главная    •     Новости      •     софт      •     RSS-ленты     •     реклама      •     PDA-Версия      •    Контакты
Windows XP    •      Windows 7     •    Windows 8    •    Windows 9-10-11     •    Windows Server     •    Железо
Советы      •     Администрирование      •     Сеть      •     Безопасность      •     Статьи      •     Материалы
Реклама на сайте
Книга жалоб и предложений
Правила на сайте
О Winblog.ru и о копирайте
Написать в редакцию
Конфиденциальность
                       
  • Microsoft Edge - еще более безопасный!
  • ActiveCloud - надежный провайдер облачных услуг для вашей компании
  • ANYSERVER - ваш поставщик б/у серверов из Европы
  • Настройка контекстной рекламы в Yandex и Google: Эффективный путь к росту вашего бизнеса
  • Коммутаторы с функцией PoE: Обеспечение эффективной передачи данных и питания
  • Очередное обновление сломало выключатель компьютеров на Windows 11
  • Чтобы в полной мере использовать возможности контроллеров доменов только для чтения, следует учитывать некоторые особенности этой новой технологии, реализованной в Windows Server 2008.

    Сделать новый контроллер домена доступным только для чтения в процессе начальной настройки очень легко. На рис. A показана соответствующая конфигурация.

    Репликация паролей для контроллеров доменов только для чтения в Windows Server 2008
    Рисунок A


    После завершения подготовки контроллера домена необходимо принять ряд дополнительных мер, чтобы обеспечить корректную обработку входов в систему для отдельных учетных записей компьютеров.

    При использовании стандартных настроек контроллера домена только для чтения на первых порах все работает нормально. Проблемы возникают, как только записываемые контроллеры домена оказываются недоступны. Хотя контроллеры домена только для чтения не предполагают записи данных, они все равно должны обрабатывать запросы на вход в систему при отсутствии доступа к записываемому контроллеру домена. При использовании настроек по умолчанию в таком случае возникает сообщение об ошибке, показанное на рис. B.

    Репликация паролей для контроллеров доменов только для чтения в Windows Server 2008
    Рисунок B


    При этом в журнале событий Windows появляются предупреждения о том, что учетная запись компьютера отсутствует в кэше и может быть недействительна. Чтобы решить эту проблему, необходимо создать группу безопасности, объединяющую в стандартной группе репликации паролей контроллера домена «Разрешенные» (Allowed RODC Password Replication Group) все учетные записи компьютеров, которые проходят аутентификацию на контроллере домена только для чтения. На рис. C показано добавление учетной записи компьютера в группу безопасности, принадлежащую к группе «Разрешенные», для домена RWVDEV.INTRA.

    Репликация паролей для контроллеров доменов только для чтения в Windows Server 2008
    Рисунок C


    Группе «Разрешенные» дается право на репликацию паролей учетных записей компьютеров на контроллере домена только для чтения. Кроме того, этот способ позволяет разрешить аутентификацию на контроллере домена только для чтения лишь определенным компьютерам. Каждой учетной записи компьютера в Active Directory соответствует определенный пароль, а за управление такими учетными записями отвечает система, как и в случае с управляемыми учетными записями служб.

    Чтобы пользователь имел возможность пройти аутентификацию на контроллере домена только для чтения, его учетная запись, как и учетная запись компьютера, тоже должна входить в группу «Разрешенные». И точно так же это позволяет разрешить аутентификацию на контроллере домена только для чтения лишь определенным пользователям.

    Обратите внимание: учетная запись администратора по умолчанию не входит в группу «Разрешенные». Разумнее всего добавлять в эту группу только тех пользователей, которым вероятнее всего придется проходить аутентификацию на контроллере домена только для чтения.

    Массу полезной информации по репликации паролей можно найти на сайте TechNet.

    А вы пробовали использовать контроллеры домена только для чтения при отсутствии доступа к записываемым контроллерам домена? С какими сложностями вам при этом пришлось столкнуться? Поделитесь своим опытом в комментариях!

    Автор: Rick Vanover
    Перевод SVET


    Оцените статью: Голосов

    Материалы по теме:
  • Запрет аутентификации на контроллерах домена только для чтения при отсутствии доступа к записываемым контроллерам домена
  • Удаление контроллера домена только для чтения из домена
  • Запуск домена контроллера только для чтения Windows Server 2008
  • Повышение безопасности и производительности с помощью контроллеров домена только для чтения
  • Запуск службы Обозревателя компьютеров на контроллерах домена Windows Server 2008



  • Для отправки комментария, обязательно ответьте на вопрос

    Вопрос:
    Сколько будет шесть минус один?
    Ответ:*




    ВЕРСИЯ ДЛЯ PDA      СДЕЛАТЬ СТАРТОВОЙ    НАПИШИТЕ НАМ    МАТЕРИАЛЫ    ОТ ПАРТНЁРОВ

    Copyright © 2006-2022 Winblog.ru All rights reserved.
    Права на статьи принадлежат их авторам. Копирование и использование материалов разрешается только в случае указания явной гиперссылки на веб-сайт winblog.ru, как на источник получения информации.
    Сайт для посетителей возрастом 18+