Nastavljajući niz članaka o novoj tehnologiji Active Directory - RODC (samo za čitanje kontrolera domena), želio bih se dotaknuti teme politike replikacije lozinke - Politike replikacije lozinke (PRP). Prema RODC-u se ne pohranjuju nikakve korisničke ili računalne lozinke (osim vlastitog računa računala i posebnog krbtgt računa). Svrha ove komplikacije je povećati razinu sigurnosti, jer ako RODC bude ugrožen, nećete brinuti da će vrijedne informacije pasti u ruke napadača.
Ili bi bilo dobro kada bi postojala prilika da se repliciraju korisnici na njihovoj web stranici s ciljem da se čak i ako WAN veza sa sjedištem ne bude vezana, mogu prijaviti. Upravo te postavke možete vidjeti na ADUC konzoli na kartici Svojstva RODC računa na kartici lozinka
odgovor Pravila (PRP). Ovdje možete odrediti koje lozinke koje korisnici trebaju biti replicirane u ovom RODC-u, a koje ne.
Te se postavke mogu odrediti i prilikom instaliranja uloge RODC pomoću datoteke bez odgovora koristeći sljedeće parametre:
PasswordReplicationDenied =
PasswordReplicationAllowed =
Za više informacija možete koristiti karticu napredan, ovdje možete saznati na kojim se računima može provjeriti autentičnost RODC, kao i ostale korisne informacije koje će vam pomoći da optimalno konfigurirate PRP. kartica rezultanta politika možete unijeti korisničko ime i saznati hoće li se lozinka za ovog korisnika spremiti u predmemoriju na RODC ili ne.
Kad RODC primi zahtjev za prijavu, pokušava replicirati vjerodajnice iz uobičajenog kontrolera domene Windows 2008. s omogućenim pisanjem. Ovaj kontroler pristupa PRP-u i pokušava odrediti trebaju li se vjerodajnice ovog korisnika replicirati na RODC. Ako je omogućeno, redovni DC replicira vjerodajnice u RODC-ove, a RODC ih pohranjuje lokalno. Naknadna provjera autentičnosti korisnika provodi se pomoću predmemorije na RODC-u, a nedostatak veze na redoviti DC više nije kritičan.
Međutim, postoji nedostatak, ne postoji način da se očisti predmemorija lozinke na RODC kontroleru domene. Jedino što administrator Active Directory-a može učiniti u ovom slučaju je resetirati lozinke svih spremljenih računa, nakon čega će cache na RODC postati nevažan i ti se podaci ne mogu koristiti za ulazak u sustav. Prije ponovne instalacije ugroženog RODC-a mora se izvršiti isti postupak. To je puno lakše nego da ručno pokušate shvatiti koje su lozinke računa spremljene u RODC. Kada pokušate ukloniti RODC s ADUC konzole, ispred vas će se pojaviti sljedeći prozor:
I onda kakva funkcija PrepoluateLozinke? Zamislite situaciju kada vaša podružnica ima više od 100 korisnika, a vi ste njihovu grupu dodali u PRP. Pa, recimo da u ovoj branši imate 100 korisnika, a vi ste dodali njihove PRP grupe. A da ne bismo čekali da svaki korisnik uđe u sustav, možemo uputiti kontroler domene da odmah počne s repliciranjem zaporki. Također funkcioniraju PrepoluateLozinkemože se koristiti prilikom prijevoza novog RODC poslužitelja iz središnjeg podatkovnog centra do podružnice radi smanjenja opterećenja na WAN kanalu tijekom masovne prijave korisnika.
