Настављајући низ чланака о новој технологији Ацтиве Дирецтори - РОДЦ (само за читање контролера домена), желио бих се дотакнути теме политике репликације лозинке - Политике репликације лозинке (ПРП). Подразумевано се на РОДЦ не чувају никакве корисничке или рачунарске лозинке (осим за сопствени рачунар и посебни крбтгт рачун). Сврха ове компликације је повећати ниво сигурности, јер ако је РОДЦ угрожен, нећете бринути да ће драгоцене информације пасти у руке нападача.
Или би било добро када би постојала прилика да се реплицирају корисници на њиховој веб локацији са циљем да се чак и ако ВАН веза са седиштем не буде повезана, могу пријавити. Управо та подешавања можете видети на АДУЦ конзоли на картици Својства РОДЦ налога на картици Лозинка
Репликација Политика (ПРП). Овде можете одредити које лозинке које корисници треба да се реплицирају на овај РОДЦ, а које не.
Ова подешавања се такође могу одредити када инсталирате улогу РОДЦ користећи датотеку одговора без надзора, користећи следеће параметре:
ПассвордРеплицатионДениед =
ПассвордРеплицатионАлловед =
За више информација можете користити картицу Напредно, овде можете сазнати на којим се рачунима може аутентификовати РОДЦ, као и остале корисне информације које ће вам помоћи да оптимално конфигуришете ПРП. Картица Ресултантант Политика можете да унесете корисничко име и откријете да ли ће лозинка за овог корисника бити кеширана на РОДЦ или не.
Када РОДЦ прими захтев за пријаву, покушава да реплицира акредитиве из уобичајеног контролера домена Виндовс 2008. „само за писање“. Овај контролер приступа ПРП-у и покушава да утврди да ли треба да се репликације овог корисника реплицирају на РОДЦ. Ако је омогућено, редовни ДЦ реплицира вјеродајнице у РОДЦ-ове, а РОДЦ их похрањује локално. Накнадна провјера аутентификације корисника врши се помоћу предмеморије на РОДЦ-у, а недостатак везе на редовити ДЦ више није критичан.
Међутим, постоји недостатак, не постоји начин да се очисти предмеморија лозинке на регулатору домена РОДЦ. Једино што у овом случају администратор Ацтиве Дирецтори може учинити је ресетирати лозинке свих предмеморираних меморија, након чега ће цацхе на РОДЦ постати неважан и ти подаци се не могу користити за улазак у систем. Пре поновне инсталације компромитованог РОДЦ-а мора се извршити исти поступак. Ово је много лакше него да ручно покушате да схватите које су лозинке за рачун спремљене у РОДЦ. Када покушате да уклоните РОДЦ са АДУЦ конзоле, испред вас ће се појавити следећи прозор:
А онда каква функција ПреполуатЛозинке? Замислите ситуацију када ваша пословница има више од 100 корисника, а ви сте њихову групу додали у ПРП. Рецимо да у овој бранши имате 100 корисника, а ви сте додали њихове ПРП групе. А да не бисмо чекали да сваки корисник уђе у систем, можемо упутити контролер домена да одмах почне са копирањем лозинки. Такође функционишу ПреполуатЛозинкеможе се користити приликом транспорта новог РОДЦ сервера из централног центра података до гране ради смањења оптерећења на ВАН каналу током масовне пријаве корисника.
