У свом претходном чланку објаснио сам главне разлоге због којих се Мицрософт одлучио вратити на РОДЦ технологију у систему Виндовс Сервер 2008. Овај чланак наставља серију, а ми ћемо наставити проучавати неке практичне аспекте рада са контролерима домена само за читање..
Корисничке акредитиве
У претходном чланку сам рекао да се све информације о свим корисницима домена не преносе на контролере РОДЦ домена. У ствари, информације о корисничким налозима и даље се чувају на РОДЦ-у; корисничке лозинке једноставно се не копирају на такав контролер домена. А ако неко украде контролер домене из подружнице, неће моћи да користи информације из базе података Ацтиве Дирецтори да би добио корисничке лозинке.
Корисничке атрибуте
По дефаулту су лозинке једини атрибут корисника који се не реплицира у Реадер Онли Цонтроллер. Међутим, могуће је ручно конфигурирати Виндовс како би се спријечило копирање других корисничких атрибута..
У којим се случајевима та функција може користити? Ако Ацтиве Дирецтори користите само као механизам за потврду идентитета, онда му вероватно неће требати. Међутим, имајте на уму да постоје организације које се у великој мери ослањају на базу података Ацтиве Дирецтори, која се не користи само за аутентификацију..
Често у великим организацијама које користе различите корисничке апликације и базе података, да би смањили број грешака и дуплираних корисничких информација, радије користе једно место за смештање свих информација о запосленима (телефонима, адресама, контактима итд.) И сјајно место за ово је Ацтиве Дирецтори.
На пример, знам једну организацију која је развила апликацију за управљање особљем коју користе унутар свог обима. Иако се највећи део података чува у СКЛ бази података, ствари попут имена запослених, позиција, телефонских бројева итд. сачувани у Ацтиве Дирецтори-у као атрибути налога. А у бази података СКЛ Сервер чувају се подаци попут ТИН бројева, информација о платама, а ова база података не садржи имена запослених. Једино што повезује базе података АД и СКЛ је број запослених који је присутан у обе базе података.
Дао сам вам овај пример да појасним да у многим организацијама поверљиве информације могу бити садржане у атрибутима АД корисника. А у случају да такве информације нису потребне у огранку, можете блокирати његову репликацију у регулатору домене огранка.
Још једна карактеристика технологије само за читање домена је да такав контролер може да се конфигурише и као ДНС сервер само за читање. У суштини, то значи да ако нападач добије приступ послужитељу само за читање домена, неће моћи парализовати корпоративни ДНС.
Административна питања
Сигуран сам да до сад имате пуно питања у вези са администрацијом родца. Покушаћу да одмах одговорим на неке од њих.
Како се потврђују идентитети корисника ако контролер домена нема податке о својим лозинкама??
Овде постоји трик. Као што знате, лозинка је повезана и са корисничким налогом и са рачунарским налогом. Подразумевано, Реад Онли Домаин Цонтроллер чува само сопствену лозинку (лозинка рачунарског рачуна) и лозинку за посебан налог под називом „крбтгт“, који користи Керберос протокол.
Јер лозинке се не похрањују локално; сви захтеви за аутентификацију се преусмеравају на уобичајени контролер домена, чије је снимање дозвољено. У случају да желите да се корисници могу пријавити у систем, чак и ако није доступан обичан контролер, морате омогућити функцију кеширања лозинком. Када је омогућено предмеморирање, предмеморија ће похранити лозинке само за оне рачуне који су аутентифицирани на контролеру домене. Чак и ако је контролер вашег домена угрожен, ви од другог контролера увек можете идентификовати оне налоге чије су лозинке спремљене на родц.
Административни рад са родц
У многим филијалама, контролер домена се такође често користи као сервер апликација. А у случају да у таквој канцеларији нема засебног ИТ стручњака, можете именовати некога из канцеларије за администратора родц контролера, а да му не дате администраторска права на цео домен (можете прочитати пост о делегирању управљачких права на родц контролер домена). Дакле, он ће имати права само на локалну администрацију таквог сервера и неће моћи ништа да промени или поквари у Ацтиве Дирецтори-у. Као резултат тога, такав корисник ће имати право да инсталира ажурирања софтвера и извршава друге дневне задатке администрације и одржавања сервера. Додјела некога као администратора само за читање контролера слична је процедури именовања одређеног корисника или групе као локалног администратора за члана или самосталног сервера.
Везе до свих чланака из ове серије:
Рад са контролерима домена само за читање (РОДЦ) (1. део)
Рад са контролером домена само за читање (2. део)
Рад са контролором домена само за читање (део 3)
