Configurando a Diretiva de Replicação de Senha (PRP) – Dica exame 70-640

Um tópico importante do exame 70-640 é o PRP. O Password Replication Policy determina se as credenciais de usuários podem ser armazenadas em cache em um RODC.

por José Anderson

Um tópico importante do exame 70-640 é o PRP.  O Password Replication Policy determina se as credenciais de usuários podem ser armazenadas em cache em um RODC.

Se um RODC puder armazenar em cache as credenciais de um usuário, as atividades de autenticação e de tíquete de serviço desse usuário poderão ser processadas pelo RODC.

A utilização de RODC (Controlador de Domínio Somente Leitura) em localidades remotas aumenta o nível de segurança com relação ao serviço de diretório (AD DS). O RODC mantém uma cópia de todos os objetos do AD DS, exceto segredos como propriedades relacionadas com senha. Quando um usuário em uma filial que tem um RODC efetua o logon, o RODC encaminha a solicitação para um DC gravável no site central.

Nas propriedades da conta de computador do RODC temos dois atributos, o Allowed List e o Denied List. Se a conta de um usuário estiver armazenada na Allowed List, as credenciais desse usuário serão armazenadas em cache. Se a conta de um usuário estiver armazenada na Denied List, as credenciais desse usuário não serão armazenadas em cache.

Para facilitar o gerenciamento do PRP, o Windows Server 2008 cria dois grupos no contêiner Users do Active Directory and Users Computers:

Allowed RODC Password Replication Group: esse grupo é adicionado a Allowed List de todos os RODC’s em todos os sites. E por padrão esse grupo não tem membros.

Denied RODC Password Replication Group: esse grupo é adicionado a Denied List de todos os RODC’s em todos os sites. E por padrão tem como membros alguns objetos sensíveis à segurança, como por exemplo, o grupo Domain Admins.

Neste artigo vou mostrar como adicionar um grupo a Alowed List de um RODC específico, desta forma, os usuários que estiverem dentro do grupo terão suas senhas armazenadas no RODC, e desta forma, o RODC fará a autenticação desses usuários. Vamos a configuração:

1 – Como mostra a imagem abaixo, no meu domínio tenho dois DC’s, um na matriz e um RODC na filial.

2 – Tenho uma OU para a Filial, e nela tenho algumas contas de usuário e um grupo.

3 – A imagem abaixo mostra os membros do grupo, os membros desse grupo poderão ter suas credenciais armazenadas em cache no RODC.

4 – No contêiner Users temos os dois grupos que são adicionados a Allowed List e Denied List dos RODC’s.

5 – A imagem abaixo mostra as propriedades dos dois grupos, o grupo Allowed RODC Password Replication Group não possui membros, já o grupo Denied RODC Password Replication Group tem como membros grupos sensíveis a segurança, é recomendável adicionar o grupo DNS Admins a esse grupo.

Para que um usuário tenha suas credenciais armazenadas em todos os RODC’s do domínio adicione sua conta ou o grupo no qual ele é membro ao grupo Allowed RODC Password Replication Group. Agora se você não quer que as credenciais  da conta seja armazenada nos RODC’s do domínio, adicione a conta ou grupo no qual a conta é membro ao grupo Denied RODC Password Replication Group.

6 – Vou adicionar o grupo criado na OU da filial a Allowed List de um único RODC, desta forma, os membros desse grupo terão suas credenciais armazenadas a um RODC específico, e não a todos os RODC’s do domínio.

7 – Abra as propriedades do RODC no qual você quer armazenar as credenciais. Clique na guia Password Replication Policy.

Note que esta guia mostra os grupos adicionados a Allowed List e Denied List.

Clique em adicionar.

8 – Marque Allow passwords for the account to replicate to this RODC, clique em OK.

9 – Adicione o grupo que contém as contas cujas credenciais serão armazenadas no RODC, no meu caso adicionei o grupo criado na OU da minha Filial.

Para que as credenciais de um usuário sejam armazenadas no RODC, primeiro é necessário que este usuário seja autenticado por um DC gravável. O RODC solicitará a um DC gravável que autentique o usuário, o RODC verificará a Allowed List e Denied List, se a conta do usuário estiver na Allowed List, o RODC armazenará suas credenciais.

10 – Faça logon em computador da filial com a conta de um usuário cuja conta é membro do grupo que foi adicionado a Allowed List.

11 – Agora verificaremos se as credenciais do usuário realmente foram armazenadas no RODC da filial.

Para isso vá a um DC gravável do seu domínio e abra as propriedades do RODC da filial. Clique na guia Password Replication Policy, clique em Advanced.

12 – Note que a conta do usuário já aparece na guia Policy Usage, e isso significa que o RODC armazenou as credenciais desse usuário em cache, e de agora em diante o RODC será o responsável pela autenticação e processamento do tíquete de serviço desse usuário.

Simples não é!

13 – Agora mostrarei como enviar as credenciais de um usuário para que o RODC armazene em cache, e assim no primeiro logon do usuário o RODC já o autenticará.

Ainda na guia Password Replication Policy, clique em Add.

14 – Marque Allow passwords for the account to replicate to this RODC, clique em OK.

15 – Selecione o usuário e clique em OK.

16 – Clique em Advanced.

17 – Clique em Prepopulate Passwords.

18 – Novamente selecione o usuário.

19 – Clique em Yes.

20 – Note que na guia Policy Usage já aparece a conta do usuário selecionado, ou seja, o RODC já armazenou as credenciais desse usuário e partir de agora será o responsável pela autenticação e processamento do tíquete de serviço desse usuário.

Referências:

http://technet.microsoft.com/pt-br/library/cc753470%28WS.10%29.aspx

http://technet.microsoft.com/pt-br/library/cc730883%28WS.10%29.aspx

http://technet.microsoft.com/pt-br/library/cc732801%28WS.10%29.aspx