Windows | Windows Server | Active directory | Exchange | SharePoint | SCCM | SCOM | Hyper-V | App-V
ACCUEIL Facebook Twitter Linked In Viadeo Flux RSS
Chapitres
8.1 Le rôle du serveur de catalogue global
8.2 Implémentation d’un RODC

Articles suivants

Articles précédents
Nouveautés de Windows Server 2016 CTP2
Histoire de Microsoft et chronologie
Windows 10: Découvrez les nouveautés !
System Center 2012 Orchestrator: Présentation
Optimisation des performances d'un environnement Hyper-V


Publié le : 20/06/2011 16:04:53
Mise à jour le : 11/10/2011 20:16:18
Catégories :


Version imprimable

Auteur(s)

Loïc THOBOIS (Membre depuis le 04/09/2007 17:50:01)
Société : AVAEDOS
Fonction : Consultant / Formateur
Contactez cet auteur - Affichez les ressources de cet auteur

[Active Directory] 8 Implémentation des contrôleurs de domaine (RODC et GC)

8.2 Implémentation d’un RODC

8.2.1 Objectifs d’un RODC (Read-Only Domain Controler)

Active Directory a été conçu pour répondre aux limitations propres à la SAM et NT (3.5 et 4) et en particulier le point unique de défaillance que représentait le PDC.

Dans une infrastructure basée sur Active Directory, tous les serveurs hébergent une copie de l’annuaire accessible en lecture et en écriture.

Le niveau global de sécurité est donc directement lié au niveau de sécurité du contrôleur le plus exposé.

Malgré tout, il est fréquent d’avoir besoin de placer des contrôleurs de domaines dans un environnement non contrôlé (Absence de contrôle d’accès physique, absence d’expertise locale, DMZ, …)

Il faut pour cela limiter la surface d’attaque sur ses serveurs exposés.

La mise en place d’un RODC permet :

  • Le provisionnement centralisé évitant des privilèges élevés aux personnes en charge du déploiement.
  • La réduction de l’impact sur les utilisateurs en cas de compromission ou vol de DC car il ne stocke pas de condensés de mot de passe (hors Administrateur local et compte de machine) et autres attributs sensibles.
  • La réplication unidirectionnelle AD, DFS-R et DNS (Réplication à destination du RODC uniquement).
  • De diminuer les privilèges des machines RODC qui n’appartiennent pas au groupe Domain Controllers ni à aucun des groupes de sécurité sensibles mais à un groupe spécifique Read-Only Domain Controllers.

8.2.2 Mise en place d’un RODC

Un assistant permet de pré-créer les comptes des RODC de manière centralisé.

La fourniture d’un fichier de réponse pour DCPROMO permet d’éviter l’utilisation de privilèges élevés lors de l’installation

Le nombre d’administrateurs du domaine est souvent trop important car la plupart des privilèges ne sont nécessaires que de manière locale (Mises à jours, installation d’applications, de périphériques, …).

Windows Server 2008 fournit un nouveau niveau d’accès “local administrator” pour chaque RODC.

Il intègre tous les Builtin groups (Backup Operators, etc).

Empêche les modifications accidentelles d’Active Directory par les administrateurs locaux

N’empêche pas les modifications intentionnelles de la base locale par les administrateurs locaux

Il peut être configuré via modification de l’attribut “managedBy” de l’objet ordinateur des RODC ou NTDSUTIL et DSMGMT

8.2.3 Politique de réplication des mots de passes

Deux groupes de sécurité définissent la politique de mise en cache :

Denied RODC Password Replication Group

Contient les utilisateurs et groupes dont les condensés des mots de passe ne doivent pas être mis en cache.

Par défaut se groupe contient les groupes « sensibles » tels que Domain Admins et Enterprise Admins

Allowed RODC Password Replication Group

Contient les utilisateurs et groupes dont les condensés peuvent être mis en cache, par défaut se groupe est vide

Pour chaque RODC il est possible de manière centralisé :

  • De connaitre la liste des utilisateurs dont le condensé est stocké en cache
  • De connaitre la liste des utilisateurs ayant été authentifiés
  • De forcer la réplication des condensés de certains utilisateurs (pré-peupler)

Pour chaque utilisateur il est possible de manière centralisée

  • De connaitre la liste des RODC stockant le condensé de son mot de passe

8.2.4 Limitations

Mise en œuvre en environnement Active Directory 2008 minimum.

Le premier DC de la forêt ainsi que de chaque domaine ne peut pas être un RODC

Les FSMO et les serveurs tête de pont (Bridge-head) ne peuvent pas être des RODC

Les DC Windows Server 2003 et 2008 en lecture-écriture et RODC 2008 peuvent coexister au sein du même site.

Plusieurs RODC d’un même domaine ou de différents domaines peuvent coexister au sein du même site.

AD Federation Services, AD Certificate Services, DNS, DHCP, DFS-R, DFS-N, Group Policy, Network Policy Server(Radius)/VPN, System Center Configuration Manager, System Center Operation Manager supportent nativement le mécanisme de RODC. Les applications LDAP au sens large sous réserve qu’elles supportent les Referrals lors d’accès en écriture et soient capables de supporter un échec en écriture en cas d’indisponibilité du lien WAN