Открыть сервис

Read-Only Domain Controller

Read-Only Domain Controller (RODC, контроллер домена только для чтения) — это тип контроллера домена в операционной системе Microsoft Windows Server, который содержит доступную только для чтения копию базы данных Active Directory. В отличие от стандартного (read-write) контроллера домена, RODC не хранит парольные хеши учётных записей пользователей (за исключением специально разрешённых) и не принимает изменения в базу данных Active Directory от клиентов. Основное назначение RODC — обеспечение аутентификации и авторизации в филиалах, удалённых офисах и других местах с пониженным уровнем физической безопасности или ненадёжным сетевым соединением.

История

Концепция контроллера домена только для чтения была впервые представлена корпорацией Microsoft в операционной системе Windows Server 2008. До этого момента все контроллеры домена в среде Active Directory были полнофункциональными и хранили полную копию базы данных, включая все парольные хеши. Это создавало риски в филиалах, где физическая безопасность серверов могла быть недостаточной: в случае кражи или компрометации контроллера злоумышленник получал доступ ко всем учётным данным домена.

RODC был разработан для решения этой проблемы. Он позволяет развернуть контроллер домена в удалённом или небезопасном месте, минимизируя последствия возможной компрометации. Технология была улучшена в последующих версиях Windows Server (2008 R2, 2012, 2012 R2, 2016, 2019, 2022), но основные принципы работы остались неизменными.

Архитектура и принцип работы

RODC работает на основе репликации данных из основного (read-write) контроллера домена. Он получает обновления из Active Directory, но не реплицирует изменения обратно. Клиенты могут использовать RODC для аутентификации, но не могут вносить изменения в домен (например, менять пароли, создавать учётные записи) через этот контроллер.

База данных только для чтения

База данных Active Directory на RODC является точной копией данных из основного домена, но с ограничением на запись. Все изменения, инициированные клиентами (например, смена пароля пользователя), перенаправляются на доступный для записи контроллер домена. После успешного применения изменения реплицируются на RODC.

Кэширование паролей

Ключевая особенность RODC — выборочное кэширование паролей. По умолчанию RODC не хранит парольные хеши ни для одной учётной записи, кроме собственной учётной записи компьютера и учётной записи KRBTGT (специальной учётной записи для репликации). Это означает, что при аутентификации пользователя, чей пароль не кэширован, RODC должен обратиться к доступному для записи контроллеру домена через сетевое соединение. Если соединение недоступно, аутентификация такого пользователя невозможна.

Администратор может явно разрешить кэширование паролей для определённых учётных записей (например, для сотрудников филиала). Для этого используется группа «Разрешённые для кэширования паролей на RODC» (Allowed RODC Password Replication Group). Парольные хеши таких учётных записей будут храниться на RODC, что позволяет проходить аутентификацию даже при отсутствии связи с основным офисом.

Администрирование и управление

RODC поддерживает возможность делегирования административных прав локальным пользователям, не являющимся членами группы «Администраторы домена». Можно назначить локального администратора для RODC, который будет иметь права на управление только этим конкретным контроллером, без доступа к другим ресурсам домена. Это удобно для филиалов, где нет штатного ИТ-специалиста.

Преимущества и недостатки

Преимущества

Недостатки

Применение

RODC чаще всего используется в следующих сценариях:

Требования к развёртыванию

Для развёртывания RODC необходимо выполнение следующих условий:

Интересные факты

Критика

Основная критика RODC связана с его ограниченной функциональностью в условиях полной потери связи с основным офисом. Если пароль пользователя не кэширован, он не сможет войти в систему, даже если RODC физически доступен. Это может привести к серьёзным проблемам в филиалах с нестабильной связью. Кроме того, некоторые администраторы отмечают сложность настройки кэширования паролей для больших организаций с множеством филиалов, где необходимо точно определить, какие учётные записи должны быть доступны локально.

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →