Kontroler RODC replikuje haseł, gdy jest niepoprawne uprawnienia w systemie Windows Server

Symptom

Normalnie odczytu tylko kontrolery domeny (RODC) replikować haseł użytkowników dla kont użytkowników, które jest członkiem Grupy replikacji hasła RODC dozwolone lub są wymienione w atrybut msDS-Reveal-OnDemandGroup konta kontrolera RODC.

Jednakże dla niektórych kont użytkowników, które nie są elementami członkowskimi Grupy replikacji hasła RODC dozwolone lub nie są wymienione w atrybut msDS-Reveal-OnDemandGroup konta kontrolera RODC, okazuje się, że hasła dla tych kont są uwierzytelniane przez kontroler RODC może być buforowana przez kontroler RODC.

Na przykład podczas porównywania danych wyjściowych właściwości Zaawansowane zasady replikacji haseł przy użyciu użytkownicy usługi Active Directory i komputery i dane wyjściowe "repadmin/prp widoku RODC_name ujawnić", wpisów na liście różnią się między nimi.

Przyczyna

Ten problem jest spowodowany przez nieprawidłowe uprawnienia konfiguracji.

Domyślnie grupa Kontrolerów domeny przedsiębiorstwa , który zawiera tylko zapisywalnych kontrolerów domeny ma uprawnienia Replikowanie wszystkich zmian katalogu w partycji domeny. Na przykład "DC = contoso, DC = com" w usłudze Active Directory.

Jednak gdy wystąpi problem, problem kontrolera RODC ma również Replikowanie wszystkich zmian katalogu uprawnień w domenie ponieważ zostało przyznane przez administratora grupie Kontrolery domeny przedsiębiorstwa tylko do odczytu lub do obiektu kontrolera RODC bezpośrednio lub pośrednio za pośrednictwem innych członkostwo w grupie.

Normalnie kontrolery RODC tylko będą replikowane haseł użytkowników, jeśli konta użytkowników są członkiem Grupy replikacji hasła RODC dozwolone lub są wymienione w atrybut msDS-Reveal-OnDemandGroup konta kontrolera RODC.

Za zgodą Replikowanie wszystkich zmian katalogu wszystkie atrybuty użytkownika, łącznie z hasłami, są replikowane ze źródłowego kontrolera domeny do kontrolera RODC jakby kontrolera RODC normalny odczyt zapis DC (RWDC).

Rozwiązanie

Aby rozwiązać ten problem, należy zmienić uprawnienia Replikowanie wszystkich zmian katalogu , któremu przyznano na obiekt przedsiębiorstwa kontrolery domeny tylko do odczytu do Replikowania zmian katalogowych.

Więcej informacji

Wykonaj następujące kroki, aby zweryfikować uprawnienia i określić, skąd pochodzą ze złej uprawnienia.

Krok 1

Aby wyświetlić uprawnienia "kontroli dostępu" w domenie, należy użyć narzędzia LDP.  w tym celu wykonaj następujące czynności:

  1. Uruchom polecenie LDP.exe na kontrolerze domeny.

  2. Podłącz do drzewa (na przykład "DC = contoso, DC = com").

  3. Kliknij prawym przyciskiem myszy DC = contoso, DC = com węzła, wybierz opcję Zaawansowane, a następnie wybierz Deskryptora zabezpieczeń.

  4. Wybierz opcję Zrzut tekstu dla widoku tekstu uprawnień lub pozostawić niezaznaczone, aby uzyskać edytora zabezpieczeń GUI.

  5. Sprawdź uprawnienia, aby upewnić się, że Kontrolery domeny tylko do odczytu przedsiębiorstwa Grupa ma uprawnienia tylko replikowania zmian katalogowych.

Krok 2

Sprawdzić członkostwo grup kontrolera RODC, aby ustalić, czy Replikowanie wszystkich zmian katalogu jest udzielana za pośrednictwem innej grupy.

Aby uzyskać prawdziwe członkostwo kontrolera RODC, można użyć kwerendy dla atrybutu TokenGroups pobrać listy efektywnego grupy użytkownika przy użyciu narzędzia LDP.

Wyszukiwanie

Upewnij się, wybierz zakres "Base", a następnie dodać wymaganego atrybutu. Podczas tworzenia zakresów wyszukiwania na poszczególnych użytkowników można pobrać listy dla tego użytkownika. Jeśli użytkownik znajduje się w wielu grup, należy rozszerzyć ilość danych, które narzędzie LDP drukuje w okienku po prawej stronie, z menu wybierz Options\General i dopasować znaków w polu do wartości większej:

Atrybut

Krok 3

W systemie Windows Server 2008 R2, Windows 7, Windows Server 2008 lub Windows Vista sprawdź, czy występuje ten problem, to jest opisane w następującym artykule:

Przystawki programu MMC "Użytkownicy i komputery usługi Active Directory" nie zawiera wszystkich kont, które buforować hasła na kontrolerze RODC w systemie Windows

Krok 4

CPotwierdzaj spójności właściwości konta komputera kontrolera RODC na wszystkich kontrolerach domeny w domenie.

Jedną z metod jest użycie repadmin Aby wyeksportować metadane replikacji konta komputera kontrolera RODC z wszystkich kontrolerów domeny. Aby to zrobić, należy użyć następującego polecenia:

repadmin /showobjmeta * <dn of RODC account>’ > rodc_meta.txt

Krok 5

Podobnie do kroku 4, potwierdź spójność "dozwolona replikacja haseł na kontrolerach RODC" grupy i inne grupy skonfigurowany dla atrybutu MsDS-Reveal-OnDemandGroup Zobacz, jeśli można wytłumaczyć hasła niepoprawnie pamięci podręcznej użytkownika poprzez członkostwo w grupie niespójne na różnych kontrolerach domeny, które mogą być spowodowane przez problemy z replikacją.

Krok 6

Upewnij się, że użytkownicy, którzy mają swoje hasła buforowane przez kontroler RODC przypadkowo nie jest członkiem grupy, który jest skonfigurowany do buforować swoje hasła.

Uwaga, że program MMC zbierze informacje o zasadach replikacji haseł z jakiegokolwiek kontrolera domeny (nawet RODC), przy jednoczesnym woli polecenia repadmin/prp zawsze interrogate kontrolera domeny odczytu i zapisu.

W przypadku niespójności replikacja między kontrolerem RODC i RW DC, może to tłumaczyć różnicę w danych wyjściowych tych dwóch narzędzi/metody.

Potrzebna dalsza pomoc?

Rozwijaj swoje umiejętności
Poznaj szkolenia
Uzyskuj nowe funkcje w pierwszej kolejności
Dołącz do niejawnych testerów firmy Microsoft

Czy te informacje były pomocne?

Dziękujemy za opinię!

Dziękujemy za opinię! Wygląda na to, że połączenie Cię z jednym z naszych agentów pomocy technicznej pakietu Office może być pomocne.

×