这项特性提供了什么新功能?
RODC处理了在分支机构中的普遍问题。这些地方也许没有域控制器。或者他们有可写的域控制器但是没有足够的物理安全,网络带宽以及专门的技术人员来提供支持。下面的RODC的功能缓解了这些问题:
●只读活动目录数据库
●单向复制
●凭据缓存
●管理员角色分割
●只读DNS
●只读活动目录数据库
除了账户密码之外,RODC拥有所有可写域控制器拥有的对象和属性。然而,无法针对储存在RODC的数据库进行任何数据上的改变。数据上的改变必须在可写域控制器上进行然后复制回RODC。
请求获得目录读取权限的本地程序能够获得访问许可。当使用轻型目录访问协议(LDAP)的程序请求写入权限时将会收到“referral”应答。在枢纽站点中,通常情况下这些应答将写入请求引导到可写的域控制器。
RODC已筛选属性集
使用AD DS作为数据存储的某些程序,也许会将类似信任凭据的数据(诸如密码,信任凭据,加密密钥)储存在RODC上。而你不想将这些数据储存在RODC上是因为考虑到RODC受到安全威胁的情况。
为了这些程序。你可以在架构中动态配置不被复制到RODC的域对象的属性集。这个属性集被称为RODC已筛选属性集。在RODC已筛选属性集定义的属性不允许复制到森林内的任何一台RODC。
威胁到RODC的恶意用户能够以某种途径尝试配置RODC,并尝试将RODC已筛选属性集中定义的属性复制到其它域控制器。如果RODC尝试从一台安装Windows Server 2008的域控制器上复制这些属性,那么复制请求将被拒绝。然而,如果RODC尝试从一台安装Windows Server 2003的域控制器上复制这些属性,复制请求将被接受。
因此,作为安全性的预防措施,如果你想配置RODC已筛选属性集请确保森林的功能级是Windows Server 2008。如果森林的功能级是Windows Server 2008,那么收到威胁的RODC将不能被如此利用,因为运行Windows Server 2003的域控制器在森林中是不被允许的。
你无法添加系统关键属性到RODC已筛选属性集。判断是否是系统关键属性的依据是看以下服务能否正常工作,这样的服务有 AD DS、LSA、SAM(及SSPIs比如Kerberos)在Windows Server 2008 Beta3的后继版本中,系统关键属性拥有属性值等于1的schemaFlagsEx属性。
RODC已筛选属性集被配置在拥有架构操作主机的的服务器上。如果你尝试添加系统关键属性打到RODC已筛选属性集,而且架构操作主机运行在Windows Server 2008上,那么服务器将返回“unwillingToPerform”的LDAP错误。如果你尝试添加系统关键属性打到RODC已筛选属性集,但是架构操作主机运行在Windows Server 2003上,那么操作将看上去是成功完成了,然而属性值实际上却没有被添加。因此,当你想要添加属性到RODC已筛选属性集时,价格操作主机建议是运行Windows Server 2008的域控制器。这保证了系统关键属性不包含在RODC已筛选属性集中。
更多内容请看域服务器专题,或进入讨论组讨论。
相关专题
- 域服务器 (85篇文章)
- Windows中IIS内FTP服务器高级配置 (121次浏览)
- eMule电驴“代理服务器”的作用讲解 (73次浏览)
- 妙招可循,让IIS管理更加高效 (46次浏览)
- FreeBSD 6.2快速架设网站服务器教程 (36次浏览)
- 轻量级Web服务器 (34次浏览)
- Exchange 命令行管理程序入门 (33次浏览)
- 整合apache tomcat服务器 (26次浏览)
- 备份和还原Exchange 2007邮箱存储组 (26次浏览)
- IIS排错指南及错误代码大全 (26次浏览)
- 统计分析apache服务器日志 (24次浏览)
