Windows Server 2008安全性
只读域控制器:
只读域控制器的概念,以及为企业带来安全性的好处
RODC处理了在分支机构中的普遍问题。这些地方也许没有域控制器。或者他们有可写的域控制器但是没有足够的物理安全,网络带宽以及专门的技术人员来提供支持。下面的RODC的功能缓解了这些问题:
只读活动目录数据库
单向复制
凭据缓存
管理员角色分离
只读DNS
只读活动目录数据库
除了账户密码之外,RODC拥有所有可写域控制器拥有的对象和属性。然而,无法针对储存在RODC的数据库进行任何数据上的更改。数据上的更改必须在可写域控制器上进行然后复制回RODC。
请求获得目录读取权限的本地程序能够获得访问许可。当使用轻型目录访问协议(LDAP)的程序请求写入权限时将会收到“referral”应答。通常情况下这些应答将写入请求引导到在枢纽站点中可写的域控制器。
RODC已筛选属性集
使用AD DS作为数据存储的某些程序,也许会将类似信任凭据的数据(诸如密码,信任凭据,加密密钥)储存在RODC上。而你不想将这些数据储存在RODC上是因为考虑到RODC受到安全威胁的情况。
为了这些程序。你可以在架构中动态配置不被复制到RODC的域对象的属性集。这个属性集被称为RODC已筛选属性集。在RODC已筛选属性集定义的属性不允许复制到森林内的任何一台RODC。
威胁到RODC的恶意用户能够以某种途径尝试配置RODC,并尝试将RODC已筛选属性集中定义的属性复制到其它域控制器。如果RODC尝试从一台安装Windows Server 2008的域控制器上复制这些属性,那么复制请求将被拒绝。然而,如果RODC尝试从一台安装Windows Server 2003的域控制器上复制这些属性,复制请求将被接受。
RODC已筛选属性集被配置在拥有架构操作主机的服务器上。如果你尝试添加系统关键属性打到RODC已筛选属性集,而且架构操作主机运行在Windows Server 2008上,那么服务器将返回“unwillingToPerform”的LDAP错误。如果你尝试添加系统关键属性打到RODC已筛选属性集,但是架构操作主机运行在Windows Server 2003上,那么操作将看上去是成功完成了,然而属性值实际上却没有被添加。因此,当你想要添加属性到RODC已筛选属性集时,价格操作主机建议是运行Windows Server 2008的域控制器。这保证了系统关键属性不包含在RODC已筛选属性集中。
单向复制
因为没有任何属性的变化会被直接写入RODC,所以任何变化不会从RODC发起。因此,作为复制伙伴的可写域控制器不会产生从RODC“拉”数据的操作。这意味着恶意用户在分支结构的RODC上进行的操作的结果不会被复制到森林的其余部分。这也减少了枢纽站点里的桥头服务器的工作量以及为了监视复制所要求的工作量。
RODC的单向复制同时应用于AD DS及分布式文件系统(DFS)的复制。RODC为AD DS及DFS执行正常的入站复制。
网友评论