Mas*_*imo 18 windows-server-2008 active-directory domain-controller
Windows Server 2008 引入了只读域控制器,它接收域数据库的完整副本但不能修改它,就像旧的 Windows NT BDC 一样。
我知道如何运行这些半 DC 的所有技术细节(我刚刚通过了 70-646 和 70-647),但对于最重要的问题我仍然没有明确的答案:你为什么要使用它们?
TheCleaner 的这条评论真的为我总结了:
@Massimo - 是的,你是对的。你正在为 RODC 寻找一个令人信服的理由,但没有一个。它有一些额外的安全功能来帮助减轻分支机构的安全性,并且只有在您没有 DC 并且对其安全性很了解的情况下才需要在那里部署。
这和我想的一样……安全性有所提高,是的,当然,但绝对不值得麻烦。
The*_*ner 10
我给你一个真实世界的场景:
我们使用它是因为那里没有 IT 部门,我们在美国处理 AD 帐户等的所有请求。通过在那里拥有 RODC,我们知道:
通过将 AD/DNS 设为只读,我们不必担心试图操纵 DC 上的数据。
这是因为在此处找到的功能:http : //technet.microsoft.com/en-us/library/cc732801%28WS.10%29.aspx
对我们来说,这比其他任何事情都更能让人“安心”……此外,它允许安装非常少的服务器,因为它只是安装了 RODC 角色的服务器核心。我们将它放在带有 2 个 Raid-1 18GB 驱动器的旧式 1U 服务器上。实际上,我们将其中的 2 个放入...使用我们在机架中拥有的较旧的非保修硬件进行了相同的配置。
简单,做它需要做的,我们不必担心。如果其中一个盒子出现故障,我们只需再次更换它。
小智 10
我的书 (www.briandesmond.com/ad4/) 中有关于此功能的一整章。总而言之,这是一项安全功能,对于分布式组织来说,这是一件大事。
这里有两个非常大的场景:
--> RODC 默认不存储密码。这意味着如果有人从服务器上实际获取磁盘,他们不会获取您所有的用户(和计算机)密码。
如果有人窃取了 RWDC,正确的反应是重置域中的所有密码,因为您可以认为它们都已泄露。这是一项重大的事业。
使用 RODC,您可以说只缓存用户和计算机子集 X 的密码。当 RODC 实际缓存密码时,它会将该信息存储在 AD 中。如果 RODC 被盗,您现在有一小部分密码需要重置。
--> RODC 单向复制。如果有人偷了您的 RWDC,对其进行了一些更改,然后将其重新插入,这些更改将复制回环境中。例如,他们可能会将自己添加到域管理员组或重置所有管理员密码或其他内容。使用 RODC 这根本不可能。
除非您将 RODC 放置在之前没有 DC 的位置,否则速度不会提高,然后在某些情况下可能会提高速度。
TheCleaner 的回复确实不正确。RODC 有很多引人注目的场景,我可以立即想到它们的几种大规模部署。这是简单的安全内容,而不是“关于安全的肛门”内容。
谢谢,
布赖恩·德斯蒙德
活动目录MVP
| 归档时间: |
|
| 查看次数: |
27360 次 |
| 最近记录: |