Lektion 2: Konfigurieren von schreibgeschützten Domänencontrollern 263
Sitename=MyBranch
databasePath="e:\ntds"
logPath="e:\ntdslogs"
sysvolpath:"f:\sysvol"
SafeModeAdminPassword:P@ssw0rd
RebootOnCompletion:yes
Weitere Informationen Server Core-Features
Weitere Informationen über die Features, die Sie auf einer Server Core-Installation installie-
ren können, finden Sie unter http://technet.microsoft.com/de-de/library/cc771345.aspx.
Weitere Informationen Optionen beim Installieren eines RODCs
Weitere Informationen über die RODC-Installation, darunter Hinweise zur delegierten
Installation, finden Sie im Artikel „Schrittweise Anleitung für schreibgeschützte Domänen-
controller“ unter http://technet.microsoft.com/de-de/library/cc772234.aspx.
Kennwortreplikationsrichtlinien
Eine Kennwortreplikationsrichtlinie (Password Replication Policy, PRP) legt fest, über wel-
che Benutzer ein bestimmter RODC Anmeldeinformationen zwischenspeichern darf. Wenn
die PRP einem RODC erlaubt, die Anmeldeinformationen eines Benutzers in seinem Cache
zu speichern, ist der RODC in der Lage, Authentifizierungs- und Dienstticketoperationen
dieses Benutzers selbst zu verarbeiten. Dürfen die Anmeldeinformationen eines Benutzers
nicht auf einem RODC zwischengespeichert werden, leitet der RODC alle entsprechenden
Authentifizierungs- und Dienstticketoperationen an einen beschreibbaren Domänencontrol-
ler weiter.
Eine RODC-PRP wird durch zwei Attribute des RODC-Computerkontos festgelegt. Diese
Attribute werden als Zulassen-Liste (engl. allowed list) und Verweigern-Liste (engl. denied
list) bezeichnet. Ist das Konto eines Benutzers in der Zulassen-Liste enthalten, werden die
Anmeldeinformationen dieses Benutzers zwischengespeichert. Sie können auch Gruppen in
die Zulassen-Liste eintragen, dann werden die Anmeldeinformationen aller Benutzer, die zu
diesen Gruppen gehören, auf dem RODC zwischengespeichert. Steht ein Benutzer sowohl
auf der Zulassen-Liste als auch der Verweigern-Liste, werden seine Anmeldeinformationen
nicht zwischengespeichert: Die Verweigern-Liste hat Vorrang.
Konfigurieren einer domänenweiten Kennwortreplikationsrichtlinie
Um die Verwaltung der PRP zu erleichtern, erstellt Windows Server 2008 zwei domänen-
lokale Sicherheitsgruppen im AD DS-Container Users. Die erste heißt Zulässige RODC-
Kennwortreplikationsgruppe, sie wird zur Zulassen-Liste aller neuen RODCs hinzugefügt.
In der Standardeinstellung hat die Gruppe keine Mitglieder. Daher speichert ein neuer
RODC keinerlei Anmeldeinformationen in seinem Cache. Gibt es Benutzer, deren Anmelde-
informationen
Sie auf allen RODCs der Domäne zwischenspeichern wollen, können Sie diese
Benutzer zur Gruppe Zulässige RODC-Kennwortreplikationsgruppe hinzufügen.
264 Kapitel 5: Konfigurieren von AD LDS und RODCs
Die zweite Gruppe heißt Abgelehnte RODC-Kennwortreplikationsgruppe. Sie wird zur Ver-
weigern-Liste aller neuen RODCs hinzugefügt. Wenn Sie verhindern wollen, dass die An-
meldeinformationen bestimmter Benutzer jemals in den RODCs der Domäne zwischenge-
speichert werden, können Sie diese Benutzer zur Gruppe Abgelehnte RODC-Kennwortrepli-
kationsgruppe hinzufügen. In der Standardeinstellung enthält diese Gruppe sicherheitsrele-
vante Konten, die Mitglieder von Gruppen wie Domänen-Admins, Organisations-Admins
und Richtlinien-Ersteller-Besitzer sind.
Hinweis Zwischenspeichern von Computeranmeldeinformationen
Neben den Benutzern der Zweigstellen generieren auch Zweigstellencomputer Authentifi-
zierungs- und Dienstticketoperationen. Um die Leistung der Systeme in einer Zweigstelle zu
verbessern, sollten Sie dem Zweigstellen-RODC erlauben, sowohl Benutzer- als auch Com-
puteranmeldeinformationen zwischenzuspeichern.
Konfigurieren einer RODC-spezifischen Kennwortreplikationsrichtlinie
Mithilfe der Gruppen Zulässige RODC-Kennwortreplikationsgruppe und Abgelehnte
RODC-Kennwortreplikationsgruppe ist es möglich, die PRP für alle RODCs zu verwalten.
Meist wollen Sie aber dem RODC in jeder Zweigstelle erlauben, die Benutzer- und Com-
puteranmeldeinformationen der Konten in seinem jeweiligen Standort zwischenzuspeichern.
Daher müssen Sie für jeden RODC individuelle Zulassen- und Verweigern-Listen konfigu-
rieren.
Sie konfigurieren eine RODC-PRP, indem Sie in der Organisationseinheit Domain Control-
lers die Eigenschaften des RODC-Computerkontos öffnen. Auf der Registerkarte Kennwort-
replikationsrichtlinie (Abbildung 5.14) können Sie sich die aktuellen PRP-Einstellungen
ansehen und Benutzer oder Gruppen zur PRP hinzufügen und daraus entfernen.
Abbildung 5.14 Die Registerkarte Kennwortreplikationsrichtlinie eines RODCs
Get Aktualisieren Ihrer MCSA/MCSE-Zertifizierung auf Windows Server 2008 MCTS - Original Microsoft Training für Examen 70-648 und 70-649 now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
