iT邦幫忙

2022 iThome 鐵人賽

DAY 9
2
Security

資安這條路:學習 Active Directory Security系列 第 9

AD Security - [Day9] 一起來學 AD 安全吧!:RODC 唯讀網域控制站(1)

  • 分享至 

  • xImage
  •  

「打給賀,挖西飛飛,今天你要來點 Active Directory Security 嗎?」
以下將 Active Directory 簡稱為 AD

  • 唯讀網域控制站 (Read-Only Domain Controller,RODC)
    • 該控制站內的 AD DS 資料庫 只可被讀取,不可被修改
    • 使用者或應用程式無法直接修改 RODC 的 AD DS 資料庫
  • 該控制站資料庫如何被修改?
    • 需要透過其他可寫式網域控制站複寫過去
  • 誰要使用 RODC
    • 設計給分公司的網路使用,規模較小 使用者較少
    • 主要設計給缺發 IT 網管人員,該架構可避免被破壞影響到 AD DS 運作
  • RODC AD DS 資料庫儲存什麼
    • 儲存 AD DS 網域內的物件與屬性
      • 除了使用者的帳號密碼
      • 應用程式 ---讀取物件---> AD DS 資料庫物件 (RODC 快速取得)
      • 驗證帳號密碼 ---轉送到--> 可寫式網域控制站 進行驗證
  • 單向複寫
    • 可寫式網域控制站 更新 ---> 複寫到 RODC
      • 利用 DFC 分散式檔案系統 將 SYSVOL 資料夾 ---單向複寫---> RODC
        • SYSVOL 儲存群組原則的相關設定
  • 認證快取 Credential Caching
    • 為了加快驗證帳號密碼速度,可以將使用者密碼儲存在 RODC 認證快取區
    • 透過密碼複寫原則 Password Replication Policy 選擇被快取的帳號
    • 是常被攻擊的目標
  • 系統管理員的角色與隔離
    • 可將 RODC 的管理工作委派給使用者,該使用者與系統管理員角色會隔離,因此她可從 RODC 進行登入,但無法執行其他網域管理工作。
  • 唯獨網域名稱系統 Read-Only DNS
    • RODC 也可安裝 DNS 伺服器
    • 複寫伺服器應用程式目錄分割區
    • 使用者 -- DNS 查詢服務 --> DNS 伺服器(安裝在 RODC 內)
    • 不支援動態更新,使用者更新紀錄的要求會被轉介到其他 DNS 伺服器,使用者轉向給其他 DNS 伺服器查詢後,也會自動更新 RODC DNS 紀錄

上一篇
AD Security - [Day8] 一起來學 AD 安全吧!:AD 驗證協定 Kerberos (2)
下一篇
AD Security - [Day10] 一起來學 AD 安全吧!:LDAP(1)
系列文
資安這條路:學習 Active Directory Security33
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言