главная    •    Новости    •    софт    •    RSS-ленты    •    реклама    •    PDA-Версия    •    Контакты
Windows XP     •    Windows 7    •    Windows 8    •    Windows 10   •    Windows Server     •    Железо
Полезные советы      •     Администрирование      •     Сеть      •     Безопасность      •     статьи
Реклама на сайте
Книга жалоб и предложений
Правила на сайте
О Winblog.ru и о копирайте
Написать в редакцию
Конфиденциальность
                       
  • В Windows 10 Mobile теперь тоже можно читать EPUB в браузере
  • Microsoft HoloLens: голографические чаты не за горами
  • В Windows 10 Mobile появится сброс настроек приложений
  • В Windows 10 станет удобнее делиться контентом
  • В статье «Репликация паролей для контроллеров доменов только для чтения в Windows Server 2008» я рассказывал, какие дополнительные настройки могут потребоваться для того, чтобы разрешить пользователям аутентификацию на контроллерах домена только для чтения при отсутствии доступа к записываемым контроллерам домена. Однако бывают ситуации в которых требуется, напротив, запретить аутентификацию при подобных обстоятельствах.

    Стандартная конфигурация доменов Active Directory в Windows Server 2008 предусматривает распределение учетных записей по двум группам репликации паролей контроллера домена только для чтения — «Разрешенные» (Allowed RODC Password Replication Group) и «Запрещенные» (Denied RODC Password Replication Group). О первой я уже рассказывал в своей предыдущей статье, а вторая объединяет в себе все группы безопасности с высокими полномочиями, чтобы предотвратить сохранение этих учетных записей на контроллере домена только для чтения.

    На рис. A показан стандартный набор групп, которым запрещается аутентификация на контроллерах домена только для чтения при отсутствии доступа к записываемому контроллеру домена.

    Запрет аутентификации на контроллерах домена только для чтения при отсутствии доступа к записываемым контроллерам домена
    Рисунок A


    Это не запрещает пользователям при любых обстоятельствах входить на сайт и использовать для аутентификации контроллеры домена только для чтения — запрет распространяется только на ситуации, когда записываемый контроллер домена недоступен.

    Возьмем для примера ситуацию, в которой контроллер домена только для чтения не может связаться с записываемым контроллером домена. В таком случае все запросы на вход в систему обрабатываются непосредственно и исключительно контроллером домена только для чтения. При этом для всех членов группы «Запрещенные» аутентификация запрещена.

    Формировать состав группы «Запрещенные» можно по собственному усмотрению, однако стоит учитывать, что далеко не всегда группам с высокими полномочиями следует разрешать аутентификацию при отсутствии доступа к записываемому контроллеру домена. Наиболее разумный подход — создать группу безопасности, объединяющую альтернативные имена локальных администраторов для всех учетных записей компьютеров, обслуживаемых контроллерами домена только для чтения.

    При этом учетные записи с высокими полномочиями могут свободно проходить аутентификацию на контроллерах домена только для чтения, если записываемый контроллер в этот момент непосредственно доступен. Чтобы в этом убедиться, можно просмотреть журнал контроллера домена в оснастке Active Directory «Пользователи и компьютеры» (Users And Computers). Для этого:

    1. Нажмите правой кнопкой мыши на контроллере домена только для чтения и выберите пункт «Свойства» (Properties).
    2. Откройте вкладку «Репликация паролей» (Password Replication).
    3. Дважды щелкните на объекте «Разрешенные».

    Здесь содержатся сведения о хранящихся локально данных, а также о том, какие учетные записи компьютеров и пользователей осуществляли вход в систему с использованием контроллера домена только для чтения (рис. B).

    Запрет аутентификации на контроллерах домена только для чтения при отсутствии доступа к записываемым контроллерам домена
    Рисунок B


    В этом примере администратор прошел аутентификацию на контроллере домена только для чтения, однако не присутствует в списке «Учетные записи, пароли которых хранятся в данном контроллере домена» (Accounts Whose Passwords Are Stored On This Domain Controller).

    А как появление контроллеров домена только для чтения повлияло на распределение административных прав доступа в вашей организации? Поделитесь своим опытом в комментариях!

    Автор: Rick Vanover
    Перевод SVET


    Оцените статью:
    Голосов 1

    Материалы по теме:
  • Удаление контроллера домена только для чтения из домена
  • Репликация паролей для контроллеров доменов только для чтения в Windows Server 2008
  • Повышение безопасности и производительности с помощью контроллеров домена только для чтения
  • Запуск службы Обозревателя компьютеров на контроллерах домена Windows Server 2008
  • Запуск домена контроллера только для чтения Windows Server 2008


    • bowtiesmilelaughingblushsmileyrelaxedsmirk
      heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
      winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
      worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
      expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
      disappointedconfoundedfearfulcold_sweatperseverecrysob
      joyastonishedscreamtired_faceangryragetriumph
      sleepyyummasksunglassesdizzy_faceimpsmiling_imp
      neutral_faceno_mouthinnocent

    Для отправки комментария, обязательно ответьте на вопрос

    Вопрос:
    Сколько будет шесть минус один?
    Ответ:*




    ВЕРСИЯ ДЛЯ PDA      СДЕЛАТЬ СТАРТОВОЙ    НАПИШИТЕ НАМ    РЕКЛАМА

    Copyright © 2006-2016 Winblog.ru All rights reserved.
    Права на статьи принадлежат их авторам. Копирование и использование материалов разрешается только в случае указания явной гиперссылки на веб-сайт winblog.ru, как на источник получения информации.
    Сайт для посетителей возрастом 18+