技術問答
技術文章
iT 徵才
Tag
聊天室
2025 鐵人賽
登入/註冊
問答
文章
Tag
邦友
鐵人賽
搜尋
2022 iThome 鐵人賽
DAY
9
2
Security
資安這條路:學習 Active Directory Security
系列 第
9
篇
AD Security - [Day9] 一起來學 AD 安全吧!:RODC 唯讀網域控制站(1)
14th鐵人賽
飛飛
團隊
那團名要叫什麼?
2022-09-24 23:44:53
5563 瀏覽
分享至
「打給賀,挖西飛飛,今天你要來點 Active Directory Security 嗎?」
以下將 Active Directory 簡稱為 AD
唯讀網域控制站 (Read-Only Domain Controller,RODC)
該控制站內的 AD DS 資料庫
只可被讀取,不可被修改
使用者或應用程式無法直接修改 RODC 的 AD DS 資料庫
該控制站資料庫如何被修改?
需要透過其他
可寫式網域控制站
複寫過去
誰要使用 RODC
設計給分公司的網路使用,規模較小 使用者較少
主要設計給缺發 IT 網管人員,該架構可避免被破壞影響到 AD DS 運作
RODC AD DS 資料庫儲存什麼
儲存 AD DS 網域內的物件與屬性
除了使用者的帳號密碼
應用程式 ---讀取物件---> AD DS 資料庫物件 (RODC 快速取得)
驗證帳號密碼 ---轉送到--> 可寫式網域控制站 進行驗證
單向複寫
可寫式網域控制站
更新
---> 複寫到 RODC
利用 DFC 分散式檔案系統 將 SYSVOL 資料夾 ---單向複寫---> RODC
SYSVOL 儲存群組原則的相關設定
認證快取 Credential Caching
為了加快驗證帳號密碼速度,可以將使用者密碼儲存在 RODC 認證快取區
透過密碼複寫原則 Password Replication Policy 選擇被快取的帳號
是常被攻擊的目標
系統管理員的角色與隔離
可將 RODC 的管理工作委派給使用者,該使用者與系統管理員角色會隔離,因此她可從 RODC 進行登入,但無法執行其他網域管理工作。
唯獨網域名稱系統 Read-Only DNS
RODC 也可安裝 DNS 伺服器
複寫伺服器應用程式目錄分割區
使用者 -- DNS 查詢服務 --> DNS 伺服器(安裝在 RODC 內)
不支援動態更新,使用者更新紀錄的要求會被轉介到其他 DNS 伺服器,使用者轉向給其他 DNS 伺服器查詢後,也會自動更新 RODC DNS 紀錄
留言
追蹤
檢舉
上一篇
AD Security - [Day8] 一起來學 AD 安全吧!:AD 驗證協定 Kerberos (2)
下一篇
AD Security - [Day10] 一起來學 AD 安全吧!:LDAP(1)
系列文
資安這條路:學習 Active Directory Security
共
33
篇
目錄
RSS系列文
訂閱系列文
60
人訂閱
29
AD Security - [Day29] 一起來學 AD 安全吧!: 整理 Credential Request 相關手法與該監控的 Event ID
30
AD Security - [Day30] 一起來學 AD 安全吧!: Active Directory Object Access
31
AD Security - [Day31] 一起來學 AD 安全吧!: Active Directory: Active Directory Object Deletion
32
AD Security - [Day32] 一起來學 AD 安全吧!: Active Directory: Active Directory Object Creation、DCShadow 手法
33
AD Security - [Day33] 一起來學 AD 安全吧!: Active Directory Object Modification(1)- SID-History injection
完整目錄
熱門推薦
{{ item.subject }}
{{ item.channelVendor }}
|
{{ item.webinarstarted }}
|
{{ formatDate(item.duration) }}
直播中
立即報名
尚未有邦友留言
立即登入留言
iThome鐵人賽
參賽組數
902
組
團體組數
37
組
累計文章數
11031
篇
完賽人數
105
人
看影片追技術
看更多
{{ item.subject }}
{{ item.channelVendor }}
|
{{ formatDate(item.duration) }}
直播中
熱門tag
看更多
15th鐵人賽
16th鐵人賽
13th鐵人賽
14th鐵人賽
12th鐵人賽
11th鐵人賽
鐵人賽
17th鐵人賽
2019鐵人賽
javascript
2018鐵人賽
python
2017鐵人賽
windows
php
c#
windows server
linux
css
react
熱門問題
Esxi 8.0版本上的虛擬機器, 安裝的作業系統是Windows Server 2025, 確定輸入的密碼是正確的, 無法登入(顯示密碼錯誤)
HP iLo Advanced trial license
在線求大神,千奧軟體主機怎麼安裝
因為網路磁碟的關係造成系統自動重新開機
Docker Compose 建立 GitLab 容器,執行器 Runner 運行流水線問題
windows server無法使用gpedit.msc
Java證照題目(main() method)
iatf16949資訊稽核
iatf16949資訊稽核內容
微軟更新重開機很久
熱門回答
iatf16949資訊稽核
Esxi 8.0版本上的虛擬機器, 安裝的作業系統是Windows Server 2025, 確定輸入的密碼是正確的, 無法登入(顯示密碼錯誤)
因為網路磁碟的關係造成系統自動重新開機
windows server無法使用gpedit.msc
iatf16949資訊稽核內容
熱門文章
第4天,Cloudflare Public DNS 與 WARP / 滷小小 美味的滷味 | 30天板橋湳雅夜市
第5天,數位憑證的格式 PEM、DER / 小辣椒魷魚羹(台北萬華)| 30天滷肉飯
Day 17- 分離關注點:設定與主要邏輯分開
第5天,Cloudflare 的費用 / 潤餅捲 | 30天板橋湳雅夜市
[為你自己學 n8n] 第 5 天,JSON 不是人名!搞懂自動化的基礎語言!
IT邦幫忙
×
標記使用者
輸入對方的帳號或暱稱
Loading
找不到結果。
標記
{{ result.label }}
{{ result.account }}