Впервые функционал контроллера домена, доступного только на чтение (RODC — read-only domain controller), был представлен в Windows Server 2008. Основная задача, которую преследует технологией RODC, возможность безопасной установки собственного контролера домена в удаленных филиалах и офисах, в которых сложно обеспечить физическую защиту сервера с ролью DC. Контроллер домена RODC содержит копию базы Active Directory, доступную только на чтение. Это означает, что никто, даже при получении физического доступа к такому контроллеру домена, не сможет изменить данные в AD (в том числе сбросить пароль администратора домена).
В это статье мы рассмотрим основные особенности использования и процедуру установки нового контроллера домена RODC на базе Windows Server 2016.
Особенности контроллера домена RODC
Основные отличия RODC от обычных контроллером домена, доступных для записи (RWDC)
- Контроллер домена RODC хранит копию базы AD, доступную только для чтения. Соответственно, клиенты такого контролера домена не могут вносить в нее изменения.
- RODC не реплицирцирует данные AD и папку SYSVOL на другие контроллеры домена (RWDC).
- Контроллер RODC хранит полную копию базы AD, за исключением хэшей паролей объектов AD и других атрибутов, содержащих чувствительную информацию. Этот набор атрибутов называется Filtered Attribute Set (FAS). Сюда относятся такие атрибуты, как ms-PKI-AccountCredentials, ms-FVE-RecoveryPassword, ms-PKI-DPAPIMasterKeys и т.д. В случае необходимости в этот набор можно добавить и другие атрибуты, например при использовании LAPS, в него следует добавить атрибут ms-MCS-AdmPwd.
- При получении контроллером RODC запроса на аутентификацию от пользователя, он перенаправляет этот запрос на RWDC контроллер.
- Контроллер RODC может кэшировать учетные данные некоторых пользователей (это ускоряет скорость авторизации и позволяет пользователям авторизоваться на контроллере домена, даже при отсутствии связи с полноценным DC).
- На контроллеры домена RODC можно давать административный доступ обычным пользователям (например, техническому специалисту филиала).
Требования, которые должны быть выполнены для разворачивания Read-Only Domain Controller.
- На сервере должен быть назначен статический IP
- Файервол должен быть отключен или корректно настроен для прохождения трафика между DC и доступа от клиентов
- В качестве DNS сервера должен быть указан ближайший RWDC контроллер
Установка RODC из графического интерфейса Server Manager
Откройте консоль Server Manager и добавьте роль Active Directory Domain Services (согласитесь с установкой всех дополнительных компонентов и средств управления).
На этапе указания настроек нового DC, укажите что нужно добавить новый контроллер домена в существующий домен (Add a domain controller to an existing domain), укажите имя домена и, если необходимо, данные учетной записи пользователя с правами администратора домена.
Выберите, что нужно установить роль DNS сервера, глобального каталога (GC) и RODC. Далее выберите сайт, в котором будет находится новый контролер и пароль для доступа в DSRM режиме.
В следующем окне указания параметров RODC нужно указать пользователей, которым нужно предоставить административной доступ к контроллеру домена, а также список учетных записей/групп, пароли которых разрешено и запрещено реплицировать на данный RODC (можно задать и позднее).
Укажите, что данные базы AD можно реплицировать с любого DC.
Затем укажите пути к базе NTDS, ее журналам и папке SYSVOL (в случае необходимости их можно перенести на другой диск позднее).
На этом все. После проверки всех условий, можно запустить установку роли.
Установка RODC с помощью PowerShell
Для разворачивания нового RODC с помощью PowerShell, нужно установить роль ADDS и PowerShell модуль ADDS.
Add-WindowsFeature AD-Domain-Services, RSAT-AD-AdminCenter,RSAT-ADDS-Tools
Теперь можно запустить установку RODC:
Install-ADDSDomainController -ReadOnlyReplica -DomainName yourdimain.com -SiteName "Default-First-Site-Name" -InstallDns:$true -NoGlobalCatalog:$false
После окончания работы командлет запросит перезагрузку сервера.
Проверить, что сервер работает в режиме RODC можно с помощью команды:
Get-ADDomainController -Identity S2016VMLT
Значение атрибута IsReadOnly должно быть True.
Политики репликации паролей RODC
На каждом RODC можно определить список пользователей и групп, пароли которых можно или нельзя реплицировать на данный контроле домена.
По умолчанию в домене создаются две новые глобальные группы
- Allowed RODC Password Replication Group
- Denied RODC Password Replication Group
Первая группа по умолчанию пуста, а во второй содержатся административные группы безопасности, пароли пользователей которых нельзя реплицировать и кэшировать на RODC с целью исключения риска их компрометации. Сюда по-умолчанию входят такие группы, как:
- Group Policy Creator Owners
- Domain Admins
- Cert Publishers
- Enterprise Admins
- Schema Admins
- Аккаунт krbtgt
- Account Operators
- Server Operators
- Backup Operators
Как правило, в группу Allowed RODC Password Replication Group можно добавить группы пользователей филиала, который обслуживает данный RODC.
В том случае, если в домене несколько DC, стоит создать такие группы индивидуально для каждого RODC. Привязка групп к контроллеру домена RODC выполняется в свойствах сервера в консоли ADUC на вкладке Password
Replication Policy (подробнее).
При подключении консолью ADUC к контроллеру домена с ролью RODC даже администратору домена будет недоступно редактирование атрибутов пользователей/компьютеров (поля недоступны для редактирования) или создание новых.
