快捷搜索:

Windows2008用RODC保证分支机构安全

RODC用来改良AD情况的此中一个措施是经由过程供给活动目录数据库的一份只读拷贝来实现的。这意味着无论是通俗用户照样治理员,都没有权限经由过程只读域节制器对活动目录数据库进行改动。

就像从一个可写域节制器(DC)读守信息一样,同样地,你可以经由过程连接到RODC来读取险些所有的信息。然则,假如没有经由过程远程桌面(Remote Desktop)连接到可写DC,你就不能进行任何的写操作。或者说,你只可以应用MMC的插件、脚本或敕令行对象连接到一个可写DC来更新活动目录。

域节制器安然性前进的另一个措施是只读域节制器并不以可写域节制器一样的要领介入活动目录复制。在Windows Server的早期版本中,多主复制(multi-master replication)表示任何一位治理员都可以连接到森林中的随意率性域节制器来进行添加、改动和删除操作。而且,这些改变会被复制到另外的活动目录情况中。

Windows Server 2008的只读域节制器应用一个完全不合的复制模型来降服这一点不够。RODC会接管活动目录中DC的改变,但RODC本身并不会复制任何信息到其它DC中。这相称于在安然性中新加入了一层,是以,纵然某些恶意用户能够经由过程RODC改动活动目录数据库,这些改动并不会传播到另外的域和森林中。

分支机构RODC的密码保护

治理远程办事器时,在不安然地区设置设置设备摆设摆设DC可能的最大年夜危险是活动目录密码方面的潜在的风险。因为Windows 2000 Server和Windows Server 2003中的AD域节制器为每一个用户和谋略机账户储存密码,是以,一旦Windows 2000或Windows 2003的域节制器受到要挟或被盗用,治理员就必要从新设置每一个账号密码(无意偶尔还不止一次)。许多机构不乐意忍受设置设置设备摆设摆设远程办公室DC时存在的安然风险,于是吸收了一种简单的协调要领,那便是容许远程用户经由过程广域网(WAN)进行验证。经由过程在这些办公室中设置设置设备摆设摆设RODC,机构不用再在潜在的不安然地区设置设置设备摆设摆设可写域节制器,这样就避免了机构裸露于固有的安然风险,也能削减远程用户的验证次数。

只读域节制器另一个安然机能的前进表现在:当活动目录数据库从可写域节制器复制到只读域节制器(RODC)时,除了用户密码之外的用户账户信息都被复制。这意味着你的办事器安然机能大年夜大年夜前进了,由于你可以设置设置设备摆设摆设一张表来记录哪些用户和组的密码只容许复制到RODC,哪些可以复制到该域中所有的RODC。这大年夜大年夜低落了远程设置设置设备摆设摆设DC的有关风险,由于它将有可能受到要挟的密码数量缩减到了起码。

着末,RODC容许"治理角色分离"。RODC不会让所有的远程治理员都能造访活动目录数据库,而是容许你分配用户一个RODC本地治理员的权限,而且不用将该用户设置设置设备摆设摆设为域治理员。这一点是你只能在RODC上完成设置设置设备摆设摆设的,由于对一个完全可写的DC来说,办事器本地治理员和有活动目录治理权限的用户之间并没有差别。然而,RODC的治理角色分离容许将RODC的基础治理义务分配给远程桌面技巧支持职员,是以有盼望削减中间治理员的治理包袱。远程桌面技巧支持职员进行基础的RODC掩护事情,举例来说,如竣事和开始办事,对活动目录的不法造访进行重起操作。

值得留意的是,设置设置设备摆设摆设RODC的好处只有在活动目录治理员进行某些操作的时刻才会显现出来。

举例来说,最佳实践是治理员不应该像域治理员或企业级治理员那样应用进级证书来登岸RODC,由于那样做会放弃掉落RODC密码节制议定供给的大年夜部分安然性。这可能要求对现有活动目录治理员进行额外培训,由于任何RODC的治理都必须经由过程敕令行、远程脚本或远程MMC节制台等远程治理措施来实现。

此外,假如你的中间治理员必要登岸一个RODC节制台时(这种环境对照少见,大年夜范围操作系统故障时有可能会发生),必须应用仅对RODC来说是本地治理员的账号,而不是应用在域范围内享有治理员权限的证书。这必要你的AD治理员为情况中每一个RODC治理零丁的登岸或聪明卡,这在大年夜规模利用时将会变成治理员头疼的一个问题。

关于若何治理Windows Server 2008的RODC,有一件事是显而易见的。那便是它虽然为若何治理IT根基举措措施带来了新的寻衅,但也有助于掩护域节制器的安然和安然治理分散于分公司情况中的远程办事器。

您可能还会对下面的文章感兴趣: