12/04/2019

Active Directory RODC

RODC yani Read Only DC. Uzak bir lokasyonda yani bizim için kontrolü nispeten zor bir ortamda, sadece bzim kontrol edebileceğimiz bir DC içindir. Daha güvenlidir. Özellikle IT personeli olmayan uzak ofislerde kimin login olup olamayacağını belirlediğimiz bir sistemdir. Normal bir DC de olan tüm objectler mevcuttur.

RODC oluşturmak için kurulumda gerekli seçeneği aktif etmek gerekir.

Ana DC RODC de kimin şifrelerinin Cache leneceğini belirleyebiliriz. Tek yönlü replikasyon yapılır.

RODC için (henüz nerede bilmiyorum) bir properties de “Password Replication Policy” bölümü mevcut orada hangi kullanıcı ve groupların passwordlerinin cache yapılacağına karar veriyoruz. (deny allow şeklinde.

Password Replication Policy Domain çapında olduğunda iki group otomatik olarak gelir.

  • Allowed RODC Password Replication Group
  • Default olarak grupta kimse yoktur.
  • Buraya eklenenler RODC’ler tarafından cachelenir.
  • Denied RODC password Replication Group
  • Buraya şifrelerinin hiç cachelenmasini istemediğimiz kullanıcıları ekleriz.
  • Default olarak : Domain adminleri, Enterprise Adminleri ve Group Policy sahipleri mevcuttur.

Böylece tüm RODC’leri bir defada ayarlamış oluruz.

Diğer bir yöntemde “Password Replication Policy (Individual RODCS)

Önerilen Best Practice ise öncelikle Global bir Deny list oluşturmak daha sonrada her bir RODC için izin verilen User ve groupları authentication için local olarak belirlemektir.

RODClerde bazı kısıtlamalar mevcuttur.

  • Master DC olamazlar
  • Bridgehead Server olamazlar ????????
  • Her domainde bir site için bir RODC olabilir.
  • WAN connection mevcut değilse RODC’ler trustlar arası authentication yapamazlar. Eğer Deny listtle olan biri authenticate yapmak isterse WAN üzerinden kontrol etmesi gerekecektir ancak WAN olmayınca bu mümkün olamayacaktır.
]]>

Leave a Reply