2.6.2. Политики репликации и кеширования паролей на RODC

⁠2.6.2. Политики репликации и кеширования паролей на RODC

На RODC можно задать список пользователей, чьи хеши паролей можно или нельзя реплицировать на данный контролер домена.

Примечание

Все пользователи в кеше RODC смогут аутентифицироваться на этом контроллере домена, даже если отсутствует связь с RWDC.

По умолчанию в домене создаются две новые глобальные группы:

Allowed RODC Password Replication Group
Denied RODC Password Replication Group

Первая группа по умолчанию пуста, а во второй содержатся административные группы безопасности, пароли пользователей которых нельзя реплицировать и кешировать на RODC. В группу Denied RODC Password Replication Group по умолчанию входят группы:

Cert Publishers
Domain Admins
Domain Controllers
Enterprise Admins
Group Policy Creator Owners
Read-only Domain Controllers
Schema Admins
учётная запись krbtgt

Участники группы Denied RODC Password Replication Group

Примечание

Список участников групп Denied RODC Password Replication Group и Allowed RODC Password Replication Group:

# samba-tool group listmembers "Denied RODC Password Replication Group"
Read-only Domain Controllers
Domain Admins
Enterprise Admins
Domain Controllers
Schema Admins
krbtgt
Group Policy Creator Owners
Cert Publishers
# samba-tool group listmembers "Allowed RODC Password Replication Group"

В группу Allowed RODC Password Replication Group обычно добавляются группы пользователей филиала, в котором находится RODC.

Для предварительной загрузки данных учетных записей на контроллере RODC используется команда:

# samba-tool rodc preload (<SID>|<DN>|<accountname>)+ ... [опции]

Возможные опции:

--server — обычный контроллер домена, который будет выступать источником данных при репликации;
--file — имя файла со списком реплицируемых объектов, либо «-» для ввода списка через стандартный поток ввода (stdin);
--ignore-errors — игнорировать ошибки репликации при загрузке нескольких объектов.

Эта команда запускает процесс репликации данных указанных объектов с переданного в параметре --server контроллера домена. Для идентификации объектов могут использоваться идентификаторы безопасности (SID), DN или имена учетных записей SAM (samAccountName). Для передачи списка объектов может использоваться:

перечисление объектов списком через пробел;
файл (одна строка соответствует одному объекту);
stdin (одна строка соответствует одному объекту).

Примечание

Для получения дополнительной информации о параметрах команды samba-tool rodc preload можно воспользоваться командой:

# samba-tool rodc preload --help