Skontrolujte odstránenie predvolených členov zo skupiny zamietnutej replikácie hesla RODC

Poznámka

Výhody hodnotenia stavu IT a hodnotenia na požiadanie si môžete vychutnať so zmluvou Premier, a to zakúpením aplikácie TOM Ako predplatného služby. Ďalšie informácie vám poskytne zástupca spoločnosti Microsoft.

Prečo vezmite do úvahy toto

Jeden alebo viacero predvolených členov boli odstránení zo skupiny zamietnutej replikácie hesla RODC. Táto skupina zabezpečí, že heslá určitých vysoko privilegovaných používateľov alebo skupín nebudú vo vyrovnávacej pamäti Read-Only domén (RODCs). Odstránením predvolených členov z tejto skupiny sa môže vytvoriť nedostatočné zabezpečenie.

Pozrite si informácie o probléme od zákazníckeho inžiniera

Osvedčené postupy & z kontextu

Rodcs boli zavedené vo Windows Serveri 2008. Sú navrhnuté na poskytovanie niektorých funkcií radiča domény iba na čítanie v prostrediach, ktoré môžu byť menej fyzicky zabezpečené než centralizované IT oddelenia alebo údajové centrá, ako sú napríklad pobočky. Charakter RODC iba na čítanie poskytuje niektorým funkciám lokálnym používateľom a zároveň poskytuje ochranu pred narušeniu lokálneho zabezpečenia širšou podnikovou infraštruktúrou.

Rodcs sú spárované s zapisovateľným radičom domény (RWDC), ktorý replikuje zmeny rodu. Ak rod prijme žiadosť o zápis, žiadosť sa prepošli na RWDC prostredníctvom prepojenia WAN. Aktualizácie sa potom replikujú späť do rodu RODC.

Rodce sú zvyčajne nakonfigurované tak, aby určité používateľské kontá (zvyčajne zamestnanci pobočky) umožnili lokálne overenie, a to aj v prípade, že prepojenie WAN na centrálnu IT infraštruktúru je offline. Na to je potrebné, aby rodc ukladal heslá týchto používateľov lokálne. Ak sa používateľ pokúsi vykonať overenie na serveri RODC a rodc nemá heslo používateľa uložené vo vyrovnávacej pamäti, rodc prepošli požiadavku RWDC cez prepojenie WAN.

Skupina zamietnutých replikácií hesiel RODC je lokálna skupina domén, ktorá určuje používateľov a skupiny, ktorých heslá nie je možné uložiť do vyrovnávacej pamäte rodov. Predvolene táto skupina obsahuje týchto vysoko privilegovaných používateľov a skupiny:

  • Skupina Radiče domén Enterprise.
  • Skupina Radiče Read-Only Enterprise.
  • Skupina Podnikoví správcovia.
  • Skupina Domain Admins.
  • Skupina Správcovia schém.
  • Skupina Vlastníci tvorcov skupinovej politiky.
  • Skupina Cert Publishers.
  • Konto krbtgt v celom doméne.

Spoločnosť Microsoft odporúča neodstrániť týchto používateľov a skupiny zo skupiny zamietnutej replikácie hesla RODC.

Poznámka: Radiče domén používajú na šifrovanie protokolu Kerberos Ticket-Granting Tickets (TGTs) kľúč odvodený od hesla konta krbtgt (konto kľúčovej distribučnej služby). Každý radič domény tak potrebuje konto krbtgt. Každý RODC má svoje vlastné jedinečné konto krbu, aby zabránil ohrozeniu rodov znemožne znemožne znemožiť zmenu úrovne ďalších radičov domén. Toto konto sa nazýva krbtgt [čísla], kde [čísla] je reťazec náhodných čísel.

Navrhované akcie

Skupina zamietnutej replikácie hesiel RODC sa používa na určenie používateľov a skupín, ktorých heslá nie je možné uložiť do vyrovnávacej pamäte rodov. Táto skupina predvolene obsahuje rôznych vysoko privilegovaných používateľov alebo skupiny, ako napríklad správcov domén. Odstránením týchto predvolených používateľov a skupín sa môže zvýšiť riziko, že heslá správcov budú pre RODCs odstraňujúce. Tým sa zrazia niektoré ciele implementácie rodov a môže sa zvýšiť riziko nedostatočného zabezpečenia celej doménovej štruktúry služby Active Directory.

Skontrolujte politiku replikácie hesiel pre RODC. Heslá rodu by mali ukladať do vyrovnávacej pamäte iba pre používateľov, ktorí sa musia lokálne prihlásiť, a to aj v prípade, že je prepojenie WAN na centrálnu IT infraštruktúru offline. Ak neexistuje presvedčivý obchodný prípad na odstránenie predvolených členov zo skupiny zamietnutej replikácie hesiel RODC, obnovte do skupiny všetkých predvolených členov.

Prepojenia v časti Ďalšie informácie poskytujú ďalšie pokyny na plánovanie a konfiguráciu politík replikácie hesiel.

Ďalšie informácie

Všeobecné pokyny na vytvorenie politiky replikácie hesiel nájdete v téme Politika replikácie hesiel na stránke https://technet.microsoft.com/library/cc730883.aspx .

Ďalšie pokyny na konfiguráciu politiky replikácie hesiel nájdete v téme Spravovanie politiky replikácie hesiel v https://technet.microsoft.com/library/rodc-guidance-for-administering-the-password-replication-policy.aspx .

Ďalšie informácie o vyrovnávacej autorite poverení vo rodoch nájdete v téme Množina filtrovaných atribútov RODC, Ukladanie poverení a Proces overovania s RODC na stránke https://technet.microsoft.com/library/cc753459.aspx .

Všeobecné pripomienky týkajúce sa Strediska zdrojov alebo obsahu nám môžete odoslať odpoveď na správu UserVoice. Konkrétne požiadavky a aktualizácie obsahu týkajúce sa centra služieb vám poskytne náš tím podpory a odošliteprípad.