none
CONTROLEUR DE DOMAINE RODC RRS feed

  • Question

  • Bonjour chers tous !

    J'ai une infranstructure avec 3 DC reparti comme suit :

    - site 1 : DC principale

    - site 2 : DC secondaire en backup et DC secondaire en mode lecture seule

    à ma grande suprise lorsque je me connecte sur mon DC secondaire en mode RODC avec mon compte Admin du domaine j'arrive quand meme à créer et modifier les objets.Comment faire pour resoudre ce problème

    je precise que je suis sur Ws2019


    hussein demo

    mercredi 24 novembre 2021 16:37

Réponses

  • Bonjour Hussein

    Si un utilisateur peut modifier l'objet AD via la console dsa.msc dans RODC, cela signifie que vous êtes connecté à distance à DC R/W et qu'il a une délégation pour effectuer une modification sur Active Directory.

    Si vous voulez empêcher les utilisateurs de faire toute modification dans Active Directory, vous devez supprimer la délégation, car ils peuvent utiliser une autre machine pour se connecter à un DC R/W

    Une autre possibilité est que la console pour ADUC soit connectée à un autre contrôleur de domaine (cliquez avec le bouton droit sur la racine Utilisateurs et ordinateurs Active Directory dans le volet gauche et sélectionnez "Changer de contrôleur de domaine" en RODC)

    En même temps, cela semble un peu éphémère, car comme l'autorisation d'apporter des modifications aux objets est liée à l'utilisateur et non au serveur, l'utilisateur peut toujours se connecter à distance à un RW DC. La restriction de RODC s'applique uniquement au stockage des informations AD ainsi qu'à la réplication, mais il s'agit toujours d'un partenaire DC valide tant que l'utilisateur connecté dispose de suffisamment de droits.

    J'espère que cela vous aidera avec votre requête,
    --Si la réponse est utile, veuillez voter pour et accepter comme réponse--
    • Marqué comme réponse Hussein demo jeudi 25 novembre 2021 09:37
    jeudi 25 novembre 2021 09:22
  • Bonjour

    Quelques éclaircissements :

    • La notion de DC principal et DC secondaire n'existe pas. Un domaine AD n'est pas un domaine NT4 (PDC/BC). Tous les DCs sont homologues (lecture/écriture). Cependant, il y a des rôles uniques (les fameux rôles FSMO) qui sont localisés sur ou des DC spécifiques.
    • UN RODC, est un DC un peu particulier. Comme les autres DCs, il permet l'authentification et est en lecture/écriture. La base de données Active Directory (ntds.dit) qui est sur chaque DC contient non pas les mots de passe, mais les hash des mots de passe. Cependant sur un RODC, il n'y a pas les hash des mots de passe des comptes sensibles (les comptes à privilèges). Quand un compte "sensible" s'authentifie auprès d'un RODC, le RODC fait passer la demande à un "vrai" DC qui lui valide l'authentification.
    • Il y a des cas d'usage des RODC. L'usage type est quand on ne peut garantir un accès physique au DC (et plus précisément au disque et à la base de données ntds.dit). Dans ce cas, on installe un RODC. Sinon, un méchant hacker pourrait récupérer la base ntfs.dit, la hacker, remplacer la base existante, et ainsi s'offrir une belle porte dérobée avec des privilèges élevées.
    • De plus, quand on installe un RODC, généralement on n'installe pas le rôle DNS. Sinon trop facile, on a accès aux DNS et on se créé nos entrées qui vont bien.
    • Un Global Catalog, est une fonctionnalité de tous les DCs. UN GC contient toutes les propriétés principales de tous les objets de la forêt. Cela permet pas exemple dans une forêt multiple domaines, de récupérer auprès d'un DC de son domaine des info sur un objet d'une autre domaine de la forêt.

    Désolé, mais quand je lis :

    - site 1 : DC principale

    - site 2 : DC secondaire en backup et DC secondaire en mode lecture seule

    Cela n'existe pas un DC secondaire ! D'ailleurs, je pourrais dire la même chose quand quelqu'un parle d'une Zone DNS intégrée à l'AD et qu'il dit "DNS primaire" et "DNS Secondaire" : cela n'existe pas et n'a aucun sens ... quand la zone est intégrée à l'AD. Cependant, si une zone DNS n'est pas intégrée à l'AD, la notion de primaire et de secondaire existe bien.

    Olivier

    • Marqué comme réponse Hussein demo jeudi 25 novembre 2021 09:40
    jeudi 25 novembre 2021 09:24
  • RODC = DC en lecture seul à mettre sur des sites ou la sécurité des serveurs est plus complexe. Un RODC en plus d'être en lecture seul il ne contient qu"une partie des mots de passe des comptes, tous ne sont pas synchronisés, ce qui réduit le risque en cas de vol de l'ânnuaire AD.

    Il est facile rapide et discret de voler une copie de l'annuaire AD si on a accès à une session admin sur un DC en lecture écriture. 

    AD DS étant multimaitre les DC secondaires n'existent pas ...

    Il est possible d'installer les consoles active directory sur un poste Windows 10 et pourtant ce n'est ni un DC ni un RODC. Je ne vois pas le bénéfice de vouloir cloisonner la console (interface d'affichage de l'AD)... Il est préférable de limiter les personnes qui se connectent sur ces équipements.

    Quelle sécurité espéré vous avoir en mettant un DC et un RODC sur le même site ? Ils sont dans le même local ? 


    jeudi 25 novembre 2021 17:39
  • [...C'est plus que discutable. Comme le RODC n'est pas source de réplication mais juste destinataire et si les zones sont intégrés à AD elles sont également juste en lecture. Je ne vois pas de raison a ne pas mettre DNS et catalogue global sur RODC. Si sur un site distant il n'y a qu'un RODC il faudrait bien qu'il y ai aussi un DNS sur le site...]

    Tes remarques sur le DNS et GC sont fondées mais pour la résolution de nom on peut très bien se rattacher à un DNS d'un autre site.

    [...La notion de DNS primaire et secondaire concerne avant tout la configuration de la carte réseau et donc la couche client DNS....]

    Non, ça c'est DNS1 et DNS2 (et suivants d'ailleurs), c'est un abus de langage.

    • Marqué comme réponse Hussein demo samedi 4 décembre 2021 09:32
    vendredi 26 novembre 2021 06:56
  • Tu as souligné là ce qui n'est pas écrit Philippe.:-)

    Visiblement le demandeur ne connait pas les différences entre DC et RODC et mêmes les quelques différences entre les DC-FSMO et DC-nonFSMO. Les mots utilisés parlent pour eux (même si je reconnais, que je suis un peu puriste sur ce point).

    Dommage, quand on administre.

    • Marqué comme réponse Hussein demo samedi 4 décembre 2021 09:33
    vendredi 26 novembre 2021 07:00

Toutes les réponses

  • à ma grande suprise lorsque je me connecte sur mon DC secondaire en mode RODC avec mon compte Admin du domaine j'arrive quand meme à créer et modifier les objets.Comment faire pour resoudre ce problème

    Il est possible de créer un compte depuis la console installé sur un RODC il suffit que la console soit connecté à un DC en lecture/ écriture... 

    Ce n'est pas un problème mais un fonctionnement normal. Cela ne veut pas dire que l'AD du RODC contient des éléments sensibles.


    jeudi 25 novembre 2021 06:52
  • Mais en quoi est-il CONTROLEUR DE DOMAINE EN RODC?

    Quelle differnce entre un DC secondaire et DC en RODC?


    hussein demo

    jeudi 25 novembre 2021 08:43
  • Et quelle difference  un DC en mode RODC  qui a le role :

    - Serveur DNS et Catalogue globale

    et

    - un serveur en lecture seule seulement comme option


    hussein demo

    jeudi 25 novembre 2021 08:49
  • Bonjour

    Quelques éclaircissements :

    • La notion de DC principal et DC secondaire n'existe pas. Un domaine AD n'est pas un domaine NT4 (PDC/BC). Tous les DCs sont homologues (lecture/écriture). Cependant, il y a des rôles uniques (les fameux rôles FSMO) qui sont localisés sur ou des DC spécifiques.
    • UN RODC, est un DC un peu particulier. Comme les autres DCs, il permet l'authentification et est en lecture/écriture. La base de données Active Directory (ntds.dit) qui est sur chaque DC contient non pas les mots de passe, mais les hash des mots de passe. Cependant sur un RODC, il n'y a pas les hash des mots de passe des comptes sensibles (les comptes à privilèges). Quand un compte "sensible" s'authentifie auprès d'un RODC, le RODC fait passer la demande à un "vrai" DC qui lui valide l'authentification.
    • Il y a des cas d'usage des RODC. L'usage type est quand on ne peut garantir un accès physique au DC (et plus précisément au disque et à la base de données ntds.dit). Dans ce cas, on installe un RODC. Sinon, un méchant hacker pourrait récupérer la base ntfs.dit, la hacker, remplacer la base existante, et ainsi s'offrir une belle porte dérobée avec des privilèges élevées.
    • De plus, quand on installe un RODC, généralement on n'installe pas le rôle DNS. Sinon trop facile, on a accès aux DNS et on se créé nos entrées qui vont bien.
    • Un Global Catalog, est une fonctionnalité de tous les DCs. UN GC contient toutes les propriétés principales de tous les objets de la forêt. Cela permet pas exemple dans une forêt multiple domaines, de récupérer auprès d'un DC de son domaine des info sur un objet d'une autre domaine de la forêt.

    Désolé, mais quand je lis :

    - site 1 : DC principale

    - site 2 : DC secondaire en backup et DC secondaire en mode lecture seule

    Cela n'existe pas un DC secondaire ! D'ailleurs, je pourrais dire la même chose quand quelqu'un parle d'une Zone DNS intégrée à l'AD et qu'il dit "DNS primaire" et "DNS Secondaire" : cela n'existe pas et n'a aucun sens ... quand la zone est intégrée à l'AD. Cependant, si une zone DNS n'est pas intégrée à l'AD, la notion de primaire et de secondaire existe bien.

    Olivier

    • Marqué comme réponse Hussein demo jeudi 25 novembre 2021 09:40
    jeudi 25 novembre 2021 09:24
  • vous devez supprimer la délégation, car ils peuvent utiliser une autre machine pour se connecter à un DC R/W Comment y parvenir ?

    hussein demo

    jeudi 25 novembre 2021 12:09
  • RODC = DC en lecture seul à mettre sur des sites ou la sécurité des serveurs est plus complexe. Un RODC en plus d'être en lecture seul il ne contient qu"une partie des mots de passe des comptes, tous ne sont pas synchronisés, ce qui réduit le risque en cas de vol de l'ânnuaire AD.

    Il est facile rapide et discret de voler une copie de l'annuaire AD si on a accès à une session admin sur un DC en lecture écriture. 

    AD DS étant multimaitre les DC secondaires n'existent pas ...

    Il est possible d'installer les consoles active directory sur un poste Windows 10 et pourtant ce n'est ni un DC ni un RODC. Je ne vois pas le bénéfice de vouloir cloisonner la console (interface d'affichage de l'AD)... Il est préférable de limiter les personnes qui se connectent sur ces équipements.

    Quelle sécurité espéré vous avoir en mettant un DC et un RODC sur le même site ? Ils sont dans le même local ? 


    jeudi 25 novembre 2021 17:39
    • De plus, quand on installe un RODC, généralement on n'installe pas le rôle DNS. Sinon trop facile, on a accès aux DNS et on se créé nos entrées qui vont bien.

    C'est plus que discutable. Comme le RODC n'est pas source de réplication mais juste destinataire et si les zones sont intégrés à AD elles sont également juste en lecture. Je ne vois pas de raison a ne pas mettre DNS et catalogue global sur RODC. Si sur un site distant il n'y a qu'un RODC il faudrait bien qu'il y ai aussi un DNS sur le site...

    Un Global Catalog, est une fonctionnalité de tous les DCs.

    Pas forcément, c'est recommandé dans la majorité des cas de mettre le catalogue global partout, mais tous les DCs ne sont pas forcément des catalogues globaux.

    D'ailleurs, je pourrais dire la même chose quand quelqu'un parle d'une Zone DNS intégrée à l'AD et qu'il dit "DNS primaire" et "DNS Secondaire" : cela n'existe pas et n'a aucun sens 

    La notion de DNS primaire et secondaire concerne avant tout la configuration de la carte réseau et donc la couche client DNS. Cela définit une l'ordre d'intérogation. Les zones intégrés AD sont forcément des zones primaires. 



    jeudi 25 novembre 2021 17:47
  • vous devez supprimer la délégation, car ils peuvent utiliser une autre machine pour se connecter à un DC R/W Comment y parvenir ?

    Vous pouvez intérroger l'AD depuis n'importe qu'elle poste sur le réseau, il suffit d'avoir un outil ldap et un compte. Le cloisonnement se fait dans la bonne gestion des comptes. Il n'y a pas besoin d'être admin du domaines pour gérer des utilsiateurs, des groupes etc ...

    Les comptes admins du domaine devraient avoir un usage très limitée (migration, installation, dépannage, ...)

    Il n'y a rien à supprimer pour cela il suffit de créer des groupes de gestions spécifiques et de déléguer les droits.


    jeudi 25 novembre 2021 17:51
  • - site 1 : DC principale

    - site 2 : DC secondaire en backup et DC secondaire en mode lecture seule

    Quel est le but de mettre un DC en écriture et un autre RODC ?  Ils sont dans des locaux différents avec des niveaux de sécurité différents ?

    Combien d'utilisateurs sur le site principale? 

    jeudi 25 novembre 2021 17:58
  • [...C'est plus que discutable. Comme le RODC n'est pas source de réplication mais juste destinataire et si les zones sont intégrés à AD elles sont également juste en lecture. Je ne vois pas de raison a ne pas mettre DNS et catalogue global sur RODC. Si sur un site distant il n'y a qu'un RODC il faudrait bien qu'il y ai aussi un DNS sur le site...]

    Tes remarques sur le DNS et GC sont fondées mais pour la résolution de nom on peut très bien se rattacher à un DNS d'un autre site.

    [...La notion de DNS primaire et secondaire concerne avant tout la configuration de la carte réseau et donc la couche client DNS....]

    Non, ça c'est DNS1 et DNS2 (et suivants d'ailleurs), c'est un abus de langage.

    • Marqué comme réponse Hussein demo samedi 4 décembre 2021 09:32
    vendredi 26 novembre 2021 06:56
  • Tu as souligné là ce qui n'est pas écrit Philippe.:-)

    Visiblement le demandeur ne connait pas les différences entre DC et RODC et mêmes les quelques différences entre les DC-FSMO et DC-nonFSMO. Les mots utilisés parlent pour eux (même si je reconnais, que je suis un peu puriste sur ce point).

    Dommage, quand on administre.

    • Marqué comme réponse Hussein demo samedi 4 décembre 2021 09:33
    vendredi 26 novembre 2021 07:00
  • désolé pour le retard,

    cette config est dans un environnement test, sinon j'aurais dans chauqe ville un DC en RODC dans le HQ un DC principal et son Backup ... l'idée est que l'administration soit centralisé au niveau du HQ et le reste de DC en RODC nous aide sur le requete DNS pour n'est pas consommé la bande passante.

    Precision dans chaque ville y a un IT qui peut acceder sur le DC avec les droits limités.


    hussein demo

    samedi 4 décembre 2021 09:28
  • les differences n'est pas mon souci ...

    DC et RODC ... DC-FSMO et DC-non FSMO j'en connais quelques choses.

    Mon souci est celui ci : je me rappelle avoir mise en place un DC FSMO et DC RODC sur windows serveur 2008 r2 quand je me connectais en qu'administrateur sur le DC RODC j'avais un message du genre "vous etes connecté sur un Dc en lecture seule vous ne pouvez modifié les objets"

    Le DC était vraiment en lecture seule donc je ne pouvais faire aucune modification la dessus horsmis son coté securité des certaines informations.

    le meme environnement sur Windows serveur 2019 standard ... quand je me connecte sur un DC RODC j'arrive quand  meme à modifier et creer des objets ce qui m'etonne.

    Dejà par sa definition un RODC est un DC en lecture seule ou on ne peut faire de modification.

    Je me demande comment celà est possible ???


    hussein demo

    samedi 4 décembre 2021 09:44