Password Replication Policy

Password Replication Policy یا با اختصار PRPتعیین کننده ی کاربرانی است که Credential آن ها می تواند روی یک RODC خاص Cache شود. اگر PRP اجازه Cache کردن یک Credential را بدهد، آنگاه Authentication و فعالیت های مرتبط با Service Ticket ها می توانند توسط RODC برای آن Credential انجام شود. اگر Credential یک اکانت Cache نشده باشد، آنگاه RODC آن را به یک DC دیگر ارجاع می دهد. لیست اکانت های مجاز و غیر مجاز برای Cache شدن توسط دو لیست Allowed List و Deny List معین می گردند. می توان از گروه های کاربری برای مدیریت ساده تر استفاده کرد. اگر یک User یا گروه هایی که عضو آن است در هر دو لیست باشد، Credential مربوطه Cache نخواهد شد.

تنظیم PRP به صورت Domain-wide

برای ساده کردن مدیریت PRP ویندوز سرور ۲۰۰۸ دارای دو گروه کاربری به صورت Domain Local Security است. گروه اول به نام Allowed RODC Password Replication Group به صورت پیش فرض در Allowed List در RODC ها قرار دارد. به صورت پیش فرض، اکانت های ساخته شده جدید عضو این گروه نیستند بنابراین، Credential در RODCها Cache نخواهد شد. اگر قصد دارید تا Credential یک Account روی RODCها Cache شود، فقط کافی است آن اکانت عضو این گروه باشد.

گروه دوم Denied RODC Password Replication Group است که به صورت پیش فرض در Denied List  قرار دارد. اگر قصد دارید اطمینان پیدا کنید یک Credential خاص Cache نمی شود، کافی است عضو این گروه باشد. به صورت پیش فرض این گروه شامل گروه های حساس امنیتی همانند Domain Admins, Enterprise Admins و Group Policy Creator Owners است.

نکته: به یاد داشته باشید که تنها User Accounts به Authentication و Service Ticket احتیاج ندارد. Computer های در Branch Office نیز دارای اکانت هستند که برای بهبود عملکرد (Performance) بهتر است آن اکانت ها در Allowed List جای گیرند.

تنظیم PRP برای یک RODC خاص

استفاده از دو گروه کاربری مطرح شده در بالا، شاید ساده ترین راه باشد، اما کارآمد ترین روش برای استفاده از RODC ها در Branch Office های متعدد نیست. در این صورت لازم است تنظیمات اکانت های Cache شده برای هر RODC  متمایز باشد. برای تنظیم PRP در Domain Controllers OU در کنسول Active Directory Users & Computers روی RODC مورد نظر کلیک راست کرده و Properties را می زنیم. آنگاه در زبانه Password Replication Policy می توان به مدیریت دو لیست Allowed List و Denied List پرداخت. توجه داشته باشید این دو لیست در یک پنل نمایش داده می شود.

image
تصویر: ویرایش Password Replication Policy

 

یک دیدگاه در “Password Replication Policy

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *