Une stratégie PRP de RODC détermine si les comptes peuvent être mis en cache sur le RODC concerné. Par défaut, la liste d’autorisations dans la stratégie PRP spécifie que vous ne pouvez pas mettre en cache les mots de passe de comptes. De même, elle interdit
Mise en cache des informations d’identification
explicitement la mise en cache de certains comptes. Cette stratégie est prioritaire sur les configurations d’autorisation configurées manuellement. Comme indiqué précédemment, il sera peut-être nécessaire de configurer les stratégies PRP sur chaque RODC afin de permettre la mise en cache des mots de passe pour les comptes.
Abordez cette étape avec précaution, car les modifications de stratégie PRP ont des incidences à la fois sur la sécurité et la disponibilité des services. Par exemple, le scénario par défaut empêchant la mise en cache des comptes renforce la sécurité, mais rend les accès hors ligne impossibles si la connectivité réseau vers un DC en écriture devient indisponible.
A l’inverse, lorsqu’un pourcentage élevé de comptes peut être placé en cache (par exemple, le groupe utilisateurs du domaine), la sécurité est nettement plus faible en cas de compromission du RODC, mais le niveau de disponibilité des serveurs pour les comptes placés en cache est plus élevé. En raison des exigences métiers et techniques propres aux différents environnements d’infrastructure, les conceptions de stratégie PRP varieront d’une structure à l’autre.
Une fois que vous avez établi un modèle de stratégie PRP, vous devrez configurer la stratégie PRP sur chaque RODC, afin de pouvoir mettre en cache les comptes appropriés. Une pratique d’excellence consiste à configurer les stratégies PRP avec des autorisations explicites et à ne pas modifier la liste des interdictions par défaut. La liste des interdictions est critique car elle empêche de mettre en cache des informations d’identification de comptes critiques (notamment les administrateurs de services AD DS) sur les RODC.
Un autre aspect clé de la conception de stratégie PRP consiste à déterminer si les comptes pouvant être placés en cache seront préremplis avec des mots de passe. Par défaut, les informations d’identification de comptes pouvant être mis en cache sont placées en cache uniquement après la connexion initiale à un RODC, lorsque la demande d’authentification est transmise à un DC en écriture Windows Server 2008 ou Windows Server 2008 R2 et que les informations d’identification sont répliqués sur le RODC. Autrement dit, si la connectivité réseau vers un DC en écriture devient inaccessible avant que les comptes pouvant être mis en cache soient authentifiés sur un RODC, la connexion échouera même si les comptes ont été configurés comme pouvant être mis en cache.
Pour résoudre ce problème, vous pouvez préremplir manuellement le cache de mots de passe dès que la stratégie PRP est configurée et que les comptes sont marqués comme pouvant être placés en cache. Cette opération requiert aussi la disponibilité de la connectivité réseau entre un DC en écriture Windows Server 2008 ou Windows Server 2008 R2 et le RODC. Vous pouvez effectuer cette opération à l’avance pendant le processus de déploiement, ce bien avant la première connexion des utilisateurs pouvant être mis en cache.
Utilisez ce guide de conception d’architecture de base comme point de départ de votre planification de RODC. En abordant des aspects de conception clés, cet article fournit un point de départ très utile pour concevoir une solution de RODC détaillée et exhaustive. Ce processus n’est pas simple et nécessite beaucoup de temps afin de concilier les nouvelles fonctionnalités et considérations de conception avec l’environnement et les exigences propres à votre structure.
Téléchargez cette ressource
Microsoft 365 Tenant Resilience
Face aux failles de résilience des tenants M365 (configurations, privilèges, sauvegarde). Découvrez 5 piliers pour durcir, segmenter et surveiller vos environnements afin de limiter l’impact des attaques. Prioriser vos chantiers cyber et améliorer la résilience de vos tenants Microsoft 365.
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- Des Master Data aux data products : comment l’IA redéfinit le rôle du MDM
- Communication d’entreprise : la voix s’impose à nouveau comme canal critique à l’ère de l’IA
- Réforme de la facturation électronique : une préparation largement théorique
- Le futur de la cryptographie post-quantique
Articles les + lus
Couchbase lance AI Data Plane pour industrialiser l’IA agentique
Windows 11 : Microsoft généralise le point-in-time restore pour accélérer la remise en service des PC
Computex 2026 : 5 signaux forts à retenir
La chaîne d’approvisionnement, point de rupture récurent du SI
Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
À la une de la chaîne Tech
- Couchbase lance AI Data Plane pour industrialiser l’IA agentique
- Windows 11 : Microsoft généralise le point-in-time restore pour accélérer la remise en service des PC
- Computex 2026 : 5 signaux forts à retenir
- La chaîne d’approvisionnement, point de rupture récurent du SI
- Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
