Группа Allowed RODC Password Replication Group
Allowed RODC Password Replication Group — это встроенная группа безопасности в операционных системах семейства Microsoft Windows Server, начиная с Windows Server 2008. Она используется в сценариях развёртывания контроллеров домена только для чтения (Read-Only Domain Controller, RODC) для управления тем, какие учётные записи пользователей и компьютеров могут реплицировать свои пароли на данный RODC. Данная группа является частью механизма контроля доступа, обеспечивающего повышенную безопасность в филиалах и удалённых офисах, где физическая защита сервера не гарантирована.
Назначение и принцип работы
Основная функция группы Allowed RODC Password Replication Group — определение списка учётных записей, чьи пароли (хеши) могут быть кэшированы на контроллере домена только для чтения. В отличие от обычного контроллера домена (Read-Write Domain Controller, RWDC), RODC не хранит полную копию базы данных Active Directory. Вместо этого он хранит реплику только для чтения, а пароли пользователей и компьютеров кэшируются выборочно.
По умолчанию ни одна учётная запись не имеет права на кэширование пароля на RODC. Чтобы пользователь или компьютер мог аутентифицироваться на RODC (например, в филиале, где нет связи с центральным офисом), его учётная запись должна быть явно добавлена в группу Allowed RODC Password Replication Group для данного RODC. Если учётная запись не входит в эту группу, RODC не сможет аутентифицировать её при отсутствии связи с RWDC, и запрос будет перенаправлен на контроллер домена с возможностью записи.
Связь с группой Denied RODC Password Replication Group
В дополнение к разрешающей группе существует встроенная группа Denied RODC Password Replication Group. Она содержит учётные записи, которым категорически запрещено кэшировать пароли на любом RODC в домене. По умолчанию в неё входят:
- Все учётные записи с повышенными привилегиями (члены групп Domain Admins, Enterprise Admins, Schema Admins, Administrators, Server Operators, Account Operators, Backup Operators и других).
- Встроенная учётная запись KRBTGT (ключ шифрования Kerberos).
- Учётные записи, относящиеся к группам, перечисленным в политике «Password Replication Policy» (PRP) как запрещённые.
Членство в группе Denied RODC Password Replication Group имеет приоритет над членством в Allowed RODC Password Replication Group. Если учётная запись входит в обе группы, она не сможет кэшировать пароль на RODC.
Политика репликации паролей (Password Replication Policy)
Группы Allowed RODC Password Replication Group и Denied RODC Password Replication Group являются частью более широкой концепции — Password Replication Policy (PRP). PRP — это набор правил, определённых для каждого RODC, который управляет репликацией паролей. PRP состоит из двух списков:
- Allowed list — список учётных записей, чьи пароли могут кэшироваться.
- Denied list — список учётных записей, чьи пароли никогда не будут кэшироваться.
Группа Allowed RODC Password Replication Group является одним из способов управления списком разрешённых. Администратор может добавить в неё конкретные учётные записи пользователей филиала, локальных компьютеров или сервисов, которые должны работать автономно при потере связи с центральным офисом.
Механизм кэширования
Когда RODC получает запрос на аутентификацию, он проверяет, есть ли у него кэшированный пароль для данной учётной записи. Если пароля нет, RODC обращается к RWDC за проверкой подлинности. При успешной аутентификации и при условии, что учётная запись входит в группу Allowed RODC Password Replication Group (или её аналог в PRP), RODC кэширует хеш пароля. В дальнейшем, при повторной аутентификации, RODC может использовать кэшированную копию, даже если связь с RWDC отсутствует.
Управление группой
Группа Allowed RODC Password Replication Group является локальной для каждого RODC. Она не является глобальной группой домена, а создаётся автоматически в контейнере Users на каждом RODC. Управление её составом может осуществляться:
- Через оснастку Active Directory Users and Computers (ADUC) — в свойствах RODC на вкладке Password Replication Policy.
- С помощью командлетов PowerShell, например
Add-ADGroupMemberиRemove-ADGroupMember. - Через групповые политики, если требуется централизованное управление.
Типичные сценарии добавления учётных записей
- Пользователи филиала: Если в филиале работает 10 сотрудников, их учётные записи добавляются в группу Allowed RODC Password Replication Group для соответствующего RODC. Это позволяет им входить в систему и получать доступ к ресурсам даже при временном отсутствии связи с центральным офисом.
- Компьютеры филиала: Учётные записи компьютеров (например,
COMPUTER1$) также могут быть добавлены, чтобы обеспечить аутентификацию машин в домене. - Служебные учётные записи: Если в филиале запущен сервис, работающий под определённой учётной записью, её также можно добавить в группу.
Соображения безопасности
Использование Allowed RODC Password Replication Group является ключевым элементом безопасности RODC. Ограничение числа кэшированных паролей снижает риски в случае компрометации физического сервера. Если злоумышленник получает доступ к RODC, он может извлечь только те хеши паролей, которые были кэшированы. Учётные записи с высокими привилегиями (администраторы домена) по умолчанию не кэшируются, что предотвращает эскалацию привилегий.
Рекомендации по настройке
- Минимизировать количество учётных записей в группе Allowed RODC Password Replication Group.
- Регулярно аудировать состав группы.
- Не добавлять в группу учётные записи с правами администратора домена.
- Использовать политику Password Replication Policy для дополнительной фильтрации.
Примеры использования
- Филиал с ненадёжным каналом связи: В удалённом офисе, где связь с центральным офисом нестабильна, RODC с настроенной группой Allowed RODC Password Replication Group позволяет пользователям продолжать работу.
- Временный офис: При развёртывании временного офиса (например, на выставке или конференции) RODC может быть настроен на кэширование паролей только для ограниченного круга сотрудников.
- Изолированная сеть: В сегменте сети с ограниченным доступом к центральным ресурсам RODC обеспечивает локальную аутентификацию без необходимости полной репликации Active Directory.
Источники
- Microsoft Docs: «Understanding Password Replication Policy for RODC»
- Microsoft Docs: «Allowed RODC Password Replication Group»
- Microsoft TechNet: «Active Directory Replication Model for RODC»
- Windows Server 2008 R2 Help: «Password Replication Policy»
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →