Mise en cache des informations d'identification

Une stratégie PRP de RODC détermine si les comptes peuvent être mis en cache sur le RODC concerné. Par défaut, la liste d’autorisations dans la stratégie PRP spécifie que vous ne pouvez pas mettre en cache les mots de passe de comptes. De même, elle interdit

explicitement la mise en cache de certains comptes. Cette stratégie est prioritaire sur les configurations d’autorisation configurées manuellement. Comme indiqué précédemment, il sera peut-être nécessaire de configurer les stratégies PRP sur chaque RODC afin de permettre la mise en cache des mots de passe pour les comptes.

Abordez cette étape avec précaution, car les modifications de stratégie PRP ont des incidences à la fois sur la sécurité et la disponibilité des services. Par exemple, le scénario par défaut empêchant la mise en cache des comptes renforce la sécurité, mais rend les accès hors ligne impossibles si la connectivité réseau vers un DC en écriture devient indisponible.

A l’inverse, lorsqu’un pourcentage élevé de comptes peut être placé en cache (par exemple, le groupe utilisateurs du domaine), la sécurité est nettement plus faible en cas de compromission du RODC, mais le niveau de disponibilité des serveurs pour les comptes placés en cache est plus élevé. En raison des exigences métiers et techniques propres aux différents environnements d’infrastructure, les conceptions de stratégie PRP varieront d’une structure à l’autre.

Une fois que vous avez établi un modèle de stratégie PRP, vous devrez configurer la stratégie PRP sur chaque RODC, afin de pouvoir mettre en cache les comptes appropriés. Une pratique d’excellence consiste à configurer les stratégies PRP avec des autorisations explicites et à ne pas modifier la liste des interdictions par défaut. La liste des interdictions est critique car elle empêche de mettre en cache des informations d’identification de comptes critiques (notamment les administrateurs de services AD DS) sur les RODC.

Un autre aspect clé de la conception de stratégie PRP consiste à déterminer si les comptes pouvant être placés en cache seront préremplis avec des mots de passe. Par défaut, les informations d’identification de comptes pouvant être mis en cache sont placées en cache uniquement après la connexion initiale à un RODC, lorsque la demande d’authentification est transmise à un DC en écriture Windows Server 2008 ou Windows Server 2008 R2 et que les informations d’identification sont répliqués sur le RODC. Autrement dit, si la connectivité réseau vers un DC en écriture devient inaccessible avant que les comptes pouvant être mis en cache soient authentifiés sur un RODC, la connexion échouera même si les comptes ont été configurés comme pouvant être mis en cache.

Pour résoudre ce problème, vous pouvez préremplir manuellement le cache de mots de passe dès que la stratégie PRP est configurée et que les comptes sont marqués comme pouvant être placés en cache. Cette opération requiert aussi la disponibilité de la connectivité réseau entre un DC en écriture Windows Server 2008 ou Windows Server 2008 R2 et le RODC. Vous pouvez effectuer cette opération à l’avance pendant le processus de déploiement, ce bien avant la première connexion des utilisateurs pouvant être mis en cache.

Utilisez ce guide de conception d’architecture de base comme point de départ de votre planification de RODC. En abordant des aspects de conception clés, cet article fournit un point de départ très utile pour concevoir une solution de RODC détaillée et exhaustive. Ce processus n’est pas simple et nécessite beaucoup de temps afin de concilier les nouvelles fonctionnalités et considérations de conception avec l’environnement et les exigences propres à votre structure.