RODC的密碼複寫原則

RODC是一種唯讀網域控制站, 主要用於保護遠端辦公室或非安全環境中的 AD資訊, 由於 RODC唯讀的特性, 它不會主動儲存所有使用者帳號的密碼而是根據「密碼複寫原則」來控制哪些帳號的密碼可以被複寫到 RODC上

w-studio.idv.tw

1. 網域範圍預設的兩個密碼複寫原則群組:

。Allowed RODC Password Replication Group: 此群組的成員包含在每個新 RODC的允許清單中, 預設該群組沒有成員, 新的 RODC不會快取任何使用者的憑證, 設定此成員允許其密碼可以被複寫到 RODC的帳號清單

。Denied RODC Password Replication Group: 此群組的成員包含在每個新 RODC的拒絕清單中, 確保其憑證永遠不會被 RODC快取的使用者加入到此群組, 預設此群組包含安全敏感帳戶, 這些帳戶屬於網域管理員、企業管理員和群組原則建立者擁有者等群組

2. RODC特定的密碼複寫原則: 直接在指定的 RODC上設定要授權複寫的帳戶

3. RODC篩選屬性集: 在 RODC上除了系統與安全性有關的屬性沒有複寫到 RODC, 物件上大部分屬性值都會複寫到 RODC上, 而 ADDS、本機安全性授權單位、安全性帳戶管理員、微軟特定的安全支援提供者介面則應避免設定