Predstavljamo vam Windows Server 2008 - 7. deo

Sa razvojem kancelarijskih ogranaka u mnogim organizacijama, mnogi su shvatili da postoji problem vezan za autentifikaciju. Ogranci firmi obično dobijaju kontroler domena preko kojeg se korisnici mogu autentifikovati u lokalnom DC-u umesto da moraju da idu na spori, ili čak srušeni, WAN link, koji može da dovede do grešaka ili blokiranja autentifikacije i nemogućnosti da pristupite čak i lokalnim resursima.

Rešenje je bilo da se postave kontroleri domena u kancelarijskim ograncima. Iako je ovo rešilo inicijalni problem autentifikacije, javili su se bezbednsoni problemi. Pošto većina ogranaka kancelarija nema isti nivo IT stručnosti kao glavna kancelarija, a svakako nemaju isti nivo fizičke bezbednosti, kontroleri domena ogranaka kancelarija postaju veoma slabe tačke u čitavoj Active Directory infrastrukturi. Promene koje napravi nestručan korisnik u ogranku kancelarija može da ima efekte na čitavu organizaciju i ako neko ukrade DC u ogranku kancelarije, to potencijalno može da kompromituje sve naloge u organizaciji.

Rešenje Windows Server-a 2008 je Read Only Domain Controller (RODC). RODC sadrži read only kopiju Active Directory baze podataka i jedine informacije o nalozima koje se skladište u RODC-u su za naloge u ogranku kancelarije. Pošto se nikakve izmene u Active Directory-ju ne mogu napraviti u RODC-u, ne postoji bojazan da će nestručni korisnik napraviti nepopravljivu štetu u Active Directory-u. I pošto obično nema administrativnih korisnika u ograncima kancelarija, postoji relativno mali rizik da će RODC u ograncima kancelarija posedovati naloge administratora koji se mogu kompromitovati u slučaju krađe RODC-a.

RODC-ovi se takođe mogu konfigurisati da keširaju samo određene naloge. I u slučaju da se RODC ukrade, lista keširanih korisničkih naloga na RODC-u je dostupna kroz administraciju Active Directory-ja u glavnoj kancelariji. To omogućuje administratoru Active Directory-ja da isključi ili resetuje prava pristupa ovih naloga iz glavne kancelarije.