Configurando a Diretiva de Replicação de Senha (PRP) – Password Replication Policy

Publicado em:
02/06/2011

Fonte: http://www.linhadecodigo.com.br

 

 

Se um RODC puder armazenar em cache as credenciais de um usuário, as atividades de autenticação e de tíquete de serviço desse usuário poderão ser processadas pelo RODC.

A utilização de RODC (Controlador de Domínio Somente Leitura) em localidades remotas aumenta o nível de segurança com relação ao serviço de diretório (AD DS). O RODC mantém uma cópia de todos os objetos do AD DS, exceto segredos como propriedades relacionadas com senha. Quando um usuário em uma filial que tem um RODC efetua o logon, o RODC encaminha a solicitação para um DC gravável no site central.

Nas propriedades da conta de computador do RODC temos dois atributos, o Allowed List e o Denied List. Se a conta de um usuário estiver armazenada na Allowed List, as credenciais desse usuário serão armazenadas em cache. Se a conta de um usuário estiver armazenada na Denied List, as credenciais desse usuário não serão armazenadas em cache.

Para facilitar o gerenciamento do PRP, o Windows Server 2008 cria dois grupos no contêiner Users do Active Directory and Users Computers:

Allowed RODC Password Replication Group: esse grupo é adicionado a Allowed List de todos os RODC’s em todos os sites. E por padrão esse grupo não tem membros.

Denied RODC Password Replication Group: esse grupo é adicionado a Denied List de todos os RODC’s em todos os sites. E por padrão tem como membros alguns objetos sensíveis à segurança, como por exemplo, o grupo Domain Admins.

Neste artigo vou mostrar como adicionar um grupo a Alowed List de um RODC específico, desta forma, os usuários que estiverem dentro do grupo terão suas senhas armazenadas no RODC, e desta forma, o RODC fará a autenticação desses usuários. Vamos a configuração:

1 – Como mostra a imagem abaixo, no meu domínio tenho dois DC’s, um na matriz e um RODC na filial.

2 – Tenho uma OU para a Filial, e nela tenho algumas contas de usuário e um grupo.

3 – A imagem abaixo mostra os membros do grupo, os membros desse grupo poderão ter suas credenciais armazenadas em cache no RODC.

4 – No contêiner Users temos os dois grupos que são adicionados a Allowed List e Denied List dos RODC’s.

5 – A imagem abaixo mostra as propriedades dos dois grupos, o grupo Allowed RODC Password Replication Group não possui membros, já o grupo Denied RODC Password Replication Group tem como membros grupos sensíveis a segurança, é recomendável adicionar o grupo DNS Admins a esse grupo.

Para que um usuário tenha suas credenciais armazenadas em todos os RODC’s do domínio adicione sua conta ou o grupo no qual ele é membro ao grupo Allowed RODC Password Replication Group. Agora se você não quer que as credenciais  da conta seja armazenada nos RODC’s do domínio, adicione a conta ou grupo no qual a conta é membro ao grupo Denied RODC Password Replication Group.

6 – Vou adicionar o grupo criado na OU da filial a Allowed List de um único RODC, desta forma, os membros desse grupo terão suas credenciais armazenadas a um RODC específico, e não a todos os RODC’s do domínio.

7 – Abra as propriedades do RODC no qual você quer armazenar as credenciais. Clique na guia Password Replication Policy.

Note que esta guia mostra os grupos adicionados a Allowed List e Denied List.

Clique em adicionar.

8 – Marque Allow passwords for the account to replicate to this RODC, clique em OK.

9 – Adicione o grupo que contém as contas cujas credenciais serão armazenadas no RODC, no meu caso adicionei o grupo criado na OU da minha Filial.

Para que as credenciais de um usuário sejam armazenadas no RODC, primeiro é necessário que este usuário seja autenticado por um DC gravável. O RODC solicitará a um DC gravável que autentique o usuário, o RODC verificará a Allowed List e Denied List, se a conta do usuário estiver na Allowed List, o RODC armazenará suas credenciais.

10 – Faça logon em computador da filial com a conta de um usuário cuja conta é membro do grupo que foi adicionado a Allowed List.

11 – Agora verificaremos se as credenciais do usuário realmente foram armazenadas no RODC da filial.

Para isso vá a um DC gravável do seu domínio e abra as propriedades do RODC da filial. Clique na guia Password Replication Policy, clique em Advanced.

12 – Note que a conta do usuário já aparece na guia Policy Usage, e isso significa que o RODC armazenou as credenciais desse usuário em cache, e de agora em diante o RODC será o responsável pela autenticação e processamento do tíquete de serviço desse usuário.

Simples não é!

13 – Agora mostrarei como enviar as credenciais de um usuário para que o RODC armazene em cache, e assim no primeiro logon do usuário o RODC já o autenticará.

Ainda na guia Password Replication Policy, clique em Add.

14 – Marque Allow passwords for the account to replicate to this RODC, clique em OK.

15 – Selecione o usuário e clique em OK.

16 – Clique em Advanced.

17 – Clique em Prepopulate Passwords.

18 – Novamente selecione o usuário.

19 – Clique em Yes.

20 – Note que na guia Policy Usage já aparece a conta do usuário selecionado, ou seja, o RODC já armazenou as credenciais desse usuário e partir de agora será o responsável pela autenticação e processamento do tíquete de serviço desse usuário.

Espero ter ajudado vocês a entenderem o processo

[  ]’s

Referências:

http://technet.microsoft.com/pt-br/library/cc753470%28WS.10%29.aspx

http://technet.microsoft.com/pt-br/library/cc730883%28WS.10%29.aspx

http://technet.microsoft.com/pt-br/library/cc732801%28WS.10%29.aspx

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s