Inštalácia radiča domény RODC v systéme Windows Server 2016

Prvýkrát funkčnosť radiča domény iba na čítanie (RODC - radič domény len na čítanie) bol zavedený v systéme Windows Server 2008. Hlavnou úlohou technológie RODC je schopnosť bezpečne nainštalovať vlastný radič domény vo vzdialených pobočkách a kanceláriách, v ktorých je ťažké zabezpečiť fyzickú ochranu servera s úlohou DC. Radič domény RODC obsahuje kópiu databázy Active Directory iba na čítanie. To znamená, že nikto ani po získaní fyzického prístupu k takému radiču domény nebude môcť zmeniť údaje v službe AD (vrátane resetovania hesla správcu domény).

V tomto článku sa budeme venovať hlavným funkciám použitia a postupu inštalácie nového radiča domény RODC založeného na systéme Windows Server 2016..

obsah:

  • Funkcie radiča domény RODC
  • Nainštalujte RODC z GUI Server Manager
  • Nainštalujte RODC pomocou PowerShell
  • Pravidlá replikácie hesiel RODC

Funkcie radiča domény RODC

Hlavné rozdiely medzi RODC a bežnými zapisovateľnými radičmi domén (RWDC)

  1. Radič domény RODC ukladá kópiu databázy AD iba na čítanie. Klienti takéhoto radiča domény preto nemôžu vykonávať zmeny..
  2. RODC nereplikuje údaje AD a priečinok SYSVOL na iné radiče domény (RWDC).
  3. Radič RODC ukladá úplnú kópiu databázy AD s výnimkou hashovania hesiel objektov AD a ďalších atribútov obsahujúcich citlivé informácie. Táto množina atribútov sa nazýva Súbor filtrovaných atribútov (FAS). Patria sem atribúty ako ms-PKI-AccountCredentials, ms-FVE-RecoveryPassword, ms-PKI-DPAPIMasterKeys atď. Ak je to potrebné, môžete k tejto množine pridať ďalšie atribúty, napríklad pri použití protokolu LAPS k nej pridať atribút ms-MCS-AdmPwd..
  4. Keď RODC dostane od používateľa požiadavku na autentifikáciu, presmeruje túto požiadavku na radič RWDC.
  5. Radič RODC môže ukladať poverenia niektorých používateľov do vyrovnávacej pamäte (urýchľuje to rýchlosť autorizácie a umožňuje používateľom prihlásiť sa do radiča domény, aj keď neexistuje spojenie s úplným DC).
  6. Radičom domény RODC môže byť udelený administratívny prístup bežným používateľom (napríklad odbornému odvetvovému špecialistovi).

Požiadavky na nasadenie radiča domény len na čítanie.

  1. Serveru musí byť pridelená statická IP adresa
  2. Firewall musí byť vypnutý alebo správne nakonfigurovaný, aby umožňoval komunikáciu medzi DC a prístup od klientov
  3. Ako server DNS musí byť zadaný najbližší radič RWDC.

Nainštalujte RODC z GUI Server Manager

Otvorte konzolu Server Manager a pridajte rolu Služby doménových služieb Active Directory (súhlasíte s inštaláciou všetkých ďalších komponentov a ovládacích prvkov).

Vo fáze zadávania nastavení nového DC zadajte, že chcete pridať nový radič domény do existujúcej domény (Pridajte radič domény do existujúcej domény), uveďte názov domény av prípade potreby informácie o používateľskom účte s právami správcu domény.

Vyberte, čo chcete nainštalovať roly servera DNS, globálneho katalógu (GC) a RODC. Ďalej vyberte lokalitu, na ktorej sa bude nachádzať nový radič, a heslo pre prístup v režime DSRM.

V ďalšom okne na zadanie parametrov RODC musíte určiť používateľov, ktorí potrebujú poskytnúť administratívny prístup k radiču domény, ako aj zoznam účtov / skupín, ktorých heslá sú povolené a zakázané, aby sa replikovali do tohto RODC (môžete nastaviť neskôr)..

Určite, že údaje databázy AD sa môžu replikovať z ľubovoľného DC.

Potom zadajte cesty k databáze NTDS, jej denníkom a priečinku SYSVOL (v prípade potreby ich môžete neskôr preniesť na inú jednotku).

To je všetko. Po skontrolovaní všetkých podmienok môžete spustiť inštaláciu rolí.

Nainštalujte RODC pomocou PowerShell

Ak chcete nasadiť nové RODC pomocou PowerShell, musíte nainštalovať rolu ADDS a modul PowerShell ADDS.

Doplnkové služby AD-WindowsFeature AD-Domain, RSAT-AD-AdminCenter, RSAT-ADDS-Tools

Teraz môžete začať s inštaláciou RODC:

Install-ADDSDomainController -ReadOnlyReplica -DomainName yourdimain.com -SiteName "Default-First-Site-Name" -InstallDns: $ true -NoGlobalCatalog: $ false

Po dokončení rutiny cmdlet požiada o reštart servera.

Pomocou príkazu môžete overiť, či je server v režime RODC:

Get-ADDomainController -Identity S2016VMLT

Hodnota atribútu IsReadOnly musí byť True.

Pravidlá replikácie hesiel RODC

Na každom RODC môžete definovať zoznam používateľov a skupín, ktorých heslá sa môžu alebo nemôžu replikovať na túto kontrolu domény.

V predvolenom nastavení sú v doméne vytvorené dve nové globálne skupiny

  1. Skupina povolená replikácia hesiel RODC
  2. Odmietnutá skupina pre replikáciu hesiel RODC

Prvá skupina je v predvolenom nastavení prázdna a druhá obsahuje skupiny zabezpečenia pre správu, ktorých heslá používateľov sa nedajú replikovať a ukladať do pamäte cache na RODC, aby sa vylúčilo riziko ohrozenia. V predvolenom nastavení to zahŕňa skupiny ako:

  • Vlastníci tvorcov skupinovej politiky
  • Správcovia domén
  • Vydavatelia certifikátov
  • Enterprise admins
  • Správcovia schém
  • Účet Krbtgt
  • Prevádzkovatelia účtov
  • Prevádzkovatelia serverov
  • Operátori zálohovania

Spravidla je možné do skupiny povolených replikácií hesiel RODC pridať skupiny používateľov vetvy, ktorá slúži tejto RODC..

V prípade, že je v doméne niekoľko DC, stojí za to vytvoriť tieto skupiny individuálne pre každú RODC. Viazanie skupín na radič domény RODC sa vykonáva vo vlastnostiach servera v konzole ADUC na karte heslo
Replikačná politika
(viac informácií).

Keď sa konzola ADUC pripojí k radiču domény s úlohou RODC, ani správca domény nebude môcť upravovať atribúty používateľa / počítača (polia nie je možné upravovať) ani vytvárať nové..