معرفی Read Only Domain Controller بخش دوم
RODCیک Feature در Active Directory Domain Services می باشد که از Windows server 2008 معرفی گردید. اساس انجام این کار توسط شرکت مایکروسافت به خاطر نداشتن یا نبودن امنیت در مکان های خارج از دفتر مرکزی است تا دامین کنترلر بهتر محافظت بشود در واقع RODC یک نسخه ی فقط خواندنی از پارتیشن های پایگاه داده اکتیودایرکتوری و یک کپی فقط خواندنی از محتویات پوشه ی Sysvol می باشد. دامین کنترلر ها اطلاعات را با استفاده از بیرون کشیدن هر تغییری که در دیگر دامین کنترلرها رخ می دهد Replicate می کنند. به دلیل اینکه تعییرات انجام شده توسط کاربر به طور مستقیم روی RODC نوشته نمی شوند بنابراین می توان گفت تغییرات از RODC نمی باشد بنابراین دیگر دامین کنترلرها مجبور نیستند تغییرات را از RODC ها بیرون بکشند. با جایگرین کردن RODC ها با Writable Domain Controller در مراکزی خارج از سازمان مرکزی شما می توانید یک توپولوژی Replication ساده از محیط داشته باشید و بار را از روی دامین کنترلرها در مکان های مرکزی کاهش بدهید.
Credential Caching
همان طور که قبلا گفته شد به صورت پیش فرض RODC اطلاعات مربوط به کاربران را ذخیره نمی کند فقط توانایی ذخیره کردن اطلاعات کاربران کامپیوتر خود و کاربر Krbtgt سرور RODC خود را دارد.
وقتی که کاربر یا کامپیوتری در یک Site توسط RODC تلاش می کند که در دامین احراز هویت شود ،RODC به صورت پیش فرض نمی تواند اطلاعات کاربری را تایید کند.
RODC درخواست احراز هویت را به یک Writable Domain Controller ارسال می کند در صورتی که بعضی از Security Principals نیاز دارند که بتوانند در سایت RODC احراز هویت بشوند، بدون اینکه حتی ارتباطی با Writable Domain Controller داشته باشند.
برای مثال بعضی از کاربران و کامپیوترها می خواهند در شبکه احراز هویت بشوند در صورتی هیچ اتصالی با سایت های Writable Domain Controller ها وجود ندارد برای حل این مسئله شما می توانید Password Replication Policy(PRP) را تنظیم کنید که به شما اجازه می دهد پسورد کاربران را روی RODC ذخیره کند.اگر پسوردها روی RODC ذخیره بشوند RODC می تواند کاربرانی که با Writable Domain Controller اتصالی ندارند را احراز هویت کند.
PRP به عنوان یک (Access Control List (ACL عمل می کند. در واقع مشخص می کند که RODC آیا اجازه ی دسترسی به اطلاعات کاربران را دارد یا خیر .
وقتی RODC درخواست لاگین یک کاربر یا کامپیوتر را دریافت می کند آن تلاش می کند که اطلاعات کاربران را از یک Writable Domain Controller دریافت کند Writable Domain Controller به PRP مراجعه می کند اگر PRP اجازه بدهد که اطلاعات کاربر را ذخیره کند Writable Domain Controller اطلاعات کاربر را روی RODC ،Replicate می کند وRODC اطلاعات را ذخیره می کند. در صورتی که همین کاربر دوباره درخواست لاگین خود را به RODC ارسال کند RODC با مراجعه به اطلاعاتی که قبلا در Cache خود ذخیره کرده است کاربر را احزار هویت می کند بدون اینکه به Writable Domain Controller مراجعه کند.
هر کامپیوتر اکانت RODC شامل دو Attribute می باشد:
- sDS-RevealOnDemandGroup
- msDS-NeverRevealGroup
msDS-RevealOnDemandGroup یک اصول امنیتی می باشد که به شما اجازه می دهد که Password ها را در RODC ذخیره کنید. به صورت پیش فرض پسورد هیچ کاربری روی RODC ذخیره نمی شود. به صورت پیش فرض این Attribute فقط یک مقدار دارد که آن Allow RODC Password Replication Group می باشد.
sDS-NeverRevealGroup این Attribute از داشتن پسورد روی کش RODC جلوگیری می کند. این Attribute از Replication کردن اطلاعات Privilege Account ها جلوگیری می کند به این ترتیب می توانید مطمئن باشید که یک هکر نمی تواند حساب کاربری Privilege Account ها سرقت یا آن ها را به خاطر بیاندازد. این Attribute شامل مقادیر زیر می باشد:
- Account Operators
- Server Operators
- Backup Operators
- Administrators
- The Denied RODC Password Replication Group این مقدار شامل موارد زیر می باشد:
Enterprise Domain Controllers
Enterprise Read-Only Domain Controllers
Group Policy Creator Owners
Domain Admins
Cert Publishers
Enterprise Admins
Schema Admins
Domain-wide krbtgt account
msDS-NeverRevealGroup attribute نسبت بهmsDS-RevealOnDemandGroup attribute حق تقدم دارد یعنی اگر کاربری عضو هر دو باشد اطلاعات کاربر روی RODC ذخیره نمی شود.
Administrator Role Separation
با استفاده از Administrator Role Separation شما می توانید کاربری را ادمین RODC کنید بدون اینکه آن کاربر عضو گروه Domain Admins باشد.
یک مشکلی که Administrator های دامین کنترلر با آن مواجه هستند این است که دامین کنترلرها مجبور هستند توسط ادمین های دامین راه اندازی و مدیریت شوند. Administrator های دامین می توانند راه اندازی و مدیریت RODC ها را به Domain User ها بدهند بدون اینکه هیچ مجوزی اضافه ای در دامین به آن ها داده شود. Administrator Role Separation توانایی انجام این کار را دارد.
(Administrator Role Separation(ARS برای دو هدف استفاده می شود:
- RODC Installation
- RODC Maintenance
تفاوت بین RODC و Writable Domain Controller
Active Directory DataBase
پایگاه در RODC فقط خواندنی می باشد. برنامه ها فقط می توانند اطلاعات را از Directory بخوانند. آن ها نمی توانند اطلاعات را بنویسند RODC اتوماتیک عملیات نوشتن را به Writable Domain Controller ارسال می کنند. اما همه ی عملیات خواندن و نوشتن بر روی Writable Domain Controller ممکن می باشد.
Data Replication بین Domain Controller
اطلاعات از RODC ها به Writable Domain Controller ، Replication نمی شوند اما اطلاعات از یک Writable Domain Controller به دیگر Writable Domain Controller ها و RODC ها Replicate می شود.
اطلاعات ذخیره شده در پایگاه داده
RODC ها شامل یک کپی کامل از پایگاه داده به جز اطلاعات حساب کاربری ها و Attribute هایی که در بخش RODC FAS هستند می باشد. با این حال شما می توانید برای عملکرد بهتر احراز هویت در RODC اطلاعات کاربرانی که در سایت RODC قرار دارند را در کش RODC ذخیره کنید. ولی Writable Domain Controller شامل یک کپی کامل از Directory DataBase که شامل اطلاعات حساب کاربری تمام کاربران می باشد.
Administration
RODC ها می توانند توسط کاربرانی که هیچ امتیازی بالاتر از یک کاربرعادی در دامین ندارند اداره شوند در صورتی که در Writable Domain Controller فقط توسط Administrator های دامین مدیریت می شوند.
