Les attributs confidentiels qu'on ne veut pas mettre sur les RODC (read only DC)
Les RODC sont les DC 2008 en mode lecture seule, ils sont destinés à déployer dans un site et ne nécessite pas forcément une administration quotidienne.
Il se peut que certains attributs de l'AD que l'on juge 'confidentiels' qu'on ne veut pas forcément qu'ils se trouvent sur les RODC. Pour cela, on peut les empêcher de se propager des RWDC vers les RODC en utilisant la notion de FAS (Filtered Attribute Set).
Un attribut marqué comme "confidentiel" ne peut pas être propagé des RWDC vers les RODC.
Pour cela, on met la valeur 0x080 (128) au 7 ème bit de l'attribut SearchFlag.
L'avantage de marquer les attributs en confidentiels est qu'en cas de perte ou de vol du RODC, ces attributs ne sont pas présents sur le RODC.
Les attributs suivants sont par défaut dans la liste des attributs FAS (filtered attribute set).
ms-PKI-DPAPIMasterKeys
ms-PkI-AccountCredentials
ms-PKI-RoamingTimeStamp
ms-FVE-KeyPackage
ms-FVE-RecoveryInformation
ms-FVE-RecoveryPassword
ms-FVE-VolumeGuid
ms-TPM-OwnerInformation
Voici un exemple de la valeur de l'attribut SearchFlags de ms-PKI-AccoundCredentials
Ceci correspond à la valeur 640 (en décimal)
Pour plus d'information, veuillez voir le lien suivant :
Adding Attributes to the RODC Filtered Attribute Set
