只读域控制器是Windows Server 2008 AD DS域服务之后提供的新域控制器类型,只读域控制器同样是域控制器,但是Active Directory数据具备“只读”属性,只能读取不能写入。只读域控制器主要用在企业分支机构,例如企业在外的办事机构,当用户数量不是很多时,可以首先在中心域控制器中创建用户以及规划计算机信息,然后将用户账户和计算机账户复制到位于分支机构的RODC中。当分支机构和中心之间的网络断开时,用户可以通过分支机构的RODC验证并等落。
只读域控制器基本知识
只读域控制器,英文全程Read Only Domain Controller(简称RODC),是WIndows Server 2008之后版本提供的新域控制器类型,“Read Only”字面意思是“只读”,因此RODC只能读取不能写入。
活动目录数据库复制方向
普通域控制器复制
普通域控制器之间的复制是双向的,复制机制
2.RODC复制
RODC是可读写域控制器的一个副本域控制器,只能将可读写域控制器中Active Directory数据库创建的域对象复制到RODC,RODC管理员没有权限对RODC中的Active Directory数据库进行更改,如果RODC需要更改Active Directory数据库中的数据,更改的数据首先在可读写域控制器上更改完成,然后复制到RODC中。RODC支持从可读写域控制器到RODC的单向数据复制。可读写域控制器不会从RODC主动“拉”数据,只能被动的接受数据。
密码复制策略
密码复制策略决定可写域控制器中的用户密码是否被缓存到RODC中。密码复制策略列出允许缓存的账户以及明确拒绝缓存的账户。允许缓存的用户和计算机账户列表并步表示RODC一定缓存了这些账户的密码。例如,管理员可以实现指定RODC缓存的任何账户。
1.密码复制策略允许列表和拒绝列表
AD DS域服务中设置两个新组:允许的RODC密码复制组和拒绝的RODC密码复制组。这两个组包含RODC密码复制策略的默认允许列表和拒绝列表。拒绝列表的优先权高于允许列表。
默认情况下,“允许组”列表不包含任何成员。
“拒绝组列表”包含企业域控制器,企业只读域控制器,组策略创建者所有者,Domain Admins,证书发行者,Enterprise Admins,Shema Admins,域范围krbtgt账户等成员。
密码复制策略支持以下3个缓存模式。
·不缓存任何账户。此模式提供最安全的配置,没有密码被缓存到RODC,除RODC计算机账户机器特殊krbtgt账户之外。此模式的优点是需要很少或者不需要对默认设置进行额外的管理配置。用户可以选择将自己的安全敏感用户组添加到默认的拒绝用户列表中。这样可以防止这些用户组以外包含在允许的用户列表中,而且还可以防止之后将其密码缓存在RODC上。
·缓存大多数账户。此模式提供最简单的管理模式并且允许脱机操作。所有RODC的“允许列表”都用添加大部分用户或者组。“拒绝列表”步允许安全敏感的用户组,例如Domain Admins。大多数用户都可以根据需要缓存其密码。此配置最适合于RODC的物理安全没有危险的环境。
·缓存很少账户。此模式限制可以缓存的账户。管理员为特定物理位置RODC进行严格定义,即每个RODC都有其允许缓存的一组不同的用户和计算机账户。此模式的优点是万一出现广域网链路故障,缓存用户将从RODC中直接登录。同时,可以有效地控制密码泄漏。
2.缓存密码过期
RODC缓存密码之后,密码将保留在RODC的Acitve Directory数据库中,如果出现下列条件之一,缓存的密码将过期。
·用户更改密码。在此情况下,不从缓存中清楚密码,但该密码不再生效。
·相关的RODC的密码复制策略发生变化,因此不再缓存用户的密码。
RODC优点
RODC是一个只读的域控制器,但本质上还是域控制器,具备域控制器的功能和优点,同时据别以下特点。
1.只读Active Directory数据库
RODC上包含所有AD DS域服务的对象和属性,但是和可读写的域控制器不一样的是,只能读取可读写域控制器中的数据,,无法对RODC的Active Directory数据库进行更改,更改数据必须在可读写域控制器上进行然后复制到RODC中。默认情况下,RODC中不存储账户的密码。在不能保证域控制器安全性的情况下,可以通过RODC保证分支机构域安全性。
2.单向复制
可读写域控制器之间是双向复制,RODC和可读写域控制器之间的复制是单向复制,RODC通过分布式文件系统从可读写域控制器复制数据,但是RODC不能对缓存自本地的Active Directory数据库进行更改。只能从读写域控制器“拉”数据,而不能向读写域控制器“推”数据。
3.密码缓存
RODC可以存储用户、计算机和组的密码。密码缓存策略在可读写域控制器中涉资。默认情况下,RODC上只存储自己的计算机账户和一个用于RODC特殊的Kerberos票据授权(KRBTGT)账户,此账户被可读写DC用来验证RODC身份。如果在RODC上启用密码缓存,只会影响缓存到本地计算机和用户账户。
4.只读DNS
RODS上可以安装DNS服务,RODC可以复制DNS所使用的所有应用程序目录分区中的数据,包括ForestDNSZones和DomainDNSZones,RODC支持客户端DNS请求,并完成DNS解析功能。在RODC上的DNS不支持客户端直接进行DNS记录,因此RODC不会在所拥有的活动目录集成区域里面注册任何名称记录。
5.RODC管理
在可读写域控制器中,服务器本地管理员和域管理员相同,都可以管理域控制器。RODC允许一个普通的域用户称为RODC的本地管理员,设置的域用户可以在RODC所在的区域执行管理任务,此用户在域中或者任何可读写的域控制器上没有管理权限,仅管理区域分支机构的权限,不会影响Active Directory整体安全性。
6.GC支持
RODC可以做GC(全局编录)服务器,但是RODC不能安装操作主控角色。
RODC缺点
RODC的缺点很明显,对可读写域控制器的依赖性很强,如果可读写域控制器出现故障将直接影响RODC的使用,如果RODC步缓存用户密码,一旦可读写域控制器出现故障,基于Active Directory数据库的用户验证将出现错误。
部署前提
只读域控制器是一个特殊的域控制器,部署RODC必须满足以下条件。
1.域控制器需求
同一个域中,至少有一个运行Windows Server 2012的可写域控制器,该域控制器为RODC的复制伙伴。如果域内没有运行Windows Server 2012可读写域控制器,将不能部署RODC。该可写域控制器必须包含“PDC操作主机角色”。
2.功能级别需求
部署只读域控制器,Windows Server 2012 AD DS域服务林功能级别至少是Windows Server 2003,建议使用更高版本的功能级别。默认状态下,如果要部署Windows Server 2012 AD DS域服务,最低级别是Windows Server 2003级别。
部署RODC域控制器
部署RODC域控制器与部署可读写域控制器完全相同,部署过程中注意选择不同的选项即可。
部署流程
部署只读域控制器之前,建议遵循以下流程。
·服务器安装Windows Server 2012操作系统并安装最新的系统更新程序
·服务器加入域,提升为成员服务器
·以域管理员身份登录成员服务器,通过“添加角色和功能”向导安装域服务,安装过程中选择域控制器类型为“只读”
·安装完成后,验证只读域控制器是否安装成功。
安装过程
根据安装流程,通过“添加角色和功能”向导安装域服务过程中打开“域控制器选项”对话框,本例中只读域控制器名称为“tdc.book.com”。选择“只读域控制器(RODC)”选项。设置目录还原模式密码。
单击“下一步”按钮。该对话框中可以设置:
·RODC的管理员账户。默认没有设置,用户被委派权限后,对只读域控制器具备本地系统管理员(完全控制)的权限。如果没有明确设置管理用户,只有“Domain Admins”和“Enterprise Admins”组内的用户具备管理的权限。
·“拒绝将密码复制到RODC的账户”列表中显示拒绝复制到只读域控制器的密码账户,从列表中可以看出禁止复制到只读域控制器都是具备高级别管理权限的用户。
·“允许将密码复制到RODC的账户”列表中显示的“Allowed RODC Password Rplication Group”组内用户密码被复制到只读域控制器,默认情况下该组没有任何成员。
其他设置和部署普通域控制器相同,根据向导提示设置即可。
只读域控制器验证
RODC部署完成后,可以在域控制器和新安装的RODC控制器上验证是否成功安装。可写域控制器中可以通过域控制器的类型验证,只读域控制器中可以通过修改、创建Active Directory数据库的返回状态确认。
1.“Active Directoyr用户和计算机”验证
RODC部署完成后,可以在域控制器和新安装的RODC控制器上验证是否成功安装。可写域控制器中可以通过域控制器的类型验证,只读域控制器中可以通过修改、创建“Active Directory用户和计算机”——“book.com”——“Domain Controllers”选项,右侧窗口中显示所有域控制器列表,域控制器“TDC”和“DC类型”为“只读,GC”,说明RODC域控制器安装成功。
2.操作验证
只读域控制器中Acitve Directory数据库处于只读状态,管理员不能创建任何对象和修改任何属性,通过这种方法也可以判断当前运行的控制器是否为RODC域控制器。
只读域控制器管理任务
RODC域控制器默认复制到本地的Active Directory数据库为只读模式,不存储Active Directory数据库中的用户密码。网络管理员可以根据企业实际需要,为部署在分支机构的RODC域控制器中缓存所在管理区域中的用户密码。密码复制策略可以在安装RODC的过程中设置。
密码复制策略的位置
密码复制策略只能从RODC中查看。以域管理员身份登录,打开“Acitve Directory用户和计算机”控制台,选择“Domain Controllers”选项,右侧窗口中显示所有已经部署的域控制器,包括RODC。
右击RODC,在弹出的快捷菜单中选择“属性”命令,打开域控制器属性对话框,切换到“密码复制策略”选项卡,显示默认创建的策略信息。
查看已经发布到RODC的用户
打开“密码复制策略”选项卡,单击“高级”按钮,打开“以下项目的高级密码复制策略+域控制名称”对话框。切换到“策略使用率”选项卡,在“显示满足下列条件的用户和计算机”下拉列表中,选择“其密码已存储在只读域控制器中的账户”选项,显示已经发布的用户。
查看已经通过RODC进行身份验证的用户
打开“以下项目的高级密码复制策略+域控制器名称”对话框,“显示满足下列条件的用户和计算机”下拉列表中,选择“已通过此只读域控制器身份验证的账户”选项,显示在RODC已经通过身份验证的用户以及计算机,通过此列表确定确定哪些账户和密码允许此RODC域控制器中进行登录并验证。
用户发布到RODC
由于RODC不能创建用户,当域管理员创建用户后,可以将用户发布到目标RODC,用户通过RODC登录并验证。本例中以发布用户“demo”为例说明如何发布用户。
1.发布新用户
第1步,打开“密码复制策略”选项卡,单击“添加”按钮,打开“添加组、用户和计算机”对话框,选择“允许该账户的密码复制到RODC中”选项。
第2步,单击“确定”按钮,显示“选择用户、计算机服务账户或组”对话框。在“输入对象名称来选择”文本框中键入需要添加的目标用户名称,单击“检查名称”按钮,检查键入的用户是否为合法的用户。验证通过后,用户名称以下划线标注。
第3步,单击“确定”按钮,关闭“选择用户、计算机或组”对话框,返回到“密码复制策略”选项卡,单击“应用”按钮,设置生效。
第4步,如果要从RODC中删除目标域对象,列表中选择目标对象后,单击“删除”按钮,单击“确定”或者“应用”按钮,策略生效后即可从RODC中删除目标域对象。
2.添加允许组
RODC部署完成后,默认创建名称为“Allowed RODC Password Replication Group”的组,该组的用户密码被复制到RODC中,因此域管理员可以将需要缓存到RODC用户直接添加到该组中。
第1步,打开“密码复制策略”选项卡,列表中“Allowed RODC Password Replication Group”组,鼠标双击打开该组属性对话框,该组的描述信息“允许将此组中成员的密码复制到域中的所有只读域控制器”,组性质是全局安全组。
第2步,切换到“成员”选项卡,默认该组没有任何用户、组或者计算机
第3步,单击“添加”按钮,打开“选择用户、联系人、计算机、服务账户或组”对话框,在“输入对象名称来选择”文本框中键入需要添加的目标名称,单击“检查名称”按钮,检查吉安如的名称是否为合法的域对象。验证通过后,组名称以下划线标注。单击“确定”按钮,选择的域对象添加到“Allowed RODC Password Replication Group”组属性对话框的“成员”列表中,策略生效后将目标域对象复制到RODC中。
第4步,如果要删除“Allowed RoDC password Replication Group”组中的成员,成员列表中选择目标与对象后,单击“删除”按钮,根据提示操作即可。然后,单击“确定”或者“应用”按钮,策略生效后即可从RODC中删除目标域对象。
预设密码
预设密码,指的是将用户密码信息强制缓存到RODC中,当RODC和可读写域控制器之间网络连接断开的情况下,用户能够通过RODC登录并验证身份。因此,建议将用户账户和用户使用的计算机账户信息全部复制到RODC中。预设密码的前提条件:必须将预设密码的用户设置为允许缓存到RODC中,否则在设置过程中拒绝设置。
第1步,打开只读域控制器属性对话框,单击“高级”按钮,打开“以下项目的高级密码复制策略+域控制器名称”对话框。
第2步,单击“预设密码”按钮,打开“选择用户或计算机”对话框。在“输入对象名称来选择”编辑框中,键入需要预设密码的用户账户以及计算机账户。
第3步,单击“确定”按钮,显示“预填充密码”对话框。
第4步,单击“是”按钮。
第5步,设置完成后,当可对域控制和RODC之间的联系中断后,用户通过RODC继续登录并验证身份。
