Configurando a Diretiva de Replicação de Senha (PRP) – Password Replication Policy

Publicado em:
02/06/2011

Fonte: http://www.linhadecodigo.com.br

 

 

Se um RODC puder armazenar em cache as credenciais de um usuário, as atividades de autenticação e de tíquete de serviço desse usuário poderão ser processadas pelo RODC.

A utilização de RODC (Controlador de Domínio Somente Leitura) em localidades remotas aumenta o nível de segurança com relação ao serviço de diretório (AD DS). O RODC mantém uma cópia de todos os objetos do AD DS, exceto segredos como propriedades relacionadas com senha. Quando um usuário em uma filial que tem um RODC efetua o logon, o RODC encaminha a solicitação para um DC gravável no site central.

Nas propriedades da conta de computador do RODC temos dois atributos, o Allowed List e o Denied List. Se a conta de um usuário estiver armazenada na Allowed List, as credenciais desse usuário serão armazenadas em cache. Se a conta de um usuário estiver armazenada na Denied List, as credenciais desse usuário não serão armazenadas em cache.

Para facilitar o gerenciamento do PRP, o Windows Server 2008 cria dois grupos no contêiner Users do Active Directory and Users Computers:

Allowed RODC Password Replication Group: esse grupo é adicionado a Allowed List de todos os RODC’s em todos os sites. E por padrão esse grupo não tem membros.

Denied RODC Password Replication Group: esse grupo é adicionado a Denied List de todos os RODC’s em todos os sites. E por padrão tem como membros alguns objetos sensíveis à segurança, como por exemplo, o grupo Domain Admins.

Neste artigo vou mostrar como adicionar um grupo a Alowed List de um RODC específico, desta forma, os usuários que estiverem dentro do grupo terão suas senhas armazenadas no RODC, e desta forma, o RODC fará a autenticação desses usuários. Vamos a configuração:

1 – Como mostra a imagem abaixo, no meu domínio tenho dois DC’s, um na matriz e um RODC na filial.

2 – Tenho uma OU para a Filial, e nela tenho algumas contas de usuário e um grupo.

3 – A imagem abaixo mostra os membros do grupo, os membros desse grupo poderão ter suas credenciais armazenadas em cache no RODC.

4 – No contêiner Users temos os dois grupos que são adicionados a Allowed List e Denied List dos RODC’s.

5 – A imagem abaixo mostra as propriedades dos dois grupos, o grupo Allowed RODC Password Replication Group não possui membros, já o grupo Denied RODC Password Replication Group tem como membros grupos sensíveis a segurança, é recomendável adicionar o grupo DNS Admins a esse grupo.

Para que um usuário tenha suas credenciais armazenadas em todos os RODC’s do domínio adicione sua conta ou o grupo no qual ele é membro ao grupo Allowed RODC Password Replication Group. Agora se você não quer que as credenciais  da conta seja armazenada nos RODC’s do domínio, adicione a conta ou grupo no qual a conta é membro ao grupo Denied RODC Password Replication Group.

6 – Vou adicionar o grupo criado na OU da filial a Allowed List de um único RODC, desta forma, os membros desse grupo terão suas credenciais armazenadas a um RODC específico, e não a todos os RODC’s do domínio.

7 – Abra as propriedades do RODC no qual você quer armazenar as credenciais. Clique na guia Password Replication Policy.

Note que esta guia mostra os grupos adicionados a Allowed List e Denied List.

Clique em adicionar.

8 – Marque Allow passwords for the account to replicate to this RODC, clique em OK.

9 – Adicione o grupo que contém as contas cujas credenciais serão armazenadas no RODC, no meu caso adicionei o grupo criado na OU da minha Filial.

Para que as credenciais de um usuário sejam armazenadas no RODC, primeiro é necessário que este usuário seja autenticado por um DC gravável. O RODC solicitará a um DC gravável que autentique o usuário, o RODC verificará a Allowed List e Denied List, se a conta do usuário estiver na Allowed List, o RODC armazenará suas credenciais.

10 – Faça logon em computador da filial com a conta de um usuário cuja conta é membro do grupo que foi adicionado a Allowed List.

11 – Agora verificaremos se as credenciais do usuário realmente foram armazenadas no RODC da filial.

Para isso vá a um DC gravável do seu domínio e abra as propriedades do RODC da filial. Clique na guia Password Replication Policy, clique em Advanced.

12 – Note que a conta do usuário já aparece na guia Policy Usage, e isso significa que o RODC armazenou as credenciais desse usuário em cache, e de agora em diante o RODC será o responsável pela autenticação e processamento do tíquete de serviço desse usuário.

Simples não é!

13 – Agora mostrarei como enviar as credenciais de um usuário para que o RODC armazene em cache, e assim no primeiro logon do usuário o RODC já o autenticará.

Ainda na guia Password Replication Policy, clique em Add.

14 – Marque Allow passwords for the account to replicate to this RODC, clique em OK.

15 – Selecione o usuário e clique em OK.

16 – Clique em Advanced.

17 – Clique em Prepopulate Passwords.

18 – Novamente selecione o usuário.

19 – Clique em Yes.

20 – Note que na guia Policy Usage já aparece a conta do usuário selecionado, ou seja, o RODC já armazenou as credenciais desse usuário e partir de agora será o responsável pela autenticação e processamento do tíquete de serviço desse usuário.

Espero ter ajudado vocês a entenderem o processo

[  ]’s

Referências:

http://technet.microsoft.com/pt-br/library/cc753470%28WS.10%29.aspx

http://technet.microsoft.com/pt-br/library/cc730883%28WS.10%29.aspx

http://technet.microsoft.com/pt-br/library/cc732801%28WS.10%29.aspx

Anúncios

Instalando o RODC no Windows Server 2008

Publicado em:
02/06/2011

Fonte: https://fabiozibiani.wordpress.com

Este artigo aplica-se aos seguintes produtos e tecnologias:

  • Windows Server     2008

Introdução

Neste Artigo  irei explicar a nova função de Domain Controller no Windows Server 2008, onde temos o RODC (Read Only Domain Controller), controlador de domínio “sem poder” de escrita no Active Directory. Vamos conhecer todo processo de instalação e configuração do RODC.

1 – CONSIDERAÇÕES SOBRE O RODC

2 –  PREPARANDO A FLORESTA PARA O RODC

3 –  INSTALANDO O RODC DENTRO DA FLORESTA 2003

4 – CONCLUSÃO

1 – CONSIDERAÇÕES SOBRE O RODC

Algumas considerações tem de ser feitas sobre o RODC, abaixo descrevemos cada uma delas:

1.1   – Preparação da Floresta para o RODC

Para instalarmos o RODC o primeiro passo a ser feito e utilizar a preparação da floresta utilizando o comando demonstrado abaixo:

  • Adprep /rodcprep (Disponível no DVD de Instalação do produto)

1.2   – Domain Controller e GC em 2008:

O RODC exige que pelo menos um DC esteja em modo 2008 com Global Catalog 2008. Não é possível instalar em uma nova floresta o RODC como o primeiro DC da floresta

1.3   – Replicação de Dados :

A replicação de dados entre o RODC e o Dc da floresta conhecido como “Parent DC” pode ser escolhida, assim, você tem a possibilidade de escolher com quais DC`s você quer replicar o seu RODC.

1.4   – Cache de Password de usuários:

A função de RODC não faz cache de password por default dos usuários do domínio, porém você pode habilitar o RODC para ter os passwords dos usuários autenticados, no caso de uma falha de conexão.

O RODC possui sua própria conta KDC KrbTGT para providenciar autenticação

1.5   – Promoção de DC em RODC:

Não existe a possibilidade de você promover um DC normal em RODC, primeiro será necessário despromover o DC para promovê-lo como RODC. Os RODC`s não fazem parte dos grupos Enterprise-DC ou Domain-DC e tem permissões limitadas para gravação de dados na base do AD.

1.6   – Read Only Partial Attribute Set:

Esta Opção previne que credenciais de programas sejam gravadas dentro do RODC

2 – PREPARANDO A FLORESTA PARA O RODC

Todo o processo de instalação do RODC só é possível a partir do momento que estendemos o Schema do Active Directory, assim o domínio reconhecerá que as features do RODC poderão ser utilizadas na instalação do DC.

O Comando utilizado é ADPREP.exe /RODCPrep, segue na Figura1 abaixo:

 

Figura1 – Adprep para RODC

O resultado do comando da Figura1, vai gerar a Figura2, com os dados demonstrados da comitação de informação dentro do Schema do Active Directory.

 

Figura2 – Contexto do Adprep em Command Prompt

3 – INSTALANDO O RODC DENTRO DA FLORESTA 2003

Após esta preparação citada na Figura2, temos a oportunidade de iniciar a instalação de nosso RODC, lembrando que para isto, basta clicar em RUN dentro do menu Start e digitar o comando DCPROMO.

Em seguida aparecerá a tela da Figura3, não esqueça de marcar a opção “Use Advanced Mode Installation”, em seguida clique em Next.


Figura3 – Utilizando o modo de Instalação Avançado

Na Figura4 podemos ver a tela de Aviso de compatibilidade, vale lembrar que a leitura das informações nesta tela ressaltam a operação que esta sendo feita e suas modificações no ambiente.


Figura4– Tela de Compatibilidade

Temos agora a opção de Criarmos “um novo domínio na mesma floresta”, “Criar um novo domínio e nova Floresta”e a opção que marcaremos é “Existing Forest – Add a Domain Controller…”, assim vamos adicionar um DC dentro da mesma floresta conhecida como Shequinah.net, demonstrado na Figura6 conforme segue.


Figura5– Tela de Deploy “Existing Forest”



Figura6– Tela de verificação de domínio

Abaixo na Figura7, podemos executar a promoção com credenciais diferentes da que estamos logados.

Figura7– Alterando as credenciais para instalação

A tela da Figura8 demonstra os domínios encontrados, vamos confirmar a opção pelo domínio Shequinah.net.


Figura8– Tela de verificação de Domínios

Esta nova etapa de instalação do DC no Windows 2008, poupa trabalho e agiliza a entrada de novos DC`s nos sites ao qual eles irão gerenciar, escolha o site ao qual este DC novo irá participar na tela demonstrada na Figura9, após isto clique em Next.


Figura9– Tela de Sites and Service

A Figura10 também nos mostra outra novidade, que é a possibilidade de marcar na instalação a opção de Global Catalog e também de RODC, lembrando que a opção de RODC, apenas irá aparecer na promoção do 2º DC do domínio, para o primeiro DC do domínio a opção é desativada.


Figura10– Escolha o RODC

Ao marcarmos a opção de RODC conforme Figura10, em seguida recebemos a tela da Figura11 onde podemos sincronizar os passwords dos usuários do RODC.


Figura11– Password Replication

Na Tela da Figura12, podemos delegar o poder de instalação e de gerenciamento a um grupo específico dentro do RODC.


Figura12– Tela de Delegação de Grupos

Em muitos cenários temos o link entre as filiais de empresas com baixa velocidade, para isto a replicação na instalação de um novo DC, poderia levar horas e horas para ser finalizada, a Figura13 nos mostra a opção de instalarmos este RODC, com um backup de System State de outro DC, após a instalação o período de replicação de informações que acontece igual a Figura18, será apenas das diferenças do backup para o dia atual.


Figura13– Tela de escolha de replicação de dados

Podemos escolher com qual DC nosso RODC irá replicar e buscar a sincronização de contas e passwords, segue abaixo na Figura14.


Figura14– Tela de escolha do Parent DC

Quase ao final, marcamos o local onde serão gravados os Logs, Base e Pasta Sysvol do RODC, conforme demonstrado na Figura15.


Figura15– Tela de Diretórios de Instalação

Não podemos esquecer de documentar a Senha colocada na Figura16. Esta senha será utilizada no momento de manutenção do Active Directory ou em caso de disaster recovery.


Figura16– Tela de Directory Services Restore Mode

Ao Final verifique a opção Export Settings. Em caso de necessidade de instalação através de um Unattend Installation, basta clicar no botão Export Settings para ver o resultado de suas configurações. Segue exemplo no Quadro1.


Figura17– Tela Summary com resumo de opções

Na Figura18 a replicação do Active Directory esta sendo feita, caso tenha optado por fazer uma instalação baseada em Backup do System State, neste momento o Wizard apenas sincronizará a diferença do NTDS entre o Backup e o dia atual.


Figura18– Tela de replicação entre o RODC e o Parent DC

Quadro1 –  Configurações Unattend para RODC

; DCPROMO unattend file (automatically generated  by dcpromo)

; Usage:  dcpromo.exe  /unattend:C:\Users\Administrator\Desktop\RODC – Unnatend.txt

; You may need to fill in password fields prior to  using the unattend file,  If you leave the values for “Password”  and/or “DNSDelegationPassword”

; as “*”, then you will be asked for  credentials at runtime.

[DCInstall]

; Read-Only Replica DC promotion

ReplicaOrNewDomain=ReadOnlyReplica

ReplicaDomainDNSName=shequinah.net

; RODC Password Replication Policy

PasswordReplicationDenied=”BUILTIN\Administrators”

PasswordReplicationDenied=”BUILTIN\Server  Operators”

PasswordReplicationDenied=”BUILTIN\Backup  Operators”

PasswordReplicationDenied=”BUILTIN\Account  Operators”

PasswordReplicationDenied=”SHEQUINAH\Denied  RODC Password Replication Group”

PasswordReplicationAllowed=”SHEQUINAH\Allowed  RODC Password Replication Group”

PasswordReplicationAllowed=”SHEQUINAH\RODC-Site1″

DelegatedAdmin=”SHEQUINAH\G-RODC-Site1″

SiteName=Default-First-Site-Name

InstallDNS=Yes

ConfirmGc=Yes

CreateDNSDelegation=No

UserDomain=shequinah.net

UserName=shequinah.net\administrator

Password=*

ReplicationSourceDC=DC01.shequinah.net

DatabasePath=”C:\Windows\NTDS”

LogPath=”C:\Windows\NTDS”

SYSVOLPath=”C:\Windows\SYSVOL”

; Set SafeModeAdminPassword to the correct value  prior to using the unattend file

SafeModeAdminPassword=

; Run-time flags (optional)

;  CriticalReplicationOnly=Yes

;  RebootOnCompletion=Yes

Quadro1 – Unattend File para Instalação de um RODC

Basta clicar em “Finish”conforme imagem da Figura19 para que o seu RODC entre em atividade no seu domínio, em seguida confirme para reiniciar conforme a Figura20, após o boot o RODC estará pronto para ser utilizado.


Figura19– Finalizando a instalação


Figura20– Finalizando a instalação

4 – CONCLUSÃO

Neste tutorial aprendemos o que é o RODC e também todos os processos desde a preparação do ambiente até o momento de instalação do RODC, vale ressaltar também que todo RODC, tem poder de escrita limitado no Active Directory e não é um novo tipo de BDC (Backup Domain Controller).

Espero ter ajudado a entender o processo.

[  ]’s