Windows Server 2008引入了只读域控制器,该域控制器接收域数据库的完整副本,但无法对其进行修改,就像旧的Windows NT BDC一样。
我知道如何运行这些半DC的所有技术知识(我刚刚通过70-646和70-647),但对于所有最重要的问题,我仍然没有明确的答案:为什么您应该使用它们?
TheCleaner的这篇评论确实为我总结了一下:
@Massimo-是的,您是对的。您正在寻找建立RODC的令人信服的理由,但没有一个。它具有一些附加的安全功能,可帮助减轻分支机构的安全性,实际上,如果您那里没有DC,并且对它的安全性一无所知,则实际上仅需要将其部署在那里。
我一直在想……安全性有所提高,是的,可以肯定,但是绝对不是值得麻烦的地方。
Answers:
我给你一个真实的场景:
我们使用它是因为那里没有IT部门,我们在美国处理所有对AD帐户的请求等。通过拥有RODC,我们知道:
通过将AD / DNS设为只读,我们不必担心试图操纵DC上的数据的麻烦。
这是由于在此处找到的功能:http : //technet.microsoft.com/zh-cn/library/cc732801%28WS.10%29.aspx
对于我们而言,这比“其他事情”更为“省心” ...此外,由于它只是安装了RODC角色的服务器核心,因此它只需要很小的服务器安装即可。我们将其放在带有2个Raid-1 18GB驱动器的旧1U服务器上。实际上,我们使用机架中装有的较旧的非保修硬件,将其中2个置于相同的配置中。
很简单,做它需要做的事情,我们不必担心。如果其中一个盒子出现故障,我们只需再次更换它。
在我的书(www.briandesmond.com/ad4/)中,有一整章关于此功能。总之,这是一项安全功能,对于分布式组织而言,这是一笔不小的数目。
这里有两个非常大的场景:
-> RODC默认情况下不存储密码。这意味着,如果有人从服务器上物理地获取磁盘,那么他们就不会获得您所有的用户(和计算机)密码。
如果有人窃取了RWDC,则正确的响应是重置域中的所有密码,因为您可以认为它们均已被盗。这是一项重大任务。
使用RODC,您可以说仅缓存用户和计算机的子集X的密码。当RODC实际缓存密码时,它将该信息存储在AD中。如果RODC被盗,您现在会看到一小列需要重置的密码。
-> RODC单向复制。如果有人偷了您的RWDC,对其进行了一些更改,然后重新插入,则这些更改将复制回到环境中。例如,他们可能将自己添加到域管理员组中,或者重置所有管理员密码或其他内容。对于RODC,这根本不可能。
除非您将RODC放置在之前没有DC的位置,否则速度不会提高,在某些情况下可能会提高速度。
TheCleaner的回复确实不正确。RODC有很多引人入胜的方案,我可以想到临时部署它们的几种部署。这是简单的安全性内容,而不是“有关安全性的肛门”内容。
谢谢,
布赖恩·戴斯蒙德
Active Directory MVP
当分支机构的物理安全性较差和/或网络连接速度缓慢或不可靠时,就需要RODC。例子:
大多数组织都有针对远程设备的物理安全标准。如果您不能满足这些要求,则RODC允许您提供高速身份验证以访问本地应用程序和文件共享。它们还允许您限制存储在服务器上的凭据数量。受感染的服务器只会危害远程位置的用户。如果发生本地泄密,具有75,000个用户的完整DC会将所有这些用户暴露给所有用户。
如果您在较小的公司工作,那没什么大不了的。我之所以选择使用BitLocker来推出它们是因为RODC大大降低了安全风险。
RODC包含您的AD的只读副本,并且您在没有IT员工在其中的分支机构中使用它的副本,因此不能保证服务器机房的安全性或完整性。如果RODC遭到破坏,那么您就可以放心,无论谁遭受破坏,只有在发现时处于原来的状态,才能访问您的AD。对其所做的任何更改都不会复制回您的主DC。这意味着,无论谁妥协,都无法做一些令人讨厌的事情,例如将自己提升为Domain Admin,锁定自己的管理员,以及在整个网络中采用邪恶的方式。
RODC对大型企业组织很有用,像Novell eDirectory这样的竞争企业Directory服务已经拥有只读副本多年了。