वास्तव में केवल पढ़ने के लिए डोमेन नियंत्रक क्या उपयोगी है?

18

विंडोज सर्वर 2008 ने रीड-ओनली डोमेन कंट्रोलर्स की शुरुआत की, जो डोमेन डेटाबेस की एक पूरी प्रतिकृति प्राप्त करते हैं, लेकिन इसे अच्छे पुराने विंडोज एनटी बीडीसी की तरह संशोधित नहीं कर सकते।

मुझे पता है कि उन सेमी-डीसी को चलाने के लिए सभी तकनीकी ins और बहिष्कार (मैं सिर्फ 70-646 और 70-647 पास करता हूं), लेकिन फिर भी मेरे पास सभी के सबसे महत्वपूर्ण प्रश्न का स्पष्ट उत्तर नहीं है: आपको क्यों चाहिए उनका उपयोग करें ?

TheCleaner की यह टिप्पणी वास्तव में इसे मेरे लिए प्रस्तुत करती है:

@ मासीमो - हाँ, आप सही हैं। यू आरओडीसी के लिए एक आकर्षक कारण की तलाश में हैं और एक नहीं है। शाखा कार्यालय की सुरक्षा को कम करने में मदद करने के लिए इसमें कुछ अतिरिक्त सुरक्षा सुविधाएँ हैं और वास्तव में केवल तब ही वहां तैनात होने की आवश्यकता होती है जब आपके पास पहले से ही डीसी नहीं है और इसकी सुरक्षा के बारे में गुदा हो।

यह वही था जो मैं सोच रहा था ... सुरक्षा में थोड़ी वृद्धि, हां, निश्चित, लेकिन निश्चित रूप से परेशानी के लायक नहीं है।

windows-server-2008  active-directory  domain-controller 
मास्सिमो
स्रोत

जवाबों:

10

मैं आपको एक वास्तविक दुनिया का परिदृश्य दूंगा:

  • हम चीन में हमारे शाखा कार्यालय में एक हैं

हम इसका उपयोग करते हैं क्योंकि वहाँ कोई आईटी विभाग नहीं है, हम यहाँ संयुक्त राज्य अमेरिका में आदि खातों के लिए सभी अनुरोधों को संभालते हैं। RODC होने से हम जानते हैं:

  1. कोई भी उस पर लॉग इन नहीं कर सकता है और AD में "हैक करने" की कोशिश कर सकता है।
  2. कोई भी इसे चुरा नहीं सकता है और इसके लायक कुछ भी प्राप्त कर सकता है और बाद में नेटवर्क पर "हैक करके" वापस आ सकता है।

केवल AD / DNS पढ़ने से हमें डीसी पर डेटा में हेरफेर करने के प्रयासों के बारे में चिंता करने की ज़रूरत नहीं है।

इसका कारण यहां मिलने वाली विशेषताएं हैं: http://technet.microsoft.com/en-us/library/cc732801%28WS.10%29.aspx

यह हमारे लिए किसी भी चीज़ की तुलना में "मन की शांति" से अधिक है ... प्लस यह एक बहुत ही न्यूनतम सर्वर स्थापित करने की अनुमति देता है क्योंकि यह केवल RODC भूमिका के साथ सर्वर कोर स्थापित था। हमने इसे 2 RAID -1 18GB ड्राइव के साथ एक पुराने 1U सर्वर पर रखा। हम वास्तव में उनमें से 2 को डालते हैं ... पुराने गैर-वॉरंटेड हार्डवेयर का उपयोग करके उसी सटीक कॉन्फ़िगरेशन को हमने रैक में रखा था।

सरल, वह करता है जो उसे करने की आवश्यकता है, और हमें इसके बारे में चिंता करने की आवश्यकता नहीं है। यदि कोई बॉक्स विफल हो जाता है, तो हम इसे फिर से बदल देंगे।

सफाई कर्मी
स्रोत
1
आपने कहा कि कोई भी उस पर लॉग इन नहीं कर सकता है; लेकिन कोई भी मानक डीसी पर लॉग इन करने में सक्षम नहीं होगा, अगर उसके पास उचित डोमेन क्रेडेंशियल्स नहीं हैं। तो बेहतर सुरक्षा कहां है? इसे चुराने के बारे में: चोरी की गई रीड-ओनली एक चोरी की तुलना में वास्तव में कितनी खतरनाक होगी?
मासीमो
2
@ मसिमो - इस पर लॉगिंग का जिक्र करते हुए, यह केवल एक मुद्दा है यदि व्यक्ति ने स्थानीय रूप से अधिकारों पर लॉग इन किया है, तो आप सही हैं। हालाँकि, हम उन कुछ खातों को वहाँ अनुदान देते हैं ताकि वे बैकअप / बैकअप टेप स्वैप की जाँच कर सकें। भौतिक सुरक्षा के लिए, एक चुस्त लेखन योग्य डीसी आपको अपने क्रेडेंशियल्स और पासवर्ड का पता लगाने और बाद में अतिरिक्त डेटा के लिए नेटवर्क पर वापस आने की क्षमता देता है ... RODC नहीं करता है।
क्लेनर
@ मैसिमो - मैंने आपके ओपी में देखा आपने "पूर्ण प्रतिकृति" कहा ... यह पासवर्ड के लिए सही है। यह पासवर्डों की नकल नहीं करता है, जिससे चोरी के लिए सबसे बड़ी समर्थक सुरक्षा सुविधा समाप्त हो जाती है।
क्लेयरर सेप
पासवर्ड के लिए सहमत हैं। लेकिन वे वैसे भी एक तरफ़ा एन्क्रिप्शन का उपयोग कर संग्रहीत नहीं हैं? यह सुनिश्चित करना बेहतर है कि अगर किसी को उन पर पकड़ नहीं मिलती है, लेकिन मुझे नहीं लगता कि एडी पासवर्ड को क्रैक करना इतना आसान है।
मैसिमो
3
यदि आप कैशिंग अक्षम करते हैं तो RODC पासवर्ड हैश को संग्रहीत नहीं करता है ... मेरा मानना ​​है कि यह "लॉगिन टोकन" को संग्रहीत करता है। हाँ शुरू में क्लाइंट वास्तविक डीसी के साथ एक अलग स्थान पर प्रमाणित करता है। यहाँ देखें: devendrathatte.blogspot.com/2009/04/… और यहाँ: miconsultingcorp.com/…
TheCleaner
10

मेरी पुस्तक (www.briandesmond.com/ad4/) में इस विशेषता पर एक पूरा अध्याय है। इसकी लंबी और कमी यह है कि यह एक सुरक्षा सुविधा है और वितरित संगठनों के लिए यह बहुत बड़ी बात है।

यहाँ वास्तव में दो बड़े परिदृश्य हैं:

-> RODCs डिफ़ॉल्ट रूप से कोई पासवर्ड स्टोर नहीं करती है। इसका मतलब है कि यदि किसी को सर्वर से भौतिक रूप से डिस्क मिलती है, तो उन्हें आपके सभी उपयोगकर्ता (और कंप्यूटर) पासवर्ड नहीं मिलते हैं।

यदि कोई RWDC चोरी करता है तो सही प्रतिक्रिया डोमेन में सभी पासवर्ड रीसेट करने के लिए है क्योंकि आप उन सभी के साथ समझौता कर सकते हैं। यह एक प्रमुख उपक्रम है।

एक RODC के साथ आप केवल उपयोगकर्ताओं और कंप्यूटरों के सबसेट X के पासवर्ड को कैश कर सकते हैं। जब RODC वास्तव में पासवर्ड को कैश करता है, तो वह उस जानकारी को AD में संग्रहीत करता है। यदि RODC चोरी हो जाता है, तो आपके पास अब पासवर्ड की एक छोटी सूची है, जिसे रीसेट करने की आवश्यकता है।

-> RODCs एक तरह से दोहराते हैं। अगर किसी ने आपको RWDC चुरा लिया है, तो इसमें कुछ बदलाव किए हैं, और इसे वापस प्लग इन किया है, वे परिवर्तन पर्यावरण में वापस दोहराएंगे। उदाहरण के लिए वे अपने आप को डोमेन व्यवस्थापक समूह में जोड़ सकते हैं या सभी व्यवस्थापक पासवर्ड या कुछ और रीसेट कर सकते हैं। एक RODC के साथ यह संभव नहीं है।

जब तक आप उस स्थान पर एक RODC नहीं रख रहे हैं, जिसमें पहले DC नहीं था, तब गति में कोई सुधार नहीं हुआ है और फिर कुछ परिदृश्यों में गति सुधार होने की संभावना है।

क्लीन्ज़र का उत्तर वास्तव में गलत है। RODCs के लिए सम्मोहक परिदृश्यों के बहुत सारे हैं और मैं उनमें से कई की तैनाती के बारे में सोच सकते हैं। यह सरल सुरक्षा सामग्री है, न कि "सुरक्षा के बारे में गुदा" सामान।

धन्यवाद,

ब्रायन डेसमंड

सक्रिय निर्देशिका एमवीपी

ब्रायन डेसमंड
स्रोत
ब्रायन, विस्तृत उत्तर के लिए धन्यवाद, लेकिन मैं अभी भी कुछ चीजों के बारे में पहले की तरह उत्सुक हूं: 1) यदि कोई व्यक्ति डीसी को पकड़ सकता है, तो वह कैसे डोमेन में बदलाव कर सकता है, अगर उसके पास कोई प्रशासनिक नहीं है लेखा? वह लॉग इन भी नहीं कर पाएगा। 2) यदि कोई डीसी चोरी करता है, तो उसे AD डेटाबेस से पासवर्ड कैसे मिल सकता है? वे एक स्वामित्व वाले डेटाबेस के अंदर जमा हो जाते हैं, वन-वे एन्क्रिप्शन (और काफी मजबूत, IIRC) का उपयोग करके। 3) यदि आपका डीसी चोरी हो गया है और जिसने चोरी की है वह आपके नेटवर्क तक पहुंच सकता है और इसे वापस कनेक्ट कर सकता है, तो निश्चित रूप से आपकी सुरक्षा में कुछ टूट गया है ... और कोई भी आरओडीसी इसे ठीक करने नहीं जा रहा है।
मासिमो
1
1 और 2 के संबंध में, इंटरनेट पर ऐसे उपकरण उपलब्ध हैं, जो ख़ुशी से AD डेटाबेस लेंगे और इसे सीधे पढ़ / लिखेंगे। आपको बस इतना करना है कि हार्ड ड्राइव को कहीं न कहीं रखें और इसे किसी अन्य मशीन से खोलें। 3 से कुछ हद तक सहमत। दुनिया भर में कई संगठनों के शाखा कार्यालयों में सैकड़ों डीसी हैं। मैं आपको पहले हाथ बता सकता हूं कि आपकी मेज से 10,000 मील की दूरी पर एक कोठरी में शारीरिक सुरक्षा को लागू करना असंभव के बगल में है।
ब्रायन डेसमंड
यदि किसी बुरे व्यक्ति के पास आपके हार्डवेयर तक पहुंच है - तो यह आपके हार्डवेयर को किसी भी लंबे समय तक नहीं रखेगा। क्या आप अपने वर्तमान डीसी के साथ शुरू करने के लिए Bitlocker का उपयोग करते हैं? यदि नहीं, तो ऐसा करने पर विचार करें या किसी अन्य पूर्ण डिस्क एन्क्रिप्शन के साथ शुरू करने के लिए ... यदि बुरे लोगों के पास आपका डेटा है - तो आप SOL ^ ^
Oskar Duveborn
1

आपको RODC की जरूरत है जब आपके पास खराब शारीरिक सुरक्षा और / या धीमी या अविश्वसनीय नेटवर्क कनेक्टिविटी के साथ बहुत सारे शाखा कार्यालय हैं। उदाहरण:

  • एक केंद्रीय कार्यालय और स्टोरफ्रंट क्लीनिक के साथ चिकित्सा प्रदाता जो अक्सर चलते हैं और कनेक्टिविटी के लिए DSL / केबल का उपयोग करते हैं
  • दूरदराज के क्षेत्रों में जहां टेल्को इन्फ्रास्ट्रक्चर अविश्वसनीय है, या जहां आप सेलुलर या सैटेलाइट नेटवर्क का उपयोग करने के लिए मजबूर हैं, सुविधाओं के साथ एक कंपनी।

अधिकांश संगठनों में दूरस्थ उपकरणों के लिए भौतिक सुरक्षा मानक हैं। यदि आप उन आवश्यकताओं को पूरा नहीं कर सकते हैं, तो RODC आपको स्थानीय अनुप्रयोगों और फ़ाइल शेयरों तक पहुंच के लिए उच्च गति प्रमाणीकरण प्रदान करने की अनुमति देता है। वे आपको सर्वर पर संग्रहीत क्रेडेंशियल्स की संख्या को सीमित करने की अनुमति भी देते हैं। एक समझौता सर्वर केवल दूरस्थ स्थान पर उपयोगकर्ताओं से समझौता करता है। 75,000 उपयोगकर्ताओं के साथ एक पूर्ण डीसी स्थानीय समझौता होने की स्थिति में उन सभी उपयोगकर्ताओं को उजागर करता है।

यदि आप एक छोटी कंपनी में काम करते हैं, तो यह कोई बड़ी बात नहीं है। मैं उन्हें BitLocker के साथ रोल करने के लिए तैयार हूं क्योंकि RODC सुरक्षा जोखिम को काफी कम करता है।

duffbeer703
स्रोत
1

हम इस TechNet लेख के बंद DMZ में RODC का उपयोग करने जा रहे हैं । DMZ में RODC के साथ वेब सेवाओं के लिए एक नया जंगल स्थापित करना।

आईटी टीम
स्रोत
0

मुख्य रूप से सुरक्षा के लिए, लेकिन साथ ही गति के लिए भी।

संक्षिप्त लेखन यहाँ देखें

geeklin
स्रोत
2
मैं "गति" चीज से असहमत हूं। यदि उपयोगकर्ताओं को "वास्तविक" डीसी के खिलाफ प्रमाणित करने की आवश्यकता होती है, तो आरओडीसी वास्तव में कुछ भी गति नहीं देता है: आरओडीसी के बजाय साइट में उपलब्ध एक लेखन योग्य डीसी होने से वास्तव में तेज होगा
मासिमो
0

RODC में आपके AD की केवल पढ़ने वाली प्रति शामिल होती है और आप एक शाखा कार्यालय में एक का उपयोग करते हैं, जहाँ आपके पास IT कर्मचारी मौजूद नहीं होते हैं और इसलिए आपके सर्वर रूम की सुरक्षा या अखंडता की गारंटी नहीं दे सकते हैं। RODC के साथ छेड़छाड़ किए जाने की स्थिति में आप इस ज्ञान में सुरक्षित हैं कि जो कोई भी समझौता करेगा, उसकी खोज के समय राज्य में आपके AD तक केवल पहुंच होगी। इसमें किए गए किसी भी बदलाव को आपके मुख्य डीसी को वापस नहीं भेजा जाएगा। इसका मतलब यह है कि जो कोई भी समझौता करता है, वह डोमेन एडमिन के लिए खुद को ऊंचा उठाने जैसे काम नहीं कर सकता है, अपने स्वयं के प्रवेश को बंद कर सकता है, और अपने पूरे नेटवर्क के साथ अपना दुष्ट तरीका अपना सकता है।

मैक्सिमस मिनिमस
स्रोत
"आपके द्वारा किए गए परिवर्तनों को दोहराया नहीं जाएगा" से आपका क्या अभिप्राय है? यदि मैं AD तक प्रशासनिक पहुँच प्राप्त कर सकता हूँ, जिसे कुछ भी बदलने की आवश्यकता है, तो मैं ADUC को एक "वास्तविक" DC (या RDP में) से जोड़ सकता हूँ और सीधे अपने परिवर्तन कर सकता हूँ । और अगर मुझे प्रशासनिक पहुँच नहीं मिल रही है, तो मैं कुछ भी नहीं कर सकता, भले ही मेरे पास एक मेज पर बैठे डीसी हों।
मासिमो
2
@ मासीमो - हाँ, आप सही हैं। यू आरओडीसी के लिए एक आकर्षक कारण की तलाश में हैं और एक नहीं है। शाखा कार्यालय की सुरक्षा को कम करने में मदद करने के लिए इसमें कुछ अतिरिक्त सुरक्षा सुविधाएँ हैं और वास्तव में केवल तब ही वहां तैनात होने की आवश्यकता होती है जब आपके पास पहले से ही डीसी नहीं है और इसकी सुरक्षा के बारे में गुदा हो।
15
@ मसिमो आपको किसी भी डीवीडी को बूट करने के लिए AD तक प्रशासनिक पहुँच की आवश्यकता नहीं है और आप सीधे AD डेटाबेस में लिख सकते हैं।
रिचर्ड गड्सडेन
0

RODCs बड़े एंटरप्राइज़ संगठनों के लिए उपयोगी हैं, नोवेल ई-डायरेक्ट्री जैसी प्रतिस्पर्धी उद्यम निर्देशिका सेवाओं को वर्षों से रीड-ओनली प्रतिकृतियां मिली हैं।

0

RODCs का एक और फायदा यह है, कि वे आपको कुछ डिजास्टर रिकवरी करते समय वर्किंग डोमेन कंट्रोलर रखने की अनुमति देंगे, जिसमें सक्रिय निर्देशिका के पुनर्निर्माण के लिए सभी सामान्य डोमेन नियंत्रकों को शामिल करना शामिल है। आपको उन स्थितियों में RODCs को बंद करने की आवश्यकता नहीं है।

JPS
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.