Windows Server 2012 R2 sicher betreiben

RODC - Schreibgeschützte Domänencontroller

| Autor / Redakteur: Thomas Joos / Thomas Joos

RODC im Einsatz
RODC im Einsatz (Thomas Joos)

Schreibgeschützte Domänencontroller bieten für Netzwerke einige Vorteile. Da diese Server die Produktivdaten von anderen Servern erhalten, sind Manipulationen der Anmeldungen und Identitätsdiebstahl deutlich schwerer

Wählen Sie im Assistenten zur Einrichtung von Active Directory die Option "Domänencontroller zu einer vorhandenen Domäne hinzufügen". Anschließend können Sie die Option für schreibgeschützten Zugriff aktivieren.

Während der Einrichtung  wählen Sie die Benutzergruppen  aus, deren Kennwörter auf den RODC repliziert werden dürfen. Wird für eine Gruppe die Replikation des Kennworts verweigert, steht den Mitgliedern dieser Gruppe der RODC nicht als Anmeldeserver zur Verfügung. Durch diese Konfiguration können Sie festlegen, welche Benutzer sich an diesem Domänencontroller anmelden dürfen und welche nicht. 

Authentifiziert sich ein Benutzer an einem RODC, kontaktiert dieser einen normalen DC, um die Anmeldeinformationen zu kopieren.
Der DC erkennt, dass die Anforderung von einem RODC kommt und überprüft auf Basis der Richtlinien für die Kennwortreplikation, ob diese Daten zu dem jeweiligen RODC übertragen werden dürfen. Wird die Replikation durch die Richtlinie gestattet, werden die Anmeldeinformationen vom DC zum RODC übertragen und dort zwischengespeichert, sodass weitere Anmeldungen deutlich schneller ablaufen.

In der OU "Users" gibt es bereits die standardmäßigen Benutzergruppen "Zulässige RODC-Kennwortreplikationsgruppe" und Abgelehnte "RODC-Kennwortreplikationsgruppe". Benutzerkonten, die Sie diesen Benutzergruppen zuordnen, können sich an diesem Domänencontroller anmelden, da die Kennwörter repliziert wurden (Zulässige RODC-Kennwortreplikationsgruppe). Oder sie können sich nicht anmelden, da die Kennwörter nicht zur Verfügung stehen (Abgelehnte RODC-Kennwortreplikationsgruppe).