正在预填充密码

更新时间: 2008年12月

应用到: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012

凭据缓存

凭据缓存指用户或计算机凭据的存储。默认情况下,除了本身的计算机帐户和该 RODC 的特殊 krbtgt 帐户外,只读域控制器 (RODC) 不存储用户凭据或计算机凭据。你必须明确允许任何其他凭据在该 RODC 上缓存。

密码复制策略

最初部署 RODC 时,必须在作为其复制伙伴的可写入域控制器上配置密码复制策略 (PRP)。PRP 相当于一个访问控制列表 (ACL)。它确定是否允许 RODC 缓存帐户的凭据。RODC 收到用户或计算机登录请求后,会尝试从 Windows Server 2008 或更高级的可写入域控制器复制该帐户的凭据。可写入域控制器会参考 PRP 以确定是否应缓存该帐户的凭据。如果 PRP 允许缓存该帐户,则 Windows Server 2008 可写入域控制器会将该帐户的凭据复制到 RODC,然后 RODC 会缓存这些凭据。此后,该帐户再进行登录时,RODC 可以参考缓存的凭据对其进行身份验证。RODC 不需要联系可写入域控制器。

PRP 允许和拒绝列表

为了支持 RODC 操作,在 Windows Server 2008 或更高级的 Active Directory 域中引入了两个新的内置组。这两个内置组分别是“域 RODC 密码复制允许组”和“域 RODC 密码复制拒绝组”。这两个组可以帮助实施 RODC 密码复制策略的默认允许列表和拒绝列表。

默认情况下,“域 RODC 密码复制拒绝组”包含下列成员:

  • 企业域控制器

  • 企业只读域控制器

  • Group Policy Creator Owners

  • Domain Admins

  • Cert Publishers

  • Enterprise Admins

  • Schema Admins

  • 域范围 krbtgt 帐户

默认情况下,拒绝列表属性包含下列安全主体,它们全部为内置组:

  • 域 RODC 密码复制拒绝组

  • Account Operators

  • Server Operators

  • Backup Operators

  • Administrators

清除缓存的密码

没有可用于清除 RODC 上给定用户的缓存密码的机制。若要清除 RODC 上存储的密码,应由管理员在中心站点上重置密码。这样,当访问中心站点或其他分支中的任何资源时,分支中缓存的密码将不再有效。如果 RODC 被泄露,请重置当前缓存的密码,然后重建 RODC。

其他参考

社区附加资源

添加
显示: