Read-Only DC 和 Active Directory 架构

Windows Server 2008 引入了新型域控制器,只读域控制器 (RODC) 。 这为无法放置完整域控制器的分支机构提供域控制器。 目的是允许分支机构中的用户登录并执行文件/打印机共享等任务,即使没有与中心站点的网络连接。

RODC 不会更改架构的使用方式。 但是,值得一提的是,架构支持Read-Only部分属性集 (RO-PAS) ,也称为 RODC 筛选属性集,这是一个特殊属性集,出于安全原因,不会复制到 RODC。 RO-PAS 通过 searchFlags 属性在架构中定义。

RODC 筛选的属性集

某些使用Active Directory 域服务作为数据存储的应用程序可能具有类似于凭据的数据 (,例如密码、凭据或加密密钥) ,在 RODC 被盗或泄露的情况下,不应存储在Read-Only域控制器上。 对于这种类型的应用程序,可以将该属性添加到 RODC 筛选的属性集,以防止将其复制到林中的 RODC,并将该属性标记为机密,从而消除了读取经过身份验证的用户组成员的数据的功能, (包括任何 RODC) 。

将属性添加到 RODC 筛选的属性集

RODC 筛选的属性集是一组动态的属性,这些属性不会被复制到林中的任何 RODC。 可以在运行 Windows Server 2008 的架构母版上配置 RODC 筛选的属性集。 当阻止这些属性复制到 RODC 时,不得不必要地暴露该数据以防 RODC 被盗或受到威胁。

不得将系统关键属性添加到 RODC 筛选的属性集。 如果 AD DS、本地安全机构 (LSA)、安全帐户管理器 (SAM) 以及任何特定于 Microsoft 的安全服务提供程序(如 Kerberos 身份验证协议)需要某个属性才能正常工作,则该属性就是系统关键属性。 在 Beta 3 之后的 Windows Server 2008 版本中,系统关键属性具有 schemaFlagsEx 属性值 (schemaFlagsEx 属性值&0x1 = TRUE) 。

有关将属性添加到 RODC 筛选属性集的分步说明,请参阅 RODC 的分步指南的附录 D

将属性标记为机密

此外,建议您将配置为 RODC 筛选的属性集的一部分的任何属性也标记为机密。 若要将属性标记为机密,您必须删除 Authenticated Users 组对该属性的读取权限。 将属性标记为机密可以为通过删除读取类似凭据的数据所需的权限而受到威胁的 RODC 提供额外的保护。 有关将属性标记为机密的详细信息,请参阅 Microsoft 知识库中的文章922836

只读域控制器的循序渐进指南