Открыть сервис

Группа Allowed RODC Password Replication Group

Allowed RODC Password Replication Group — это встроенная группа безопасности в операционных системах семейства Microsoft Windows Server, начиная с Windows Server 2008. Она используется в сценариях развёртывания контроллеров домена только для чтения (Read-Only Domain Controller, RODC) для управления тем, какие учётные записи пользователей и компьютеров могут реплицировать свои пароли на данный RODC. Данная группа является частью механизма контроля доступа, обеспечивающего повышенную безопасность в филиалах и удалённых офисах, где физическая защита сервера не гарантирована.

Назначение и принцип работы

Основная функция группы Allowed RODC Password Replication Group — определение списка учётных записей, чьи пароли (хеши) могут быть кэшированы на контроллере домена только для чтения. В отличие от обычного контроллера домена (Read-Write Domain Controller, RWDC), RODC не хранит полную копию базы данных Active Directory. Вместо этого он хранит реплику только для чтения, а пароли пользователей и компьютеров кэшируются выборочно.

По умолчанию ни одна учётная запись не имеет права на кэширование пароля на RODC. Чтобы пользователь или компьютер мог аутентифицироваться на RODC (например, в филиале, где нет связи с центральным офисом), его учётная запись должна быть явно добавлена в группу Allowed RODC Password Replication Group для данного RODC. Если учётная запись не входит в эту группу, RODC не сможет аутентифицировать её при отсутствии связи с RWDC, и запрос будет перенаправлен на контроллер домена с возможностью записи.

Связь с группой Denied RODC Password Replication Group

В дополнение к разрешающей группе существует встроенная группа Denied RODC Password Replication Group. Она содержит учётные записи, которым категорически запрещено кэшировать пароли на любом RODC в домене. По умолчанию в неё входят:

  • Все учётные записи с повышенными привилегиями (члены групп Domain Admins, Enterprise Admins, Schema Admins, Administrators, Server Operators, Account Operators, Backup Operators и других).
  • Встроенная учётная запись KRBTGT (ключ шифрования Kerberos).
  • Учётные записи, относящиеся к группам, перечисленным в политике «Password Replication Policy» (PRP) как запрещённые.

Членство в группе Denied RODC Password Replication Group имеет приоритет над членством в Allowed RODC Password Replication Group. Если учётная запись входит в обе группы, она не сможет кэшировать пароль на RODC.

Политика репликации паролей (Password Replication Policy)

Группы Allowed RODC Password Replication Group и Denied RODC Password Replication Group являются частью более широкой концепции — Password Replication Policy (PRP). PRP — это набор правил, определённых для каждого RODC, который управляет репликацией паролей. PRP состоит из двух списков:

  • Allowed listсписок учётных записей, чьи пароли могут кэшироваться.
  • Denied list — список учётных записей, чьи пароли никогда не будут кэшироваться.

Группа Allowed RODC Password Replication Group является одним из способов управления списком разрешённых. Администратор может добавить в неё конкретные учётные записи пользователей филиала, локальных компьютеров или сервисов, которые должны работать автономно при потере связи с центральным офисом.

Механизм кэширования

Когда RODC получает запрос на аутентификацию, он проверяет, есть ли у него кэшированный пароль для данной учётной записи. Если пароля нет, RODC обращается к RWDC за проверкой подлинности. При успешной аутентификации и при условии, что учётная запись входит в группу Allowed RODC Password Replication Group (или её аналог в PRP), RODC кэширует хеш пароля. В дальнейшем, при повторной аутентификации, RODC может использовать кэшированную копию, даже если связь с RWDC отсутствует.

Управление группой

Группа Allowed RODC Password Replication Group является локальной для каждого RODC. Она не является глобальной группой домена, а создаётся автоматически в контейнере Users на каждом RODC. Управление её составом может осуществляться:

  • Через оснастку Active Directory Users and Computers (ADUC) — в свойствах RODC на вкладке Password Replication Policy.
  • С помощью командлетов PowerShell, например Add-ADGroupMember и Remove-ADGroupMember.
  • Через групповые политики, если требуется централизованное управление.

Типичные сценарии добавления учётных записей

  1. Пользователи филиала: Если в филиале работает 10 сотрудников, их учётные записи добавляются в группу Allowed RODC Password Replication Group для соответствующего RODC. Это позволяет им входить в систему и получать доступ к ресурсам даже при временном отсутствии связи с центральным офисом.
  2. Компьютеры филиала: Учётные записи компьютеров (например, COMPUTER1$) также могут быть добавлены, чтобы обеспечить аутентификацию машин в домене.
  3. Служебные учётные записи: Если в филиале запущен сервис, работающий под определённой учётной записью, её также можно добавить в группу.

Соображения безопасности

Использование Allowed RODC Password Replication Group является ключевым элементом безопасности RODC. Ограничение числа кэшированных паролей снижает риски в случае компрометации физического сервера. Если злоумышленник получает доступ к RODC, он может извлечь только те хеши паролей, которые были кэшированы. Учётные записи с высокими привилегиями (администраторы домена) по умолчанию не кэшируются, что предотвращает эскалацию привилегий.

Рекомендации по настройке

  • Минимизировать количество учётных записей в группе Allowed RODC Password Replication Group.
  • Регулярно аудировать состав группы.
  • Не добавлять в группу учётные записи с правами администратора домена.
  • Использовать политику Password Replication Policy для дополнительной фильтрации.

Примеры использования

  • Филиал с ненадёжным каналом связи: В удалённом офисе, где связь с центральным офисом нестабильна, RODC с настроенной группой Allowed RODC Password Replication Group позволяет пользователям продолжать работу.
  • Временный офис: При развёртывании временного офиса (например, на выставке или конференции) RODC может быть настроен на кэширование паролей только для ограниченного круга сотрудников.
  • Изолированная сеть: В сегменте сети с ограниченным доступом к центральным ресурсам RODC обеспечивает локальную аутентификацию без необходимости полной репликации Active Directory.

Источники

  • Microsoft Docs: «Understanding Password Replication Policy for RODC»
  • Microsoft Docs: «Allowed RODC Password Replication Group»
  • Microsoft TechNet: «Active Directory Replication Model for RODC»
  • Windows Server 2008 R2 Help: «Password Replication Policy»

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →