Active Directory.pdf - Gattner

Entwerfen der Standorttopologie 207
Wenn die Kennwortreplikationsrichtlinie geändert wird, werden Kennwörter nach der nächsten
erfolgreichen Anmeldung eines in der Richtlinie angegebenen Sicherheitsprinzipals auf dem RODC
zwischengespeichert. Nachdem ein Konto erfolgreich authentifiziert wurde, versucht der RODC einen
beschreibbaren Domänencontroller am Hubstandort zu kontaktieren und fordert eine Kopie der entsprechenden
Anmeldeinformationen an. Der beschreibbare Domänencontroller erkennt, dass die
Anforderung von einem RODC stammt, und fragt die für diesen RODC geltende Kennwortreplikationsrichtlinie
ab. Wenn die Kennwortreplikationsrichtlinie dies zulässt, repliziert der beschreibbare
Domänencontroller die Anmeldeinformationen auf dem RODC, und diese Informationen werden auf
dem RODC zwischengespeichert. Nach der Zwischenspeicherung der Anmeldeinformationen auf
dem RODC kann der RODC die Anmeldeanforderungen des Benutzers direkt verarbeiten, bis die
Anmeldeinformationen oder die Kennwortreplikationsrichtlinie geändert werden.
Bei der Implementierung einer Kennwortreplikationsrichtlinie müssen Sie Benutzerkomfort und
Sicherheitsbedenken gegeneinander abwägen. Standardmäßig werden auf dem RODC keine Kennwörter
zwischengespeichert. Zudem wird die Zwischenspeicherung von Anmeldeinformationen für
alle Domänenadministratorgruppen durch die Richtlinie ausdrücklich verweigert. Wenn Sie die Standardeinstellung
nicht ändern, können sich Benutzer nicht am RODC anmelden, wenn keine Verbindung
zu einem beschreibbaren Windows Server 2008-Domänencontroller verfügbar ist. Wenn Sie für
alle Konten die Zwischenspeicherung von Kennwörtern aktivieren, erhöht sich die Gefahr einer
Sicherheitsverletzung auf dem RODC.
Hinweis Wird die Sicherheit eines RODC beeinträchtigt, sollten Sie das RODC-Computerkonto aus Active
Directory entfernen und die Kennwörter für alle Benutzerkonten zurücksetzen, die auf dem Server zwischengespeichert
sind. Wenn Sie das RODC-Konto löschen, erhalten Sie die Möglichkeit, eine Liste aller Konten
mit auf dem RODC zwischengespeicherten Anmeldeinformationen zu exportieren. Wenn die Sicherheit des
RODC verletzt wurde, sollten Sie außerdem eine Sicherheitsprüfung auf allen Arbeitsstationen im Standort
durchführen, um sicherzustellen, dass nicht auch deren Sicherheit verletzt wurde.
Bei der Implementierung einer Kennwortreplikationsrichtlinie stehen Ihnen drei grundsätzliche Optionen
zur Verfügung:
• Sie übernehmen die Standardkonfiguration, sodass keine Anmeldeinformationen auf dem Server zwischengespeichert
werden. Diese Option ist möglich, wenn die Serversicherheit besonders wichtig
und die WAN-Verbindung zwischen dem Standort mit dem RODC und einem Standort mit einem
beschreibbaren Domänencontroller hoch verfügbar ist. Auch wenn diese Option die Anmeldung
für Benutzer im Remotestandort nicht sonderlich verbessert, kann der RODC noch immer für
Suchen im DNS und im globalen Katalog verwendet werden (falls diese Funktionen auf dem
RODC installiert sind).
• Sie erlauben oder verweigern die Zwischenspeicherung von Benutzer- oder Computeranmeldeinformationen
auf dem Server explizit. Greifen Sie zu diesem Zweck auf die Eigenschaften des RODC-Computerkontos
in Active Directory-Benutzer und -Computer zu, und fügen Sie der entsprechenden
Liste Benutzer-, Gruppen- oder Computerkonten hinzu. Durch Auswahl dieser Option können Sie
die Zwischenspeicherung von Anmeldeinformationen denjenigen Benutzern und Computern
erlauben, die sich im Standort des RODC befinden. Wenn Sie die Eigenschaften des RODC-Computers
in Active Directory-Benutzer und -Computer öffnen, können Sie feststellen, welche Benutzer
und Computer sich am RODC authentifiziert haben. Anschließend können Sie diese Konten
der Kennwortreplikationsrichtlinie hinzufügen und auch die Kennwörter auf dem RODC vordefinieren.
Diese Option gewährleistet in den meisten Unternehmen ein ausgewogenes Verhältnis
zwischen Benutzerkomfort und Sicherheitsbedenken.