Ein schreibgeschützter Domänencontroller sollte nur eine bestimmte Benutzerauswahl speichern, damit wir, wenn die Sicherheit des Computers gefährdet ist, steuern und wissen können, welche Konten der Schlüssel sind und einen besonderen Wert für unsere Active Directory- Gesamtstruktur haben Mit diesem Wissen können wir das Passwort für den Rest der Domain dieser Benutzer ändern, ohne jeden einzelnen Benutzer innerhalb der Domain ändern zu müssen.
Es ist wichtig zu erwähnen, dass wir, wenn wir schreibgeschützte Domänencontroller an einem Ort bereitstellen , dies für alle Geräte tun müssen, da wir auf diese Weise nicht dem Zufall überlassen, dass ein gestohlener Computer zum Glück nicht nur schreibgeschützt ist. und nicht diejenigen, die alle Benutzer gespeichert haben.
Anforderungen
Um einen schreibgeschützten Domänencontroller einzurichten, müssen die folgenden Anforderungen erfüllt sein
- Eine Gesamtstruktur mit einer Windows Server 2003- Funktionsebene oder höher
- Die Gesamtstruktur muss für die Bereitstellung schreibgeschützter Domänencontroller vorbereitet sein, wenn die Funktionsebene nicht Windows Server 2012 ist. Hierzu müssen die Befehle adprep / rodcprep verwendet werden.
- In jeder Domäne, in der Sie einen schreibgeschützten Domänencontroller implementieren möchten, muss ein Domänencontroller mit Windows Server 2008 oder höher vorhanden sein.
Implementieren des schreibgeschützten Domänencontrollers
Um den schreibgeschützten Domänencontroller zu implementieren, müssen Sie die folgenden Schritte ausführen, sobald Sie die im vorherigen Punkt genannten Anforderungen erfüllt haben.
- Correr el asistente de agregar roles y características y agregar el rol Active Directory Domain Services ., así como todas las características para soportar el controlador de dominios de solo lectura a la máquina que funcionará como tal. 1 – Führen Sie den Assistenten aus, um Rollen und Funktionen sowie die Active Directory-Domänendienste- Rolle und alle Funktionen zur Unterstützung des schreibgeschützten Domänencontrollers auf dem Computer hinzuzufügen, der als solcher fungiert.
- Correr el asistente de configuración de servicios de dominio de Active Directory para agregar un controlador de dominio a un dominio existente, con esto vemos que el controlador de dominio de solo lectura no puede ser el primer controlador de dominio en un dominio. 2 – Führen Sie den Konfigurationsassistenten für Active Directory- Domänendienste aus, um einer vorhandenen Domäne einen Domänencontroller hinzuzufügen. Dabei wird festgestellt, dass der schreibgeschützte Domänencontroller nicht der erste Domänencontroller in einer Domäne sein kann.
- En la página de opciones de controlador de dominio seleccionar la opción Read Only Domain Controller , elegir el lugar donde dicho controlador estará ubicado e ingresar el password del servicio del modo de recuperación del directorio. 3 – Wählen Sie auf der Seite mit den Domänencontrolleroptionen die Option Schreibgeschützter Domänencontroller , wählen Sie den Ort aus, an dem sich der Controller befinden soll, und geben Sie das Kennwort für den Verzeichniswiederherstellungsmodusdienst ein.
- En la página de opciones del controlador de dominio de solo lectura, establecer la lista de cuentas que pueden hacer réplica al nuevo controlador de dominio de solo lectura, también podremos establecer las cuentas que están bloqueadas de hacer dicha réplica. 4 – Legen Sie auf der Optionsseite des schreibgeschützten Domänencontrollers die Liste der Konten fest, die auf den neuen schreibgeschützten Domänencontroller repliziert werden können. Sie können auch die Konten festlegen, die für diese Replikation gesperrt sind.
- El resto de opciones que se deben seleccionar son las mismas de cuando se genera un controlador de dominios típico, una vez que se completa el uso de este asistente la máquina se reiniciará para poder aplicar los cambios. 5 – Die restlichen Optionen, die ausgewählt werden müssen, sind die gleichen wie beim Generieren eines typischen Domänencontrollers. Sobald die Verwendung dieses Assistenten abgeschlossen ist, wird der Computer neu gestartet, um die Änderungen zu übernehmen.
