Windows Server 2008 Active Directory域服务的新增功能

门内粗汉

分支机构域控制器会面临的另一类威胁是本地服务器管理员通过利用 DC 的权限提升自己的权限，进而访问其他域资源或发起拒绝服务攻击。同样，如果本地管理员可以实际接触 到域控制器，就很难防范这类攻击。但是，可以防止攻击者通过使用分支机构的域控制器攻击域中的其他 DC。

此域中的完全 DC 不会将 RODC 视为域控制器予以信任。从信任角度讲，FDC 将 RODC 视为 域中的成员服务器。RODC 不是企业域控制器或域控制器组的成员。RODC 更新目录中任何内容的能力十分 有限，因此即使攻击者获得了 RODC 帐户，也不会得到很高的权限。

RODC 甚至可能不出现在 DS 复制拓扑中。由于 RODC 类似正常的成员服务器，而不象域控制器，知识一致性检查器（KCC，该进程在 每个 DC 上负责计算 DS 复制拓扑）不会从 RODC 构建连接对象。完全 DC 或 RODC 都不会试图从 RODC 进行复制。另一方面，RODC 将创建一个代表源自完全 DC 入站复制协定的连接对象，但是此连接对象仅 存在于 RODC 副本中，其他 DC 没有该连接对象的副本。从复制的角度，RODC 像目录对象的 Roach Motel。对象向内复制，但不向外复制。

RODC 上的管理角色分离

由本地服务器管理员管理 分支机构 DC 是很寻常的现象，这些管理员做每项工作，从在域控制器上运行备份，到整理键盘。但是， 授予远程站点管理员在域控制器进行常规维护所必需的权限会有安全风险，站点管理员有可能提升其在域 中的权限。RODC 通过提供两种管理角色分离来防止此种威胁。

第一种是域管理员可以使用 DCPROMO，以正常方式提升 RODC，或者使用两个步骤的过程，实际的提升流程安全地委派给分支站点管理 员，而不授予任何域管理权限。域管理员使用 Active Directory 用户和计算机 MMC 管理单元预先在域 中创建 RODC 计算机帐户，如图 5 中所示。

图 5 预先创建 RODC 计算机帐户

（编辑：济南站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!