Suchen

Windows Server 2008 – Read-Only Domain Controller Mehr Sicherheit für Domänencontroller

| Autor / Redakteur: Manuela Reiss / Peter Schmitz

Beim Hochstufen eines Domänencontrollers unter Windows Server 2008 bietet der Installationsassistent von Active Directory eine neue: Installationsoption an: Die Einrichtung eines Read-Only-Domänencontrollers (RODC). Security-Insider stellt Ihnen Einsatzszenarien vor und zeigt worauf beim Einsatz eines RODCs zu achten ist.

Windows Server 2008 schafft mit RODC mehr Sicherheit für Domänencontroller.
Windows Server 2008 schafft mit RODC mehr Sicherheit für Domänencontroller.
( Archiv: Vogel Business Media )

Wie auch bei den Vorgängerversionen kann ein Windows 2008 Server mit Hilfe des Active Directory Installationsassistenten (DCPROMO) zu einem Domänencontroller hochgestuft werden. Auch der Assistent entspricht dem früherer Versionen und umfasst im Wesentlichen die gleichen Konfigurationsschritte. Neu ist jedoch die Installationsoption zur Einrichtung eines Read-Only-Domänencontrollers (RODC).

Ein RODC unterstützt dabei lediglich eine undirektionale Replikation vom vollständigen Domänencontroller zum RODC und bietet damit einen Schutz, falls dieser manipuliert oder gestohlen wird. Als nicht beschreibbare Domänencontroller sind RODCs in erster Linie für den Einsatz in Niederlassungen konzipiert, die in der Regel weniger physische Sicherheit bieten, als das Rechenzentrum in der Zentrale.

Bildergalerie
Bildergalerie mit 5 Bildern

Weiterhin ermöglichen RODCs eine Beschränkung der administrativen Rechte auf den jeweiligen RODC. Die Administratorrollentrennung ermöglicht es, dass jeder Domänenbenutzer als lokaler Administrator eines RODC delegiert werden kann, ohne dass diesem Benutzer Benutzerrechte für die Domäne selbst oder andere Domänencontroller gewährt werden müssen. Damit können (endlich!) Administratoren in Niederlassungen ihre Domänencontroller selbst verwalten, ohne dafür Domänen-Administratorrechte zu benötigen.

Auf einem RODC wird zwar die Active Directory Verzeichnisdienst-Datenbank gespeichert, standardmäßig speichert der RODS aber weder Computer- noch Benutzerinformationen, außer seinem eigenen Computerkonto und einem speziellen krbtgt-Konto. Sollen Benutzerkonten oder beispielsweise einzelne Dienstkonten für die Zwischenspeicherung zugelassen werden, muss dies explizit konfiguriert werden.

(ID:2011887)