Windows Server 2008 RODCs (Read Only Domain Controllers) - Benefícios

  • Article

clip_image001

Uma das novidades do Windows Server 2008 é um novo recurso do Active Directory chamado "Read Only Domain Controllers", ou simplesmente RODC. Como o nome já diz, são servidores que atuam como Domain Controllers , porém, sua base de AD é somente leitura. Diferente dos antigos BDCs (Backup Domain Controller) dos ambientes NT 4.0, os RODCs possuem algumas vantagens interessantes em um ambiente Windows Server 2003 / 2008, tais como:

  • Segurança: como a base de AD é somente leitura, ela não gera nenhuma alteração nova, o que significa que mesmo compromissada, a base não pode ser alterada; a'lém disso, por padrão, os RODCs não armazenam as credenciais (leia-se senha) dos usuários e computadores de seu ambiente. Ou seja, se o servidor for compromissado e um ataque de brutal force for iniciado, os usuários apresentaram senhas "vazias". Claro que isto é configurável e você pode dizer quais grupos ou usuários podem ou não replicar suas credenciais
  • Gerenciamento: há uma nova funcionalidade chamada "Administrator Role Separation", o que basicamente significa que você pode escolher um grupo do AD ou um usuário para pertencer a um dos grupos locais administrativos de um RODC (isto mesmo, você pode "adicionar" uma conta como administrador local de um RODC), sem que essa conta seja administrador de outros DC's no seu ambiente ou que tenha que fazer parte do grupo "Domain Admins". Isto acrescenta um bom nível de granularidade no seu ambiente e permite endereçar alguns problemas, como por exemplo, permitir que um usuário comum do escritório remoto instale uma impressora em um DC local sem a intervenção direta do administrador
  • Performance / Replicação: como o RODC não gera novos objetos, isto significa que seu Replication Partner do AD terá apenas 1 conector de 1 via e não 2, como de costume. Isto já reduz em 50% o tráfego de replicação, pois apenas o RODC entra em contato com o o seu replication partner (que necessariamente precisa ser um DC full) e recebe as alterações da base do AD.

 

A seguinte documentação contém mais informações a respeito:

Donwload: https://www.microsoft.com/downloads/details.aspx?FamilyID=ae33a129-ff41-4bec-b2b7-6ddcd4998828&DisplayLang=en