Kontroler domeny tylko do odczytu (RODC)?

W sieci na poziomie przedsiębiorstwa często występuje sieć HQ (Head Quarters) – Branch Office. Te oddziały mogą być zobowiązane do połączenia z zasobami centrali dla swoich operacji. W większości przypadków tego rodzaju konfiguracja wykorzystuje łącza WAN do łączenia oddziałów z siecią centrali. Załóżmy, że mamy firmę o nazwie ABC, a jej centrala znajduje się w Toronto w Kanadzie. W związku z Rozbudową potrzebny jest oddział otwarty w Londynie w Wielkiej Brytanii. Tak więc wymóg jest bardziej skomplikowany, ponieważ są to 2 różne kraje.
Użytkownicy w biurze w Londynie nadal muszą uwierzytelniać środowisko domeny firmy i uzyskiwać dostęp do zasobów. Jakie w związku z tym problemy mogą się nam przytrafić?

Brak środków

Aby połączyć centralę z oddziałem, wymagane jest bezpieczne i niezawodne połączenie. Ale te połączenia zwykle wiążą się z wysokimi kosztami. Chociaż jego koszt to głównie te łącza będą miały prędkość 1Mb/s, 5Mb/s, 10Mb/s itd. Jeśli użytkownicy w oddziale uwierzytelniają firmę AD, to użyje łącza WAN do całego uwierzytelniania, dostępu do zasobów itp. Jeśli liczba użytkowników wzrośnie w oddziale, wykorzystanie łącza tylko dla działań AD wzrośnie. Również ze względu na różne lokalizacje geograficzne, różnych dostawców usług internetowych, wiele faktów wpłynie również na niezawodność łącza. Co się stanie, jeśli łącze WAN zostanie przerwane w krytycznym dniu roboczym? Rozwiązaniem jest wdrożenie AD w oddziale co otworzy zupełnie inny zakres problemów.

Zagrożenia bezpieczeństwa

Mimo że DC w oddziale zwiększy proces uwierzytelniania i dostępu do zasobów, otworzy potencjalne zagrożenia dla bezpieczeństwa sieci. Niektóre firmy będą miały w pełni bezpieczne centra danych w oddziałach, ale większości nie stać na takie inwestycje. Jak wiemy, zwykły DC przechowuje krytyczne dane o użytkownikach, uwierzytelnieniach zasobów itp. Co jeśli te DC w oddziałach zostaną przejęte lub skradzione? Wpłynie to na całą działalność sieciową firmy, a czasem tego rodzaju problem może spowodować utratę milionów dolarów dla firmy.

Zarządzanie

Jeśli hostujemy centrum dystrybucyjne oddziału, zwykle od czasu do czasu będzie to wymagało konserwacji. Może to być wdrożenie awaryjnego przełączania DC, aktualizacja sprzętu, zmiany poświadczeń użytkowników itp. Dlatego firma może potrzebować trochę czasu na utrzymanie działu IT działającego w oddziale, co zwiększy koszty operacyjne firmy. Ponadto, ponieważ jest bezpośrednio zintegrowany z głównym środowiskiem domeny, wszelkie zmiany wyzwalane w DC oddziału będą miały bezpośredni wpływ na całe środowisko domeny.

Co robić w takim wypadku?

Wraz z serwerem Windows 2008 firma Microsoft wprowadziła funkcję kontrolera domeny tylko do odczytu, aby specjalnie rozwiązać problemy napotykane przez firmy w tego rodzaju przypadkach.

Read-Only!!!!

Jak sama nazwa wskazuje, jest to domyślnie kopia głównego kontrolera domeny firmy tylko do odczytu. Tak więc zmiany wprowadzone w lokalizacji oddziału RODC nie wpłyną na operacje DC. Zasadniczo zachowuje wszystkie informacje o atrybutach DC w Branch-DC jako kopię tylko do odczytu, a po otrzymaniu żądania uwierzytelnienia kieruje żądanie do kontrolera RODC, zamiast przechodzić przez łącze WAN.

Password Replication Policy (PRP)

Możemy również szczegółowo kontrolować to „buforowanie poświadczeń” za pomocą zasad replikacji haseł. Możemy określić, którzy użytkownicy, grupy potrzebują buforowania poświadczeń na tym konkretnym kontrolerze RODC. Załóżmy na przykład, że mamy inny oddział w Indiach. Użytkownicy w biurze w Indiach i tak nie będą logować się z biura w Londynie. Dlaczego więc powinniśmy buforować informacje uwierzytelniające dla użytkowników biurowych w Indiach w londyńskim biurze RODC? Również w ten sposób poprawia to bezpieczeństwo DC. Więc jeśli jeden z kontrolerów RODC w oddziale został naruszony, będzie przechowywać tylko ograniczone dane o kontrolerze domeny.

W serwerze Windows 2012R2 (lub nowszym) do konfiguracji możemy użyć 2 grup bezpieczeństwa, które tworzy z konfiguracją RODC. Według Microsoft są to:

Dozwolona grupa replikacji hasła kontrolera RODC (Allowed RODC Password Replication Group): Członkowie tej grupy są domyślnie umieszczani na liście dozwolonych zasad replikacji hasła wszystkich kontrolerów RODC. Ta grupa nie ma żadnych członków podczas pierwszej instalacji systemu Windows Server.

Grupa replikacji haseł RODC zabroniona (Denied RODC Password Replication Group): Członkowie tej grupy są domyślnie umieszczani na liście Deny w zasadach replikacji haseł wszystkich kontrolerów RODC. Niektóre z tych grup to Administratorzy, Operatorzy serwerów, Operatorzy kopii zapasowych, Operatorzy kont i Grupa replikacji haseł kontrolera RODC, którym odmówiono dostępu.

Lokalna grupa administratorów

Czasami oddziały potrzebują wsparcia informatycznego dla swoich użytkowników. Może to zrobić lokalny personel IT lub zewnętrzna firma informatyczna. W typowym środowisku DC, aby przeprowadzić konserwację, określony użytkownik musi mieć uprawnienia administratora domeny lub delegowane uprawnienia. Ale w RODC możemy zdefiniować konta administratora lokalnego, które dadzą pełną kontrolę nad środowiskiem RODC i nadal nie będą miały wpływu na konfigurację nadrzędnego kontrolera domeny.


Dziękuję Ci, za poświęcony czas na przeczytanie tego artykułu. Jeśli był on dla Ciebie przydatny, to gorąco zachęcam Cię do zapisania się na mój newsletter, jeżeli jeszcze Cię tam nie ma. Proszę Cię także o “polubienie” mojego bloga na Facebooku oraz kanału na YouTube – pomoże mi to dotrzeć do nowych odbiorców. Raz w tygodniu (niedziela punkt 17.00) otrzymasz powiadomienia o nowych artykułach / projektach zanim staną się publiczne. Możesz również pozostawić całkowicie anonimowy pomysł na wpis/nagranie.

Link do formularza tutaj: https://beitadmin.pl/pomysly

Pozostaw również komentarz lub napisz do mnie wiadomość odpisuję na każdą, jeżeli Masz jakieś pytania:).

Dodaj komentarz

beitadmin.pl - Droga Administratora IT