Instaliranje kontrolera domene RODC na Windows Server 2016

Po prvi put, funkcionalnost kontrolera domene samo za čitanje (RODC - kontrola domene samo za čitanje), predstavljena je u sustavu Windows Server 2008. Glavni zadatak koji je izvršavala RODC tehnologija je mogućnost sigurnog instaliranja vlastitog kontrolera domena u udaljene podružnice i urede u kojima je teško pružiti fizičku zaštitu poslužitelju s DC-om. Upravljač domene RODC sadrži kopiju baze podataka Active Directory koja je samo za čitanje. To znači da nitko, čak i nakon fizičkog pristupa takvom kontroleru domene, neće moći mijenjati podatke u AD-u (uključujući resetiranje lozinke administratora domene).

U ovom ćemo članku raspravljati o glavnim značajkama upotrebe i postupku instalacije novog RODC kontrolera domena temeljenog na Windows Server 2016.

sadržaj:

  • Značajke RODC kontrolera domena
  • Instalirajte RODC iz GUI Upravitelja poslužitelja
  • Instalirajte RODC pomoću programa PowerShell
  • Pravila replikacije RODC lozinke

Značajke RODC kontrolera domena

Glavne razlike između RODC-ova i redovitih regulatora domena kojima se može pisati (RWDC)

  1. Upravljač domene RODC pohranjuje kopiju AD baze podataka samo za čitanje. Prema tome, klijenti takvog kontrolera domene ne mogu ga mijenjati..
  2. RODC ne preslikava podatke AD i SYSVOL mapu na druge kontrolere domena (RWDC).
  3. RODC kontroler pohranjuje kompletnu kopiju baze podataka AD, s izuzetkom zaporki za AD objekte i druge atribute koji sadrže osjetljive podatke. Taj se skup atributa zove Filtrirani skup atributa (FAS). To uključuje atribute poput ms-PKI-AccountCredentials, ms-FVE-RecoveryPassword, ms-PKI-DPAPIMasterKeys itd. Ako je potrebno, ovom skupu možete dodati druge atribute, na primjer, kada upotrebljavate LAPS, dodajte mu atribut ms-MCS-AdmPwd.
  4. Kad RODC od korisnika primi zahtjev za provjeru autentičnosti, ovaj zahtjev preusmjerava na RWDC kontroler.
  5. RODC kontroler može keširati vjerodajnice nekih korisnika (to ubrzava brzinu autorizacije i omogućuje korisnicima da se prijave u kontroler domene, čak i ako nema veze s punim DC-om).
  6. RODC kontroleri domena mogu dobiti administrativni pristup običnim korisnicima (na primjer, stručnjak za tehničke grane).

Zahtjevi za postavljanje kontrolera domene samo za čitanje.

  1. Poslužitelj mora biti dodijeljen statički IP
  2. Vatrozid mora biti onemogućen ili pravilno konfiguriran kako bi omogućio promet između DC-a i pristup od klijenta
  3. Najbliži RWDC kontroler mora biti naveden kao DNS poslužitelj.

Instalirajte RODC iz GUI Upravitelja poslužitelja

Otvorite konzolu upravitelja poslužitelja i dodajte ulogu Usluge domena Active Directory (pristajemo instalirati sve dodatne komponente i kontrole).

U fazi određivanja postavki novog DC-a, odredite da želite dodati novi kontroler domene postojećoj domeni (Dodajte kontroler domene postojećoj domeni), navedite naziv domene i, ako je potrebno, podatke o korisničkom računu s pravima administratora domene.

Odaberite što želite instalirati uloge DNS poslužitelja, globalnog kataloga (GC) i RODC. Zatim odaberite web mjesto na kojem će se nalaziti novi kontroler i lozinku za pristup u DSRM načinu.

U sljedećem prozoru za specificiranje RODC parametara morate navesti korisnike koji trebaju pružiti administrativni pristup kontroleru domene, kao i popis računa / grupa čije su lozinke dopuštene i zabranjene da se repliciraju na ovaj RODC (mogu se postaviti kasnije).

Navedite da se podaci baze podataka AD mogu preslikati s bilo kojeg istosmjernog napajanja.

Zatim odredite staze do baze podataka NTDS, njenih zapisnika i mape SYSVOL (ako je potrebno, kasnije ih možete prenijeti na drugi pogon).

To je sve. Nakon provjere svih uvjeta, možete pokrenuti instalaciju uloga.

Instalirajte RODC pomoću programa PowerShell

Da biste primijenili novi RODC pomoću PowerShell-a, morate instalirati ADDS ulogu i PowerShell ADDS modul.

Add-WindowsFeature AD-Domain-Services, RSAT-AD-AdminCenter, RSAT-ADDS-Tools

Sada možete započeti instalaciju RODC-a:

Instalirajte-ADDSDomainController -ReadOnlyReplica -DomainName yourdimain.com -SiteName "Zadani-Naziv web mjesta" -InstallDns: $ true -NoGlobalCatalog: $ false

Nakon što cmdlet završi, zahtijevat će ponovno pokretanje poslužitelja..

Možete potvrditi da je poslužitelj u RODC modu pomoću naredbe:

Get-ADDomainController -Identity S2016VMLT

Vrijednost atributa IsReadOnly mora biti True.

Pravila replikacije RODC lozinke

Na svakom RODC-u možete definirati popis korisnika i grupa čije se lozinke mogu ili ne mogu kopirati na ovu kontrolu domene.

Dvije nove globalne skupine se, prema zadanim postavkama, stvaraju u domeni

  1. Dozvoljena RODC grupa za umnožavanje lozinke
  2. Odbijena RODC grupa za kopiranje lozinke

Prva grupa je prazna prema zadanom prazna, a druga sadrži administrativne sigurnosne skupine čije se korisničke lozinke ne mogu kopirati i predmemorirati na RODC radi uklanjanja rizika od kompromisa. To uključuje zadane grupe kao što su:

  • Vlasnici kreatora pravila grupe
  • Administratori domene
  • Izdavači Certa
  • Enterprise admins
  • Administratori šeme
  • Krbtgt račun
  • Operatori računa
  • Operatori poslužitelja
  • Rezervni operatori

U grupi Dozvoljena RODC replikacija lozinke u pravilu možete dodati korisničke grupe podružnice koja služi ovom RODC-u..

U slučaju da u domeni postoji više DC-a, vrijedno je stvoriti takve grupe pojedinačno za svaki RODC. Vezivanje skupina na kontroler domene RODC izvodi se u svojstvima poslužitelja u ADUC konzoli na kartici lozinka
Politika replikacije
(više detalja).

Kad se ADUC konzola poveže s kontrolerom domene s ulogom RODC, čak ni administrator domene neće moći uređivati ​​atribute korisnika / računala (polja nisu uređivana) niti kreirati nove.