Страница мастера установки доменных служб Active Directory Задайте политику репликации паролей появляется при создании учетной записи контроллера домена только для чтения (RODC) только в том случае, если на странице Вас приветствует мастер установки доменных служб Active Directory установлен флажок Использовать расширенный режим установки.

Работа политики репликации паролей

Политика репликации паролей определяет, как RODC выполняет кэширование учетных данных. Кэширование учетных данных - это хранение учетных данных пользователей или компьютеров.

При попытке проверки подлинности пользователей или компьютеров сайта, обслуживаемого RODC, в домене проверить соответствующие учетные данные средствами RODC по умолчанию не удается. Контроллер домена только для чтения перенаправляет запрос проверки подлинности доступному для записи контроллеру домена. Однако в некоторых случаях требуется обеспечить проверку подлинности на сайте, обслуживаемом RODC, для некоторых субъектов безопасности, не подключенных к доступным для записи контроллерам домена.

Например, может потребоваться проверка подлинности пользователей и компьютеров филиала даже при отсутствии соединения между филиалом и сайтами, которые содержат доступные для записи контроллеры домена. Чтобы устранить эту проблему, настройте политику репликации паролей для такого контроллера RODC и разрешите кэширование паролей соответствующих пользователей на RODC. При кэшировании паролей учетных записей на RODC возможна проверка их подлинности даже при отсутствии подключения к доступным для записи контроллерам домена.

Политика репликации паролей действует как список управления доступом (ACL). Она определяет, разрешается ли RODC кэширование учетных данных записи. При получении запроса на вход в систему от пользователя или компьютера RODC пытается реплицировать соответствующие учетные данные с доступного для записи контроллера домена под управлением Windows Server 2008 или Windows Server 2008 R2. Необходимость кэширования учетных данных записи определяется доступным для записи контроллером домена на основании политики репликации паролей. Если политика репликации паролей допускает кэширование, доступный для записи контроллер домена реплицирует учетные данные на контроллер домена только для чтения, на котором выполняется их кэширование. При последующем входе в систему с использованием такой учетной записи для проверки подлинности на RODC используются кэшированные учетные данные. При этом подключение между RODC и доступным для записи контроллером домена может отсутствовать.

Политика репликации паролей в действии

Политика репликации паролей определяется двумя принимающими несколько значений атрибутами доменных служб Active Directory, которые содержат субъекты безопасности: пользователей, компьютеры и группы. Учетная запись каждого компьютера контроллера домена только для чтения имеет следующие два атрибута:

  • msDS-Reveal-OnDemandGroup, также известный как «список разрешенных»;

  • msDS-NeverRevealGroup, также известный как «список запрещенных».

Для управления политикой репликации паролей для каждого контроллера RODC используются еще два атрибута:

  • msDS-RevealedList, также известный как «список раскрытых»;

  • msDS-AuthenticatedToAccountList, также известный как «список прошедших проверку подлинности».

Атрибут msDS-Reveal-OnDemandGroup определяет субъектов безопасности, для которых разрешено кэширование паролей на RODC. По умолчанию этот атрибут имеет одно значение Группа с разрешением репликации паролей RODC. Эта локальная группа домена по умолчанию пуста, в связи с чем кэширование паролей учетных записей на RODC не выполняется.

В этом разделе объясняется, как используются атрибуты «список разрешенных», «список запрещенных», «список раскрытых» и «список прошедших проверку подлинности».

Когда подает RODC запрос на репликацию пароля пользователя, доступный для записи контроллер Windows Server 2008, с которым связывается RODC, разрешает или отвергает этот запрос. Чтобы принять или отклонить запрос, доступный для записи контроллер домена проверяет значения списков разрешенных и запрещенных для контроллера домена только для чтения, отправившего запрос.

Если учетная запись, пароль которой запрашивается RODC, находится в списке разрешенных (а не в списке запрещенных) для этого RODC, запрос разрешается.

На следующем рисунке показывается, как выполняется эта операция.

Процесс применения политики репликации паролей

Список запрещенных обладает приоритетом над списком разрешенных.

Например, пусть в организации для администраторов используется группа безопасности с именем «Администраторы». Один из сайтов организации называется S1, а в группу безопасности «Emp_S1» включены сотрудники, работающие на этом сайте. Другой сайт организации называется S2, а в группу безопасности «Emp_S2» включены сотрудники, работающие на этом сайте.

На сайте S2 используется только RODC. Боб является администратором, работающим на сайте S2. Следовательно, он входит и в группу «Emp_S2», и в группу «Администраторы». Когда на сайте S2 установлен RODC, в политику репликации паролей добавляются группы безопасности, перечисленные в следующей таблице.

Группа безопасности Параметр политики репликации паролей

Администраторы

Запрещены

Emp_S2

Разрешены

В соответствии с заданной политикой учетными данными, которые могут быть кэшированы в RODC на сайте S2, являются только учетные данные членов группы «Emp_S2», не входящие в группу «Администраторы». Учетные данные членов групп «Emp_S1» и «Администраторы» никогда не будут кэшироваться в RODC. Учетные данные членов группы «Emp_S» могут кэшироваться в RODC. Учетные данные Боба никогда не будут кэшироваться в RODC.

Параметры политики репликации паролей по умолчанию

Для каждого RODC задается политика репликации паролей, определяющая пароли учетных записей, которые разрешено и явно запрещено реплицировать в RODC. Политика по умолчанию определяет группы и настройки, перечисленные в следующей таблице.

Имя группы Параметр политики репликации паролей

Администраторы

Запретить

Операторы сервера

Запретить

Операторы архива

Запретить

Операторы учета

Запретить

Группа репликации паролей RODC «Запрещенные»

Запретить

Группа репликации паролей RODC «Разрешенные»

Разрешить

В группу репликации паролей RODC «Запрещенные» по умолчанию включены следующие члены домена:

  • Издатели сертификатов

  • Администраторы домена

  • Администраторы предприятия

  • Контроллеры домена предприятия

  • Контроллеры домена только для чтения предприятия

  • Создатели-владельцы групповой политики

  • krbtgt

  • Администраторы схемы

В группу репликации паролей RODC «Разрешенные» по умолчанию не включаются никакие члены.

Политика репликации паролей по умолчанию улучшает безопасность установки RODC, гарантируя, что никакие пароли учетных записей не сохраняются по умолчанию и что в RODC явно запрещено хранение паролей учетных записей, влияющих на безопасность (таких как члены группы «Администраторы домена»).

Изменение политики репликации паролей по умолчанию

Политику репликации паролей, заданную по умолчанию, можно изменить во время или после создания учетной записи RODC. Чтобы изменить политику репликации паролей, заданную по умолчанию, после создания учетной записи RODC, щелкните правой кнопкой мыши в оснастке «Active Directory - пользователи и компьютеры» учетную запись RODC в подразделении Контроллеры домена, выберите команду Свойства, а затем выберите вкладку Политика репликации паролей. (Чтобы открыть оснастку «Active Directory - пользователи и компьютеры», нажмите кнопку Пуск, укажите на Администрирование, а затем выберите Active Directory - пользователи и компьютеры.)

Чтобы при создании учетной записи RODC добавить учетные записи в политику репликации паролей, заданную по умолчанию, нажмите кнопку Добавить на странице Задайте политику репликации паролей мастера, а затем укажите, разрешить или запретить хранение паролей учетной записи в RODC. Затем с помощью диалогового окна Выбор пользователей, компьютеров или групп выберите добавляемые учетные записи.

Чтобы разрешить контроллеру домена только для чтения локально обрабатывать запросы на проверку подлинности и билеты службы, необходимо включить соответствующие учетные записи пользователей, компьютеров и служб в политику репликации паролей. Если в список разрешенных не включить учетные записи компьютеров, которые пользователи филиала будут использовать для входа в сеть, RODC не сможет локально удовлетворять запросы билетов службы и будет использовать для обработки этих запросов обращение к доступному для записи контроллеру домена. Если глобальная сеть (WAN) отключена, это может привести к сбою службы.

Значение «Запретить» обладает приоритетом относительно значения «Разрешить». Если для указанного пользователя заданы оба значения (либо прямо, либо косвенно) из-за того, что пользователь является членом заданной группы безопасности (или группы, вложенной в заданную группу безопасности), пароль пользователя не может храниться в RODC. Важно отметить, однако, что пользователь, пароль которого не может храниться в RODC, все же может использовать RODC для входа в систему, если доступно WAN-подключение к доступному для записи контроллеру домена. Пароль пользователя не реплицируется в RODC, но подлинность входа в систему может быть проверена с помощью доступного для записи контроллера домена по WAN-подключению.

В следующей таблице описываются преимущества и недостатки трех примеров конфигураций для политики репликации паролей.

Пример Достоинства Недостатки

Никакие учетные записи не кэшируются (по умолчанию).

Наиболее безопасный вариант. Проверка подлинности пользователей осуществляется доступным для записи контроллером домена с загрузкой групповой политики с контроллера RODC.

Автономный доступ отсутствует. Для входа в систему требуется подключение к глобальной сети.

Кэширование большинства учетных записей.

Простота управления паролями. Этот вариант предназначен для организаций, которым больше важна улучшенная управляемость контроллера домена только для чтения, чем безопасность.

Контроллеру домена только для чтения может раскрываться большее число паролей.

Кэширование малого числа учетных записей.

Возможность автономного доступа для определенных пользователей. Более высокий уровень безопасности по сравнению с кэшированием большинства учетных записей.

Этот метод требует более детального администрирования. Возможно, потребуется сопоставление пользователей и компьютеров для каждого филиала, в котором используется контроллер домена только для чтения. Кроме того, можно использовать такие средства, как repadmin /prp, для перемещения учетных записей, прошедших проверку подлинности RODC, в группу списка разрешенных, а также можно использовать диспетчер жизненного цикла удостоверений (ILM) для автоматизации этого процесса.

В следующих разделах каждый из примеров объясняется более подробно.

Никакие учетные записи не кэшируются

Этот вариант является максимально безопасным. На контроллер домена только для чтения не реплицируются никакие пароли, кроме пароля учетной записи компьютера контроллера домена только для чтения и специальной учетной записи KRBTGT. Однако проверка подлинности пользователей и компьютеров зависит от доступности глобальной сети. Преимущество этой модели заключается в том, что она не требует (или практически не требует) изменения параметров по умолчанию.

Можно добавить собственные группы пользователей, которые требуется защитить, в список запрещенных. Несмотря на то что кэширование учетных записей по умолчанию не выполняется, можно добавить собственные группы пользователей, которые требуется защитить, в список запрещенных. Это позволит защитить такие группы от непреднамеренного включения в список разрешенных и, таким образом, от кэширования их паролей на RODC.

Обратите внимание, что учетная запись делегированного администратора RODC не включается в список разрешенных автоматически. Рекомендуется добавить эту учетную запись в список разрешенных, чтобы обеспечить возможность входа делегированного администратора на RODC независимо от наличия подключения по глобальной сети к доступному для записи контроллеру домена.

Кэширование большинства учетных записей

Это пример простейшего режима администрирования, в котором исключается зависимость от доступности глобальной сети для проверки подлинности пользователей и компьютеров. В этом примере списки разрешенных для всех контроллеров домена только для чтения заполняются группами, которые представляют значительную часть пользователей или компьютеров. Включение защищенных групп пользователей, таких как «Администраторы домена», в список запрещенных, позволяет запретить кэширование паролей для них. Однако можно по требованию кэшировать пароли большинства других пользователей. Можно добавить собственные группы пользователей, которые требуется защитить, в список запрещенных.

Эта конфигурация больше всего подходит для сред, в которых обеспечивается физическая безопасность контроллера домена только для чтения. Например, можно настроить такую политику репликации паролей для контроллера RODC, который развернут в защищенном месте. Это позволит снизить требования, предъявляемые им к репликации и администрированию.

Важно!

Кроме того, чтобы обеспечить возможность входа в систему при недоступности глобальной сети для пользователей филиала, следует добавить учетные записи компьютеров пользователей в список разрешенных.

Кэширование малого числа учетных записей

В этом примере ограничивается число учетных записей, для которых возможно кэширование. Обычно для каждого контроллера домена только для чтения задается собственный набор учетных записей пользователей и компьютеров, которые он может кэшировать. Этот вариант обычно используется для групп пользователей, работающих в конкретном физическом месте.

Преимущество данного примера состоит в том, что в случае сбоя подключения по глобальной сети пользователи, входящие в такие группы, смогут входить в сеть и проходить проверку подлинности на RODC филиала. Одновременно область потенциально раскрываемых паролей ограничена уменьшенным количеством пользователей, пароли которых могут быть кэшированы.

В этом варианте отсутствуют затраты на администрирование, связанные с заполнением списков разрешенных и запрещенных. По умолчанию отсутствуют автоматические методы для чтения учетных записей из известного списка субъектов безопасности, прошедших проверку на определенном контроллере домена только для чтения, а также для заполнения списка разрешенных учетными записями. Можно использовать команду repadmin /prp move для перемещения таких учетных записей в группу списка разрешенных, а также сценарии или приложения (например, ILM) для построения процесса.

Можно добавить пользователя или компьютер непосредственно в список разрешенных. Однако вместо этого рекомендуется создать группу безопасности для каждого RODC, добавить ее в список разрешенных и затем заполнить учетными записями пользователей и компьютеров. В этом случае для управления кэшированием учетных записей на RODC можно использовать стандартные средства управления группами, такие как оснастка «Active Directory - пользователи и компьютеры», а также средства командной строки Dsadd или Dsmod.

При использовании команды repadmin /prp move необходимо указать группу безопасности. Если указанная группа безопасности не существует, она автоматически создается и добавляется в список разрешенных.

Как и в предыдущем примере, необходимо добавить соответствующие учетные записи компьютеров в список разрешенных.