Une stratégie PRP de RODC détermine si les comptes peuvent être mis en cache sur le RODC concerné. Par défaut, la liste d’autorisations dans la stratégie PRP spécifie que vous ne pouvez pas mettre en cache les mots de passe de comptes. De même, elle interdit
Mise en cache des informations d’identification

explicitement la mise en cache de certains comptes. Cette stratégie est prioritaire sur les configurations d’autorisation configurées manuellement. Comme indiqué précédemment, il sera peut-être nécessaire de configurer les stratégies PRP sur chaque RODC afin de permettre la mise en cache des mots de passe pour les comptes.
Abordez cette étape avec précaution, car les modifications de stratégie PRP ont des incidences à la fois sur la sécurité et la disponibilité des services. Par exemple, le scénario par défaut empêchant la mise en cache des comptes renforce la sécurité, mais rend les accès hors ligne impossibles si la connectivité réseau vers un DC en écriture devient indisponible.
A l’inverse, lorsqu’un pourcentage élevé de comptes peut être placé en cache (par exemple, le groupe utilisateurs du domaine), la sécurité est nettement plus faible en cas de compromission du RODC, mais le niveau de disponibilité des serveurs pour les comptes placés en cache est plus élevé. En raison des exigences métiers et techniques propres aux différents environnements d’infrastructure, les conceptions de stratégie PRP varieront d’une structure à l’autre.
Une fois que vous avez établi un modèle de stratégie PRP, vous devrez configurer la stratégie PRP sur chaque RODC, afin de pouvoir mettre en cache les comptes appropriés. Une pratique d’excellence consiste à configurer les stratégies PRP avec des autorisations explicites et à ne pas modifier la liste des interdictions par défaut. La liste des interdictions est critique car elle empêche de mettre en cache des informations d’identification de comptes critiques (notamment les administrateurs de services AD DS) sur les RODC.
Un autre aspect clé de la conception de stratégie PRP consiste à déterminer si les comptes pouvant être placés en cache seront préremplis avec des mots de passe. Par défaut, les informations d’identification de comptes pouvant être mis en cache sont placées en cache uniquement après la connexion initiale à un RODC, lorsque la demande d’authentification est transmise à un DC en écriture Windows Server 2008 ou Windows Server 2008 R2 et que les informations d’identification sont répliqués sur le RODC. Autrement dit, si la connectivité réseau vers un DC en écriture devient inaccessible avant que les comptes pouvant être mis en cache soient authentifiés sur un RODC, la connexion échouera même si les comptes ont été configurés comme pouvant être mis en cache.
Pour résoudre ce problème, vous pouvez préremplir manuellement le cache de mots de passe dès que la stratégie PRP est configurée et que les comptes sont marqués comme pouvant être placés en cache. Cette opération requiert aussi la disponibilité de la connectivité réseau entre un DC en écriture Windows Server 2008 ou Windows Server 2008 R2 et le RODC. Vous pouvez effectuer cette opération à l’avance pendant le processus de déploiement, ce bien avant la première connexion des utilisateurs pouvant être mis en cache.
Utilisez ce guide de conception d’architecture de base comme point de départ de votre planification de RODC. En abordant des aspects de conception clés, cet article fournit un point de départ très utile pour concevoir une solution de RODC détaillée et exhaustive. Ce processus n’est pas simple et nécessite beaucoup de temps afin de concilier les nouvelles fonctionnalités et considérations de conception avec l’environnement et les exigences propres à votre structure.
Téléchargez cette ressource

Percer le brouillard des rançongiciels
Explorez les méandres d’une investigation de ransomware, avec les experts de Palo Alto Networks et Unit 42 pour faire la lumière dans la nébuleuse des rançongiciels. Plongez au cœur de l’enquête pour comprendre les méthodes, les outils et les tactiques utilisés par les acteurs de la menace. Découvrez comment prévenir les attaques, les contrer et minimiser leur impact. Des enseignements indispensables aux équipes cyber.
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- Évolution du marché de la virtualisation : quelle voie choisir ?
- La performance de l’IA et l’analytique reposent sur des fondations de données solides
- AI Appreciation Day,16 juillet « cet email de 10 pages aurait pu se résumer en 3 points »
- L’informatique quantique perçue comme la menace de cybersécurité la plus critique
- Bâtir une entreprise AI-native : par où commencer
