Bộ điều khiển miền chỉ đọc (RODC) tính năng này lần đầu tiên được giới thiệu trong Windows Server 2008. Mục đích chính của RODC là cài đặt an toàn bộ điều khiển miền riêng tại các chi nhánh và văn phòng từ xa, nơi khó bảo mật một máy chủ vai trò ADDS. RODC chứa một bản sao chỉ đọc của cơ sở dữ liệu Active Directory. Điều này có nghĩa là không ai có thể thay đổi dữ liệu trong AD (bao gồm cả việc đặt lại mật khẩu quản trị miền) ngay cả khi có quyền truy cập vật lý vào máy chủ điều khiển miền.
Trong bài viết này, chúng ta sẽ xem xét cách cài đặt bộ điều khiển miền Chỉ đọc mới dựa trên Windows Server 2022/2019 và cách quản lý nó.
Bộ điều khiển miền chỉ đọc (RODC) trong Active Directory là gì?
Dưới đây là những điểm khác biệt chính của RODC so với các bộ điều khiển miền có thể đọc-ghi phổ biến ( RWDC )
- RODC duy trì một bản sao chỉ đọc của cơ sở dữ liệu AD. Vì vậy, khách hàng của bộ điều khiển miền này không thể thực hiện thay đổi đối với nó;
- RODC không sao chép dữ liệu AD và thư mục SYSVOL sang các bộ điều khiển miền khác (RWDC), sao chép một chiều được sử dụng;
- RODC duy trì một bản sao đầy đủ của cơ sở dữ liệu AD ngoại trừ các hàm băm mật khẩu của các đối tượng AD và một số thuộc tính khác có chứa thông tin nhạy cảm. Tập hợp các thuộc tính này được gọi là Tập hợp thuộc tính được lọc (FAS) . Các thuộc tính như ms-PKI-AccountCredentials, ms-FVE-RecoveryPassword, ms-PKI-DPAPIMasterKeys, v.v. được bao gồm trong đó. Bạn có thể thêm các thuộc tính khác vào tập hợp này, chẳng hạn như mật khẩu máy tính được lưu trữ dưới dạng văn bản rõ ràng trong thuộc tính ms-MCS-AdmPwd khi sử dụng LAPS;
- Nếu RODC nhận được yêu cầu xác thực từ người dùng, nó sẽ chuyển tiếp yêu cầu đó tới RWDC;
- RODC có thể lưu thông tin đăng nhập của một số người dùng vào bộ nhớ cache (nó tăng tốc độ xác thực và cho phép người dùng xác thực trên bộ điều khiển miền, ngay cả khi không có kết nối với RWDC);
- Bạn có thể cung cấp quyền truy cập quản trị và RDP vào RODC cho người dùng không phải quản trị viên (ví dụ:đối với SysOps chi nhánh);
- Dịch vụ DNS trên RODC ở chế độ chỉ đọc.
Các yêu cầu để triển khai Bộ điều khiển miền chỉ đọc.
- IP tĩnh phải được chỉ định trên máy chủ;
- Tường lửa của Windows phải được tắt hoặc được định cấu hình đúng cách để chuyển lưu lượng truy cập giữa các DC và máy khách;
- RWDC gần nhất phải được chỉ định làm máy chủ DNS;
- Bạn có thể cài đặt RODC trên cả Windows Server Full GUI và Windows Server Core edition;
- Bạn không nên đặt RODC trên cùng một trang web AD với RWDC.
Cài đặt RODC bằng GUI Trình quản lý máy chủ
Mở bảng điều khiển Trình quản lý máy chủ và thêm Dịch vụ miền Active Directory vai trò (đồng ý cài đặt tất cả các thành phần và công cụ quản lý bổ sung).
Khi bạn chỉ định cài đặt cho DC mới, hãy chọn tùy chọn Thêm bộ điều khiển miền vào miền hiện có tùy chọn, chỉ định tên miền và thông tin đăng nhập của tài khoản người dùng với các đặc quyền của quản trị viên miền nếu cần.
Chỉ định rằng máy chủ DNS, danh mục chung (GC) và các khả năng RODC phải được cài đặt. Sau đó, chọn một trang web, nơi đặt bộ điều khiển mới và mật khẩu để truy cập nó ở chế độ DSRM.
Tiếp theo, bạn cần chỉ định người dùng mà bạn muốn ủy quyền quyền truy cập quản trị vào bộ điều khiển miền và danh sách tài khoản / nhóm có mật khẩu được phép hoặc bị từ chối sao chép sang RODC (bạn có thể thực hiện việc này sau).
Chỉ định rằng dữ liệu cơ sở dữ liệu AD có thể được sao chép từ bất kỳ DC nào.
Sao chép từ -> Any domain controller
Sau đó chỉ định đường dẫn đến cơ sở dữ liệu NTDS, nhật ký và thư mục SYSVOL (bạn có thể di chuyển chúng sang ổ đĩa khác sau này nếu cần).
Sau khi bạn đã chọn tất cả các tùy chọn, bạn có thể cài đặt vai trò ADDS.
Ngoài ra, bạn có thể triển khai RODC bằng cách sử dụng Staged tính năng. Nó bao gồm việc tạo trước tài khoản máy tính RODC trong bảng điều khiển ADUC và thiết lập cơ bản. Để thực hiện việc này, hãy nhấp chuột phải vào Bộ điều khiển miền vùng chứa và chọn Tạo trước tài khoản bộ điều khiển miền chỉ đọc .
Khi cài đặt vai trò ADDS trên máy chủ có cùng tên, thông báo sau sẽ xuất hiện:
A Pre-created RODC account that matches the name of the target server exists in the directory. Choose whether to use this existing RODC account or reinstall this domain controller.
Chọn Sử dụng tài khoản RODC hiện có tùy chọn sử dụng đối tượng RODC được tạo trước.
Sau khi hoàn thành cài đặt vai trò và khởi động lại máy chủ, bạn sẽ nhận được một bộ điều khiển RODC. Bạn có thể kiểm tra tình trạng của bộ điều khiển miền.
Khi ADUC đính vào (dsa.msc ) kết nối với RODC, tất cả các nút tạo đối tượng AD mới đều có màu xám. Ngoài ra, bạn không thể thay đổi các thuộc tính của đối tượng AD trên bộ điều khiển miền chỉ đọc. Tất cả các hành động khác trong bảng điều khiển Active Directory, bao gồm cả tìm kiếm, hoạt động như bình thường.
Triển khai DC chỉ đọc của Windows Server với PowerShell
Để triển khai RODC mới bằng PowerShell, bạn cần cài đặt vai trò ADDS và mô-đun PowerShell ADDS:
Add-WindowsFeature AD-Domain-Services,RSAT-AD-AdminCenter,RSAT-ADDS-Tools
Bây giờ bạn có thể cài đặt RODC:
Install-ADDSDomainController -ReadOnlyReplica -DomainName woshub.com -SiteName MUN_Branch1_RO_Site -InstallDns:$true -NoGlobalCatalog:$false
Sau khi quá trình cài đặt kết thúc, lệnh ghép ngắn sẽ nhắc bạn khởi động lại máy chủ của mình.
Liệt kê các DC trong miền của bạn bằng cách sử dụng lệnh ghép ngắn Get-ADDomainController từ mô-đun Active Directory PowerShell:
Get-ADDomainController -Filter * | Select-Object Name,IsReadOnly
Giá trị thuộc tính IsReadOnly cho bộ điều khiển miền chỉ đọc phải là True.
Để liệt kê tất cả RODC trong miền của bạn, hãy chạy:
Get-ADDomainController –filter {IsReadOnly –eq $true}
Nếu bạn muốn tạo trước tài khoản RODC miền trước (triển khai theo giai đoạn), hãy sử dụng lệnh sau:
Add-ADDSReadOnlyDomainControllerAccount -DomainControllerAccountName MUN-RODC01 -DomainName woshub.com -DelegatedAdministratorAccountName "woshub\mbak" -SiteName MUN_Branch1_RO_Site
Khi quảng bá máy chủ Windows Server thành DC, hãy sử dụng lệnh:
Install-ADDSDomainController -DomainName woshub.com -Credential (Get-Credential) -LogPath "C:\Windows\NTDS" -SYSVOLPath "C:\Windows\SYSVOL" -ReplicationSourceDC "MUN-DC01.woshub.com" – UseExistingAccount
Chính sách sao chép mật khẩu RODC và bộ nhớ đệm thông tin xác thực
Trên mỗi RODC, bạn có thể chỉ định danh sách người dùng, máy tính và máy chủ, những người có hàm băm mật khẩu được phép hoặc từ chối sao chép sang bộ điều khiển miền này.
Tất cả các máy tính, người dùng và máy chủ có mật khẩu được lưu trong bộ đệm RODC sẽ có thể xác thực với bộ điều khiển miền này, ngay cả khi không có kết nối với RWDC.Theo mặc định, hai nhóm toàn cầu mới được tạo trong miền:
- Nhóm sao chép mật khẩu RODC được phép
- Nhóm sao chép mật khẩu RODC bị từ chối
Theo mặc định, nhóm đầu tiên trống và nhóm thứ hai chứa các nhóm bảo mật đặc quyền, mà mật khẩu của chúng không thể được sao chép hoặc lưu vào bộ nhớ cache trên RODC để ngăn chúng bị xâm phạm. Theo mặc định, các nhóm sau được bao gồm ở đây:
- Chủ sở hữu người tạo chính sách nhóm
- Quản trị viên miền
- Cert Publishers
- Quản trị viên doanh nghiệp
- Quản trị viên giản đồ
- Tài khoản krbtgt
- Người điều hành tài khoản
- Người điều hành máy chủ
- Toán tử dự phòng
Nhóm được phép sao chép mật khẩu RODC thường bao gồm người dùng tại văn phòng chi nhánh nơi đặt RODC.
Nếu bạn đang triển khai nhiều RODC trong một miền, cách tốt nhất là tạo các nhóm như vậy cho mỗi RODC. Bạn có thể liên kết các nhóm với RODC trong Chính sách nhân bản mật khẩu của phần thuộc tính máy chủ trong bảng điều khiển ADUC.
Về Chính sách sao chép mật khẩu nâng cao cho RODC_name , bạn có thể xem:
- Các tài khoản có mật khẩu được lưu trữ trên Bộ điều khiển miền chỉ đọc này - danh sách người dùng và máy tính có mật khẩu được lưu trong bộ nhớ cache trên RODC này
- Các tài khoản đã được xác thực với DC Chỉ đọc này - danh sách người dùng và máy tính hiện được xác thực bằng bộ điều khiển miền chỉ đọc này
Về Chính sách kết quả , bạn có thể chọn tài khoản người dùng và kiểm tra xem mật khẩu của tài khoản đó có được lưu vào bộ nhớ đệm trên RODC hay không.
Bạn có thể quản lý các nhóm RODC bằng PowerShell. Liệt kê người dùng trong một nhóm QUẢNG CÁO:
Get-ADGroupMember -Identity "Denied RODC Password Replication Group" | ft Name, ObjectClass
Thêm tất cả người dùng đã bật từ một Đơn vị tổ chức Active Directory (OU) cụ thể vào nhóm RODC:
Get-ADUser -SearchBase 'OU=MUN_Branch1,DC=woshub,DC=com' -Filter {Enabled -eq "True"} | ForEach-Object {Add-ADGroupMember -Identity 'Allowed RODC Password Replication Group' -Members $_ -Confirm:$false }
Để điền trước bộ đệm ẩn mật khẩu người dùng từ đơn vị tổ chức đến RODC, hãy sử dụng tập lệnh PowerShell sau:
$usrs = Get-ADUser -SearchBase 'OU= MUN_Branch1,DC=woshub,DC=com' -Filter {Enabled -eq "True"}
foreach ($usr in $usrs) {
Get-ADObject -identity $usr | Sync-ADObject -Source MUN-DC01 ‑Destination MUN-RODC1 -PasswordOnly
}
Bạn có thể liệt kê những người dùng và máy tính có mật khẩu trong bộ đệm RODC:
Get-ADDomainControllerPasswordReplicationPolicyUsage -Identity MUN-RODC1 ‑RevealedAccounts
Bạn không thể xóa mật khẩu cho một người dùng cụ thể khỏi bộ đệm RODC. Tuy nhiên, bạn có thể làm mất hiệu lực bộ nhớ cache này bằng cách đặt lại mật khẩu của người dùng thông qua phần đính vào ADUC hoặc bằng lệnh ghép ngắn Set-ADAccountPassword PowerShell.