главная    •    Новости    •    софт    •    RSS-ленты    •    реклама    •    PDA-Версия    •    Контакты
Windows XP     •    Windows 7    •    Windows 8    •    Windows 10   •    Windows Server     •    Железо
Полезные советы      •     Администрирование      •     Сеть      •     Безопасность      •     статьи
Реклама на сайте
Книга жалоб и предложений
Правила на сайте
О Winblog.ru и о копирайте
Написать в редакцию
Конфиденциальность
                       
  • Windows 10 Insider Preview: вышла сборка 14986
  • Windows 10 Creators Update сделают безопаснее для организаций
  • В Windows 10 будет поддержка шрифта Брайля
  • Выпуск тестовых сборок Windows 10 приостановлен
  • Чтобы в полной мере использовать возможности контроллеров доменов только для чтения, следует учитывать некоторые особенности этой новой технологии, реализованной в Windows Server 2008.

    Сделать новый контроллер домена доступным только для чтения в процессе начальной настройки очень легко. На рис. A показана соответствующая конфигурация.

    Репликация паролей для контроллеров доменов только для чтения в Windows Server 2008
    Рисунок A


    После завершения подготовки контроллера домена необходимо принять ряд дополнительных мер, чтобы обеспечить корректную обработку входов в систему для отдельных учетных записей компьютеров.

    При использовании стандартных настроек контроллера домена только для чтения на первых порах все работает нормально. Проблемы возникают, как только записываемые контроллеры домена оказываются недоступны. Хотя контроллеры домена только для чтения не предполагают записи данных, они все равно должны обрабатывать запросы на вход в систему при отсутствии доступа к записываемому контроллеру домена. При использовании настроек по умолчанию в таком случае возникает сообщение об ошибке, показанное на рис. B.

    Репликация паролей для контроллеров доменов только для чтения в Windows Server 2008
    Рисунок B


    При этом в журнале событий Windows появляются предупреждения о том, что учетная запись компьютера отсутствует в кэше и может быть недействительна. Чтобы решить эту проблему, необходимо создать группу безопасности, объединяющую в стандартной группе репликации паролей контроллера домена «Разрешенные» (Allowed RODC Password Replication Group) все учетные записи компьютеров, которые проходят аутентификацию на контроллере домена только для чтения. На рис. C показано добавление учетной записи компьютера в группу безопасности, принадлежащую к группе «Разрешенные», для домена RWVDEV.INTRA.

    Репликация паролей для контроллеров доменов только для чтения в Windows Server 2008
    Рисунок C


    Группе «Разрешенные» дается право на репликацию паролей учетных записей компьютеров на контроллере домена только для чтения. Кроме того, этот способ позволяет разрешить аутентификацию на контроллере домена только для чтения лишь определенным компьютерам. Каждой учетной записи компьютера в Active Directory соответствует определенный пароль, а за управление такими учетными записями отвечает система, как и в случае с управляемыми учетными записями служб.

    Чтобы пользователь имел возможность пройти аутентификацию на контроллере домена только для чтения, его учетная запись, как и учетная запись компьютера, тоже должна входить в группу «Разрешенные». И точно так же это позволяет разрешить аутентификацию на контроллере домена только для чтения лишь определенным пользователям.

    Обратите внимание: учетная запись администратора по умолчанию не входит в группу «Разрешенные». Разумнее всего добавлять в эту группу только тех пользователей, которым вероятнее всего придется проходить аутентификацию на контроллере домена только для чтения.

    Массу полезной информации по репликации паролей можно найти на сайте TechNet.

    А вы пробовали использовать контроллеры домена только для чтения при отсутствии доступа к записываемым контроллерам домена? С какими сложностями вам при этом пришлось столкнуться? Поделитесь своим опытом в комментариях!

    Автор: Rick Vanover
    Перевод SVET


    Оцените статью:
    Голосов 2

    Материалы по теме:
  • Удаление контроллера домена только для чтения из домена
  • Запрет аутентификации на контроллерах домена только для чтения при отсутствии доступа к записываемым контроллерам домена
  • Управлять учетными записями служб в Windows Server 2008 R2 стало намного проще
  • Повышение безопасности и производительности с помощью контроллеров домена только для чтения
  • Запуск домена контроллера только для чтения Windows Server 2008


    • bowtiesmilelaughingblushsmileyrelaxedsmirk
      heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
      winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
      worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
      expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
      disappointedconfoundedfearfulcold_sweatperseverecrysob
      joyastonishedscreamtired_faceangryragetriumph
      sleepyyummasksunglassesdizzy_faceimpsmiling_imp
      neutral_faceno_mouthinnocent

    Для отправки комментария, обязательно ответьте на вопрос

    Вопрос:
    Сколько будет десять плюс три?
    Ответ:*




    ВЕРСИЯ ДЛЯ PDA      СДЕЛАТЬ СТАРТОВОЙ    НАПИШИТЕ НАМ    РЕКЛАМА

    Copyright © 2006-2016 Winblog.ru All rights reserved.
    Права на статьи принадлежат их авторам. Копирование и использование материалов разрешается только в случае указания явной гиперссылки на веб-сайт winblog.ru, как на источник получения информации.
    Сайт для посетителей возрастом 18+