none
RODC и репликация паролей RRS feed

  • Вопрос

  • Доброго Всем !

    Подскажите пожалуйста такой момент. Есть филиалы со своими сайтами и rodc в них. Правильно-ли я понимаю, что если пользователю/компьютеру разрешить репликацию паролей на rodc, то хэшированные пароли появятся на rodc только после первой авторизации? Суть вернее вот в чем, если пользователей и компы филиалов, пароли которых надо реплицировать, добавить в одну дефолтную "Группу с разрешением репликации паролей RODC", то авторизация будет производиться на rodc в пределах своего сайта и пароли будут реплицироваться только на этот rodc. В общем, как правильнее, создавать отдельную группу репликации для каждого филиал/сайта или же достаточно одной дефолтной группы ?

    6 апреля 2017 г. 14:01

Ответы

  • >>Правильно-ли я понимаю, что если пользователю/компьютеру разрешить репликацию паролей на rodc, то хэшированные пароли появятся на rodc только после первой авторизации

    Правильно

    >>авторизация будет производиться на rodc в пределах своего сайта и пароли будут реплицироваться только на этот rodc.

    Пароли никуда реплицироваться не будут, они просто будут храниться на rodc. Если в сайте например 2 rodc, то у каждого из них своя база паролей и они никак не связаны. Если подсети\сайты созданы правильно, то клиент будет обращаться к "своему" RODC, да.

    >>создавать отдельную группу репликации для каждого филиал/сайта или же достаточно одной дефолтной группы

    Ну это от вас зависит, хотите - добавьте в Allowed RODC Password Replication Group и оно будет применяться для всех RODC, хотите, добавляйте для каждого RODC филиала в свою Password Replication Policy группу, которой можно кэшировать пароли там. Как вам удобней управлять этим. Если все разбито на подсети\сайты и клиент физически не может прийти на "неправильный" контроллер домена, то нет никакого смысла городить огород и для каждого rodc править политику паролей.


    MCSAnykey



    • Изменено Artem S. Smirnov 6 апреля 2017 г. 14:16
    • Помечено в качестве ответа shadowf999 7 апреля 2017 г. 12:18
    6 апреля 2017 г. 14:11

Все ответы

  • >>Правильно-ли я понимаю, что если пользователю/компьютеру разрешить репликацию паролей на rodc, то хэшированные пароли появятся на rodc только после первой авторизации

    Правильно

    >>авторизация будет производиться на rodc в пределах своего сайта и пароли будут реплицироваться только на этот rodc.

    Пароли никуда реплицироваться не будут, они просто будут храниться на rodc. Если в сайте например 2 rodc, то у каждого из них своя база паролей и они никак не связаны. Если подсети\сайты созданы правильно, то клиент будет обращаться к "своему" RODC, да.

    >>создавать отдельную группу репликации для каждого филиал/сайта или же достаточно одной дефолтной группы

    Ну это от вас зависит, хотите - добавьте в Allowed RODC Password Replication Group и оно будет применяться для всех RODC, хотите, добавляйте для каждого RODC филиала в свою Password Replication Policy группу, которой можно кэшировать пароли там. Как вам удобней управлять этим. Если все разбито на подсети\сайты и клиент физически не может прийти на "неправильный" контроллер домена, то нет никакого смысла городить огород и для каждого rodc править политику паролей.


    MCSAnykey



    • Изменено Artem S. Smirnov 6 апреля 2017 г. 14:16
    • Помечено в качестве ответа shadowf999 7 апреля 2017 г. 12:18
    6 апреля 2017 г. 14:11
  • >>авторизация будет производиться на rodc в пределах своего сайта и пароли будут реплицироваться только на этот rodc.

    Пароли никуда реплицироваться не будут, они просто будут храниться на rodc. Если в сайте например 2 rodc, то у каждого из них своя база паролей и они никак не связаны. Если подсети\сайты созданы правильно, то клиент будет обращаться к "своему" RODC, да.




    Вообще-то в пароли базе данных RODC (а они там хранятся в той же самой базе AD, что и все остальные атрибуты объектов каталога - пользователей, компьютеров и пр.) как раз реплицируются из базы данных AD основного контроллера домена. Но реплицируется пароль (если его репликация разрешена) именно что по требованию - при первой попытке аутентификации пользователя/компьютера на этом RODC. Впрочем, при желании можно среплицировать пароли выбранных пользователей/компьютеров заранее (например через окно свойств RODC в консоли AD Users and Computers).

    Слава России!

    6 апреля 2017 г. 15:01
  • Всем Спасибо за разъяснение !
    7 апреля 2017 г. 12:18