RODC - Read Only Domain Controller

O RODC é um novo tipo de Controlador de Domínio introduzido no Windows Server 2008. Através da role de AD DS (Active Directory Domain Services) você pode promover um novo controlador de domínio com uma base de AD (ntds.dit) como somente leitura. Isto lhe providencia um recurso extra de segurança e gerenciamento principalmente em ambientes de escritório remoto, onde muitas vezes em localidades remotas não é possível garantir a integridade física de um servidor com a mesma garantia de um datacenter.

Para maiores informações sobre o funcionamento do RODC, leia o artigo AD DS: Read-Only Domain Controllers

O ponto que quero destacar aqui é o que chamamos de "Password Caching".  Por padrào, um RODC não armazena as SENHAS de nenhum usuário localmente, exceto da conta de ticket Kerberos(kbrtgt). Assim, se um servidor RODC for comprometido (roubado por exemplo), as credenciais não estarão neste servidor, garantido um nível extra de segurança de dados/credenciais.

Logicamente, existe ferramentas para se configurar quais contas podem ser armazenadas em cache local. Existe uma característica chamada " Password Replication Policy " que permite definir quais grupos ou usuários poderão fazer cache de suas credenciais. Isto permite um balanceamento de configurações, onde cada arquiteto ou ITPro precisa definir qual parâmetro a seguir, levando as seguintes considerações:

  • Nenhuma conta em cache: é a opção que lhe dá maior segurança, porém, em caso de problemas com link (offline) você pode sofrer problemas de autenticação;
  • Maioria das contas em cache: é mais fácil de gerenciar, pois as credenciais estarão localmente armazenadas, porém, em termos de segurança, você acaba perdendo alguns fatores que o RODC pode lhe providenciar.
  • Poucas contas em cache: isto lhe permite escolher por exemplo que apenas os usuários que se autenticam/residem em um escritório remoto terão suas contas em cache. Isto é interessante, pois você melhora a experiência de logon / problemas de link offline e ainda assim mantém um bom nível de segurança no escritório remoto.