Windows Server 2008 – Read-Only Domain Controller

Mehr Sicherheit für Domänencontroller

04.04.2008 | Autor / Redakteur: Manuela Reiss / Peter Schmitz

Windows Server 2008 schafft mit RODC mehr Sicherheit für Domänencontroller.
Windows Server 2008 schafft mit RODC mehr Sicherheit für Domänencontroller.

Beim Hochstufen eines Domänencontrollers unter Windows Server 2008 bietet der Installationsassistent von Active Directory eine neue: Installationsoption an: Die Einrichtung eines Read-Only-Domänencontrollers (RODC). Security-Insider stellt Ihnen Einsatzszenarien vor und zeigt worauf beim Einsatz eines RODCs zu achten ist.

Wie auch bei den Vorgängerversionen kann ein Windows 2008 Server mit Hilfe des Active Directory Installationsassistenten (DCPROMO) zu einem Domänencontroller hochgestuft werden. Auch der Assistent entspricht dem früherer Versionen und umfasst im Wesentlichen die gleichen Konfigurationsschritte. Neu ist jedoch die Installationsoption zur Einrichtung eines Read-Only-Domänencontrollers (RODC).

Ein RODC unterstützt dabei lediglich eine undirektionale Replikation vom vollständigen Domänencontroller zum RODC und bietet damit einen Schutz, falls dieser manipuliert oder gestohlen wird. Als nicht beschreibbare Domänencontroller sind RODCs in erster Linie für den Einsatz in Niederlassungen konzipiert, die in der Regel weniger physische Sicherheit bieten, als das Rechenzentrum in der Zentrale.

Weiterhin ermöglichen RODCs eine Beschränkung der administrativen Rechte auf den jeweiligen RODC. Die Administratorrollentrennung ermöglicht es, dass jeder Domänenbenutzer als lokaler Administrator eines RODC delegiert werden kann, ohne dass diesem Benutzer Benutzerrechte für die Domäne selbst oder andere Domänencontroller gewährt werden müssen. Damit können (endlich!) Administratoren in Niederlassungen ihre Domänencontroller selbst verwalten, ohne dafür Domänen-Administratorrechte zu benötigen.

Auf einem RODC wird zwar die Active Directory Verzeichnisdienst-Datenbank gespeichert, standardmäßig speichert der RODS aber weder Computer- noch Benutzerinformationen, außer seinem eigenen Computerkonto und einem speziellen krbtgt-Konto. Sollen Benutzerkonten oder beispielsweise einzelne Dienstkonten für die Zwischenspeicherung zugelassen werden, muss dies explizit konfiguriert werden.

Inhalt des Artikels:

Was meinen Sie zu diesem Thema?

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2011887 / Middleware)