom predchádzajúcom článku som vysvetlil hlavné dôvody, prečo sa spoločnosť Microsoft rozhodla vrátiť sa k technológii RODC v systéme Windows Server 2008. V tomto článku sa pokračuje v sérii a pokračujeme v štúdiu niektorých praktických aspektov práce s radičmi domény len na čítanie..
Používateľské poverenia
V predchádzajúcom článku som uviedol, že všetky informácie o všetkých používateľoch domény sa neprenesú do radičov domény RODC. V skutočnosti sú informácie o používateľských kontách stále uložené na RODC, heslá používateľov sa jednoducho nereplikujú do takéhoto radiča domény. A ak niekto ukradne radič domény z vetvy, nebude môcť pomocou informácií z databázy Active Directory získať heslá používateľov.
Atribúty používateľa
V predvolenom nastavení sú heslá jediným atribútom používateľa, ktorý sa nereplikuje na radič domény len na čítanie. Je však možné manuálne nakonfigurovať systém Windows, aby sa zabránilo replikácii ďalších atribútov používateľa..
V akých prípadoch je možné túto funkciu použiť? Ak používate Active Directory iba ako mechanizmus overovania, pravdepodobne ho nebudete potrebovať. Nezabúdajte však, že existujú organizácie, ktoré sa do značnej miery spoliehajú na databázu Active Directory, ktorá sa používa nielen na autentifikáciu..
Pomerne často vo veľkých organizáciách, ktoré používajú rôzne užívateľské aplikácie a databázy, aby sa znížil počet chýb a duplicitné informácie o užívateľoch, radšej používajú jediné miesto na ukladanie všetkých informácií o zamestnancoch (telefóny, adresy, kontakty atď.) A skvelé miesto pretože toto je Active Directory.
Napríklad poznám jednu organizáciu, ktorá vyvinula aplikáciu na správu personálu, ktorú používajú vo svojom obvode. Hoci väčšina údajov je uložená v databáze SQL, veci ako mená zamestnancov, pozície, telefónne čísla atď. uložené v službe Active Directory ako atribúty účtu. A v databáze SQL Server sú uložené údaje, ako sú čísla DIČ, informácie o mzdách a táto databáza neobsahuje mená zamestnancov. Jedinou vecou, ktorá spája AD a SQL databázy, je číslo zamestnanca, ktoré je prítomné v oboch databázach.
Uviedol som tento príklad, aby som objasnil, že v mnohých organizáciách môžu byť v atribútoch používateľov služby AD obsiahnuté dôverné informácie. A v prípade, že sa takéto informácie v vetve nevyžadujú, môžete blokovať jej replikáciu do radiča domény vetvy.
Ďalšou vlastnosťou technológie radiča domény iba na čítanie je, že takýto radič možno nakonfigurovať aj ako server DNS určený len na čítanie. V podstate to znamená, že ak útočník získa prístup k serveru radiča domény iba na čítanie, nebude schopný paralyzovať podnikové DNS..
Administratívne otázky
Som si istý, že už máte veľa otázok o správe rodc. Pokúsim sa na niektoré z nich okamžite odpovedať.
Ako sú používatelia autentifikovaní, ak radič domény nemá informácie o svojich heslách??
Je tu trik. Ako viete, heslo je priradené k používateľskému aj počítačovému účtu. V predvolenom nastavení ukladá radič domény iba na čítanie iba svoje vlastné heslo (heslo účtu počítača) a heslo pre špeciálny účet s názvom „krbtgt“, ktorý používa protokol Kerberos.
pretože heslá sa lokálne neukladajú, všetky žiadosti o overenie sú presmerované na riadny radič domény, ktorého zaznamenávanie je povolené. V prípade, že chcete, aby sa používatelia mohli prihlásiť do systému, aj keď nie je k dispozícii žiadny bežný radič, musíte povoliť funkciu ukladania hesiel do pamäte cache. Ak je zapnuté ukladanie do vyrovnávacej pamäte, do vyrovnávacej pamäte sa ukladajú iba heslá pre účty, ktoré boli overené v radiči domény. A aj keď je váš radič domény ohrozený, vy z iného radiča môžete vždy identifikovať tie účty, ktorých heslá boli uložené v pamäti cache na rodc.
Administratívna práca s rodc
V mnohých pobočkách sa radič domény často používa aj ako aplikačný server. A v prípade, že v takejto kancelárii nie je samostatný IT špecialista, môžete niekoho vymeniť z kancelárie za administrátora rodc regulátora bez toho, že by ste mu udelili administrátorské práva na celú doménu (môžete si prečítať príspevok o delegovaní správcovských práv na radič domény rodc). Bude teda mať práva iba na miestnu správu takého servera a nebude schopný nič meniť alebo kaziť v službe Active Directory. V dôsledku toho bude mať taký užívateľ právo inštalovať aktualizácie softvéru a vykonávať ďalšie každodenné úlohy týkajúce sa správy a údržby servera. Priradenie niekoho ako správcu radiča domény iba na čítanie je podobné postupu na určenie konkrétneho používateľa alebo skupiny ako miestneho správcu pre člena alebo samostatný server..
Odkazy na všetky články v tejto sérii:
Práca s radičmi domény len na čítanie (RODC) (časť 1)
Práca s radičom domény len na čítanie (časť 2)
Práca s radičom domény len na čítanie (3. časť)