Forby brugere fra at autentificere udelukkende på skrivebeskyttet domænecontrollere

I mit Windows Server 2008-tip om tilladelse til læsbar domæne-controller-godkendelse viste jeg nogle af de ekstra konfigurationstrin, der kan være påkrævet for at bruge funktionen som forventet. Af sikkerhedsmæssige årsager kan du også udtrykkeligt forbyde adgang til read-only domænecontrollere.

Standard Windows Server 2008 Active Directory-domænekonfiguration leverer den tilladte RODC Password Replication Group (som jeg forklarede i mit tidligere Windows Server 2008 tip) og Denied RODC Password Replication Group; sidstnævnte gruppe lægger alle grupper med højere tilladelse i denne container for at holde disse legitimationsoplysninger fra den skrivebeskyttede domænekontroller.

Figur A viser standardgrupperne, der er forbudt at autentificere udelukkende mod den read-only domænekontroller. Figur A

Brugere kan stadig godkende dette websted eller mod den read-only domænekontroller - bare ikke udelukkende. Tag eksemplet, hvor den read-only domænekontroller ikke er i stand til at kontakte en skrivbar domænecontroller. Denne situation kræver, at alle godkendelsesaktiviteter håndteres direkte af den read-only domænekontroller. Gruppemedlemskab (eller eventuelle computere, hvis de findes), der er opregnet i denne gruppe, er forbudt at logge på domænet.

Du kan tilføje eller trække fra denne gruppe, som du synes, men det kan være værd at afgøre, om det virkelig er nødvendigt for de højere privilegerede grupper at logge på, hvis den skrivbare domænekontroller ikke er tilgængelig. En acceptabel praksis kan være at oprette en sikkerhedsgruppe af administrative aliaser, der er lokale administratorer på alle computerkonti på websteder, der serviceres af skrivebeskyttet domænecontrollere.

Konti med højere tilladelse kan stadig logge på den read-only domænekontroller, hvis en skrivbar domænecontroller er direkte tilgængelig. Du kan se historikken med dette ved at se på domænekontrolleren i Active Directory-brugere og computere; Følg disse trin for at gøre det:

  1. Højreklik, og vælg Egenskaber for hver skrivebeskyttet domænekontroller.
  2. Klik på fanen Password Replication.
  3. Dobbeltklik på posten Tilladt RODC Password Replication Group.
Dette viser dig, hvad der er gemt lokalt, og hvilke konti (computer og bruger), der har godkendt via den read-only domænekontroller ( figur B ). Figur B

I eksemplet har administrator godkendt den read-only domænecontroller; brugeren er dog ikke angivet på den anden mulighed (konti, hvis adgangskoder er gemt på denne domænecontroller).

Hvordan har read-only domænecontrollere påvirket din tildeling af administrativ adgangstilladelse? Fortæl os det i diskussionen.

Hold dig opdateret med de nyeste Windows Server 2003 og Windows Server 2008 tip og tricks med vores gratis Windows Server nyhedsbrev, der leveres hver onsdag.

© Copyright 2021 | mobilegn.com