Read-Only DCS und das Active Directory Schema

Windows Server 2008 führt eine neue Art von Domänen Controller ein, den schreibgeschützten Domänen Controller (Read-Only Domain Controller, RODC). Dadurch wird ein Domänen Controller für die Verwendung in Zweigniederlassungen bereitgestellt, in denen kein vollständiger Domänen Controller platziert werden kann. Die Absicht besteht darin, Benutzern in den Zweigstellen zu gestatten, sich zu anmelden und Aufgaben wie die Datei-/Druckerfreigabe auszuführen, auch wenn keine Netzwerk Konnektivität mit Hub-Standorten vorhanden ist.

RODC ändert nicht die Art und Weise, in der das Schema verwendet wird. Es lohnt sich jedoch zu erwähnen, dass das Schema einen Read-Only partiellen Attribut Satz (sspas) unterstützt, der auch als RODC-gefilterter Attribut Satz bezeichnet wird. Hierbei handelt es sich um einen speziellen Attribut Satz, der aus Sicherheitsgründen nicht in RODCs repliziert wird. RO-pas werden im Schema über das searchFlags -Attribut definiert.

Gefilterter RODC-Attribut Satz

Einige Anwendungen, die Active Directory Domain Services als Datenspeicher verwenden, verfügen möglicherweise über Anmelde Informations ähnliche Daten (z. b. Kenn Wörter, Anmelde Informationen oder Verschlüsselungsschlüssel), die nicht auf einem Read-Only Domänen Controller gespeichert werden sollen, falls der RODC gestohlen oder kompromittiert wird. Für diesen Anwendungstyp können Sie das-Attribut zum gefilterten RODC-Attribut hinzufügen, um zu verhindern, dass es in RODCs in der Gesamtstruktur repliziert wird, und das Attribut als vertraulich markieren, wodurch die Fähigkeit zum Lesen der Daten für Mitglieder der Gruppe "authentifizierte Benutzer" (einschließlich aller RODCs) entfällt.

Hinzufügen von Attributen zum gefilterten RODC-Attribut Satz

Der gefilterte RODC-Attribut Satz ist ein dynamischer Satz von Attributen, der nicht auf RODCs in der Gesamtstruktur repliziert wird. Sie können den gefilterten RODC-Attribut Satz für einen Schema Master konfigurieren, auf dem Windows Server 2008 ausgeführt wird. Wenn die Attribute an der Replikation in RODCs gehindert werden, können diese Daten nicht unnötig verfügbar gemacht werden, wenn ein RODC gestohlen oder kompromittiert wird.

Sie können dem RODC-gefilterten Attribut Satz keine systemkritischen Attribute hinzufügen. Ein Attribut ist System kritisch, wenn es für AD DS, lokale Sicherheits Autorität (Local Security Authority, LSA), Sicherheits Konten Verwaltung (Security Accounts Manager, Sam) und einen Microsoft-spezifischen Sicherheits Dienstanbieter (z. b. das Kerberos-Authentifizierungsprotokoll) erforderlich ist, um ordnungsgemäß zu funktionieren. In Versionen von Windows Server 2008 nach Beta 3 weist ein System kritisches Attribut den Wert des schemaFlagsEx-Attributs auf (schemaFlagsEx-Attribut Wert & 0x1 = true).

Schritt-für-Schritt-Anweisungen zum Hinzufügen von Attributen zum gefilterten RODC-Attribut Satz finden Sie in Anhang D der Schritt-für-Schritt-Anleitung für RODCs.

Markieren von Attributen als vertraulich

Außerdem wird empfohlen, dass Sie auch alle Attribute als vertraulich markieren, die Sie als Teil des gefilterten RODC-Attribut Satzes konfigurieren. Zum Markieren eines vertraulichen Attributs müssen Sie die Berechtigung Lesen für das Attribut für die Gruppe Authentifizierte Benutzer entfernen. Das Markieren des Attributs als vertraulich bietet einen zusätzlichen Schutz gegen einen RODC, der kompromittiert wird, indem die Berechtigungen entfernt werden, die zum Lesen der Daten mit Anmelde Informationen benötigt werden. Weitere Informationen zum Markieren von Attributen als vertraulich finden Sie im Artikel 922836 in der Microsoft Knowledge Base.

Schritt-für-Schritt-Anleitung für schreibgeschützte Domänen Controller