W firmach szczególnie tych, które mają kilka oddziałów w różnych miejscach kraju lub świata dobrym wyjściem jest wdrożenie kontrolera domeny tylko do odczytu.
Dane replikowane są jedynie z kontrolera głównego do naszego. Możemy na stałe przypisać konta użytkowników, którzy mogą logować się do kontrolera w danej lokalizacji, dzięki czemu w przypadku np. kradzieży maszyny szkody poczynione przez nią będą dużo mniejsze niż gdyby kontroler był w pełni działającą usługą.
1.Przygotowanie do wdrożenia kontrolera.
-Instalacja drugiej maszyny z Windows 2008 w wersji Std lub Ent ostatecznie Datacenter,
-Nadanie IP 10.0.0.12 lub innego w zależności od ustawień sieci,
-Maska 255.255.255.0 lub jak wyżej,
-Brama 10.0.01 lub jak wyżej,
-DNS 10.0.0.11 adres z naszego głównego serwera pracującego jako kontroler,
-Musimy utworzyć globalną grupę zabezpieczeń np. biuro oddziału,
-Dodać 2 konta użytkowników do powyższej grupy,
-Jedno konto, które nie będzie członkiem grupy biuro oddziału
-Grupa Domain Users musi być członkiem Print Operators
2. Instalacja kontrolera domeny tylko do odczytu.
Logujemy się na drugiej maszynie.
Klikamy Next..
Ponownie klikamy na Next..
Zaznaczamy opcję Existing Forest oraz Add a domain controller to an existing domain.
W oknie Credentials wpisujemy contoso.com, klikamy Set potwierdzając ustawienia kontem Administratora w domenie.
W następnym oknie zaznaczamy contoso.com, następnie klikamy Next..
Klikamy Next..
Zaznaczamy DNS Server, Global Catalog oraz Read-Only Domain Controller.
Klikamy Next..
Klikamy Next..
Wpisujemy hasło Administratora dla maszyny lokalnej.
Klikamy Next…
Zaznaczamy opcję Reboot on Completion i czekamy na zainstalowanie.
Po ponownym uruchomieniu maszyny uruchamiamy Active Directory.
Zobaczymy wpisy, które znamy z głównego kontrolera.
3. Wdrażamy replikację zasad haseł.
Wracamy do głównego kontrolera domeny.
Uruchamiamy Active Directory.
Przechodzimy do kontenera Users, zobaczymy tak kilka nowych grup utworzonych w momencie konfiguracji kontrolera tylko do odczytu.
Sprawdzimy teraz 2 grupy licząc od góry.
W tej zezwalającej na replikowanie haseł nie ma nikogo dodanego.
Natomiast dla tej odmawiającej wpisy są.
Dodajemy grupę DnsAdmins do grupy Denided RODC Password Replication.
Odnajdujemy drugi kontroler domeny w kontenerze Domain Controllers.
Uruchamiamy właściwości drugiego kontrolera.
Przechodzimy na zakładkę Password Replication Policy.
Dodajemy grupę biuro oddziału, z opcją pozwalającą na replikowanie haseł.
Zaznaczamy opcję zezwalająca na replikowanie haseł.
Mamy dodaną grupę pozwalającą na replikację.
Widzimy że dodana grupa pojawiła się również grupa na drugim kontrolerze.
4. Buforowanie poświadczeń.
Zalogujmy się na drugi kontroler dla konta, które jest dodane do grupy biuro oddziału oraz takie, które nie jest tam dodane. Konto dodane powinno zostać zbuforowane to drugie natomiast nie zostanie zbuforowane.
Logujemy się na główny kontroler.
Uruchamiamy Active Directory, przechodzimy na Domain Cotrollers.
Uruchamiamy właściwości drugiego kontrolera.
Przechodzimy na Password Replications Policy.
Następnie klikamy Advanced.
Widzimy zbuforowane konto – członka grupy biuro oddziału(Jan Kowalski)
oraz konto niebędące członkiem grupy biuro oddziału(Mike Dansegli).
5. Wstępne wypełnienie hasłem konta na drugim kontrolerze.
Na głównym kontrolerze domeny w Active Directory wchodzimy we właściwości drugiego kontrolera.
Przechodzimy na Password Replication Policy.
Klikamy na Prepopulate Password.
Wskazujemy konto,którego hasło będzie przechowywane na drugim kontrolerze.
Od tej chwili hasło dla Dana będzie buforowane na drugim kontrolerze.
Dziękuję Ci, za poświęcony czas na przeczytanie tego artykułu. Jeśli był on dla Ciebie przydatny, to gorąco zachęcam Cię do zapisania się na mój newsletter, jeżeli jeszcze Cię tam nie ma. Proszę Cię także o “polubienie” mojego bloga na Facebooku oraz kanału na YouTube – pomoże mi to dotrzeć do nowych odbiorców. Raz w tygodniu (niedziela punkt 17.00) otrzymasz powiadomienia o nowych artykułach / projektach zanim staną się publiczne. Możesz również pozostawić całkowicie anonimowy pomysł na wpis/nagranie.
Link do formularza tutaj: https://beitadmin.pl/pomysly
Pozostaw również komentarz lub napisz do mnie wiadomość odpisuję na każdą, jeżeli Masz jakieś pytania:).
