在总公司的网域控制站提升树系功能等级.pptVIP

第 6 章 唯讀網域控制站（RODC） 本章重點 6 - 1 RODC 的用途和特點 6 - 2 建立 RODC 唯讀網域控制站（RODC） 在前幾章我們已經認識了 AD 網域中的網域控制站（DC）, 可是從 Windows Server 2008 開始, 卻冒出了一個特殊的角色－－唯讀網域控制站（RODC, Read Only Domain Controller）。 究竟它的用途何在？如何實作？這些都是本章要探討的主題。 6 - 1 RODC 的用途和特點 RODC 的用途 RODC 的特點 RODC 的用途 在一般 AD 網域中, 由於網域控制站彼此會利用複寫（Replication）機制, 來同步 AD 資料庫的內容, 所以每一部網域控制站的 AD 資料庫都有相同的內容。 從資安的角度來看, 每一部網域控制站都一樣重要！ 在現實環境中, 中小企業為了節省成本, 分公司（或辦事處）的空間大小與人員編制往往不如總公司。 RODC 的用途 因此分公司的網域控制站可能位於主管辦公室的一隅, 既無嚴密的門禁管制, 更無專職的系統管理員。 這形成了一個諷刺的現象－－明明都擁有同等重要的資料, 總公司的網域控制站擁有五星級的待遇；分公司的網域控制站卻只得到一星級的對待。 從資安的角度來看, 這無異是將前門鎖得牢不可破, 卻留下一道脆弱的後門, 形成安全漏洞！ RODC 的用途 為了解決上述的問題, 微軟創造了 RODC 這個特殊的網域控制站, 它是一種『萬一遭竊或遭入侵, 損害較少』的網域控制站！ 當企業不得不在安全性較差的處所擺放網域控制站時, 最佳的選擇就是擺放 RODC。 RODC 的特點 RODC 具有以下的特點： AD 資料庫的內容具有『唯讀』屬性 為了避免駭客從 RODC 入侵、置入偽造的資料, 再透過複寫機制寫到總公司的網域控制站, 因此將 AD 資料庫的內容強制賦予『唯讀』屬性, 任何一位使用者都不能直接修改 RODC 的 AD 資料庫內容。 RODC 只能接受複寫進來的資料 RODC 的特點 一般網域控制站的複寫（Replication）都是雙向的, 可以接受其它網域控制站送來的資料；也可以送出資料給其它網域控制站。 可是 RODC 的複寫只能接受資料, 不能送出資料。 剛建立 RODC 時, 就會從指定的網域伺服器複製 AD 資料庫的內容, 後續的更新也都從其它網域控制站送過來。 AD 資料庫的內容不包含使用者的密碼 RODC 的特點 為了避免萬一 RODC 遭竊, 有心人士可從其中的 AD 資料庫破解出使用者的名稱與密碼, 因此不在 RODC 的 AD 資料庫存放密碼。 可用本機系統管理員的身分管理 RODC 網域控制站的系統管理員就是網域系統管理員（Domain Administrator）, 在網域擁有最大權限, 即使 RODC 也不例外。 倘若 RODC 的系統管理員身分被冒用, 等於整個網域都失守了。 RODC 的特點 由於分公司沒有專任的 IT 人員, 不宜知道 RODC 系統管理員的帳戶名稱和密碼。 可是有時候卻必須有夠大的權限才能執行特定的工作, 例如：安裝應用程式、更新驅動程式等等, 因此該如何賦予分公司管理 RODC 的使用者的權限, 成為一個兩難的問題。 如今在建立 RODC 的過程中, 系統會要求我們指定某個使用者或群組來管理 RODC。 RODC 的特點 被指定的對象會獲得 RODC『本機系統管理員』的權限－－只是『本機』、不是『網域』系統管理員！ 所以可以在 RODC 執行安裝應用程式、更新驅動程式等等工作, 可是不能登入其它的網域控制站, 也不能更改 AD 資料庫的內容。 6 - 2 建立 RODC 要建立 RODC, 不但網路環境要能符合基本條件, 整個過程還必須在總公司與分公司兩處, 由不同人員分別執行, 因此在看後文時, 請讀者注意當時的地點與身分。 要建立 RODC 的基本條件 若要在已經存在的網域中另外建立一部 RODC, 則該網域必須符合下列條件： 網域的樹系功能等級必須為 Windows Server 2003 或 Windows Server 2008（在後文會說明變更樹系功能等級的方式）。 網域必須有至少一部的 Windows Server 2008 網域控制站。 建立 RODC 的步驟 假設目前的網路環境如下： 建立 RODC 的步驟 總公司的 xdom.biz.tw 網域已經有一部 Windows Server 2008 網域控制站, 其電腦名稱為 WS2008。 現在要將網域外的另一部 Windows Server 2008 加入網域、並升級為 RODC, 後文將此電腦簡稱為『準 RODC』, 其電腦名稱為 Server01。 在這裡要特別強調一點：準 R