Un Controlador de Dominio de Solo Lectura es un controlador de dominio que tiene como
finalidad aumentar la seguridad en redes distribuidas geográficamente y para
ello hace uso de algunos mecanismos.
Base de datos de Active Directory
de solo lectura
Un RODC mantiene una copia de todos los objetos del directorio así como de sus atributos salvo por las contraseñas que no se almacenan en este, esto permite a los usuarios utilizar al RODC para validarse, en este proceso el RODC reenvía esta petición a un DC superior para llevar a cabo el proceso de autenticación, como resultado de este proceso algunas credenciales quedan cacheadas en el RODC pero esto a su vez tiene como ventaja el no comprometer todas las credenciales del dominio puesto que solo se almacenarán las utilizadas en esa ubicación especifica. Como remate, el DC de nivel superior mantiene un control sobre estas y en caso de un problema de seguridad podremos restablecer las contraseñas de los usuarios afectados.
Un RODC mantiene una copia de todos los objetos del directorio así como de sus atributos salvo por las contraseñas que no se almacenan en este, esto permite a los usuarios utilizar al RODC para validarse, en este proceso el RODC reenvía esta petición a un DC superior para llevar a cabo el proceso de autenticación, como resultado de este proceso algunas credenciales quedan cacheadas en el RODC pero esto a su vez tiene como ventaja el no comprometer todas las credenciales del dominio puesto que solo se almacenarán las utilizadas en esa ubicación especifica. Como remate, el DC de nivel superior mantiene un control sobre estas y en caso de un problema de seguridad podremos restablecer las contraseñas de los usuarios afectados.
Replicación
unidireccional.
Aunque este tipo de controlador de dominio está pensado para evitar realizar cambios en el directorio es posible que algún chico o chica mala consiga hacer cambios sobre el RODC, en este caso no pasará nada ni se replicarán los datos al resto de controladores de dominio con lo que se mantendrá un buen nivel de seguridad.
Aunque este tipo de controlador de dominio está pensado para evitar realizar cambios en el directorio es posible que algún chico o chica mala consiga hacer cambios sobre el RODC, en este caso no pasará nada ni se replicarán los datos al resto de controladores de dominio con lo que se mantendrá un buen nivel de seguridad.
Separación de la función
de Administrador.
Será necesario llevar a cabo algún tipo de mantenimiento en el servidor en algún momento y claro, para esto será necesario hacerlo con una cuenta de usuario de Administrador.
Será necesario llevar a cabo algún tipo de mantenimiento en el servidor en algún momento y claro, para esto será necesario hacerlo con una cuenta de usuario de Administrador.
Se puede configurar
mediante la directiva de replicación de credenciales mediante la cual podemos especificar
que objetos podrán mantener una cache en el servidor.
Para poder llevar a
cabo estas tareas administrativas sin comprometer más de lo necesario la
seguridad podemos delegar sobre un usuario las tareas de administración
del RODC dicho
usuario podrá ejercer de administrador para ese servidor pero no podrá hacerlo
en ningún otro DC o RODC cosa que contribuye a mantener la seguridad de la red.
Registros de DNS de solo
lectura.
Podemos instalar un servicio de DNS en el dominio de solo lectura deberemos de tener en cuenta que no podremos configurarlo para que acepte actualizaciones dinámicos directas de los registros desde los clientes esto conlleva a que el cliente sea “derivado” a un servidor grabable que si pueda procesar la petición adecuadamente.
Podemos instalar un servicio de DNS en el dominio de solo lectura deberemos de tener en cuenta que no podremos configurarlo para que acepte actualizaciones dinámicos directas de los registros desde los clientes esto conlleva a que el cliente sea “derivado” a un servidor grabable que si pueda procesar la petición adecuadamente.
Anexo.
·
Video demostrativo de la creación de un
controlador de dominio de solo lectura.
No hay comentarios:
Publicar un comentario