1) RODC Yöneticilerinin Parolasının Ön Bellekte Tutulması
Etki alanı denetleyicisi üzerinde Active Directory Users and Computers uygulaması çalıştırılır ve sırasıyla aşağıdaki adımlar gerçekleştirilir.
RODC özelliklerinden parola replikasyon üyelikleri incelenebilir. Varsayılan olarak hiçbir kullanıcının parolası RODC üzerinde önbelleğe alınmamaktadır. Ancak RODC güvenilir olmayan bir DC olduğu için bir problem olduğunda bu bilgisayarda Domain Admins gibi bir kullanıcının oturum açmaması için veya networksel bir problem oluştuğunda (DC ile iletişim gerçekleşemediğinde) oturumun sadece kısıtlı yetkiye sahip kullanıcıların (Adana_Teknik Destek grubundakiler) açabilmesi için, kısıtlı yetki verilmiş olan RODC yöneticilerinin parolalarının ön bellekte tutulması tavsiye edilmektedir.
Bu amaçla RODC özelliklerinden parola replikasyon ilkesi sekmesine gelinir ve grup adı çift tıklanarak açılan pencerede kullanıcı üyeliği gerçekleştirilir.
Eklenecek grup seçilir.
Gruba ekleme işlemi sonucu aşağıdaki gibidir.
Önemli Not: “Allowed RODC Password Replication” grubuna eklenen kullanıcılar bütün RODC üzerinde parolası tutulan kullanıcılardır. Bu durumda bu grup üyeleri tüm etki alanlarında çevrim dışı durumda oturum açabilir. Bunu önlemek için, ayrı bir grup oluşturulmalı ve bu grup için yetkilendirmede bulunulmalıdır.
2) Parolası Ön Bellekte Tutulmayan Hesapların Ayarlanması
Varsayılan olarak hiçbir kullanıcının parolası önbellekte tutulmazken, bazı kullanıcı ve grupların (yanlışlıkla gerçekleşebilecek işlemlerden dolayı) parolasının önbellekte tutulması ayrıca engellenmiştir.
Eğer istenirse bu gruba, parolası RODC üzerinde ön bellekte tutulmaması istenilen hesaplar eklenebilir.
3) RODC Üzerinde Parolası Saklanan Hesapların Listelenmesi
RODC üzerinde parolası saklanan hesapları listelemek için RODC özelliklerindeki gelişmiş parola replikasyon ayarları kullanılır.
Görüldüğü gibi, sadece makinenin ve o makinede kimlik doğrulama işlemini gerçekleştiren Kerberos TGT servis kullanıcısının parolaları bulunmaktadır. Bu servis kullanıcısının adı her grupta farklılık gösterebilir.
4) RODC Üzerinde Kimlik Doğrulaması Gerçekleştirmiş Olan Hesapların Listelenmesi
RODC üzerinde parolası saklanan hesapları listelemek için RODC özelliklerindeki gelişmiş parola replikasyon ayarları kullanılır.
Bu kullanıcılar izlenerek, “Allowed RODC Password Replication” grubuna eklenebilir.
5) Parolası Ön Belleğe Alınan Hesapların Belirlenmesi
Parola bilgisi RODC ön belleğinde saklanan hesapları belirlemek için, gelişmiş parola replikasyon ilkesine ait penceredeki “Resultant Policy” sekmesi kullanılır.
Ekleme işlemi ile sorgulama yapılacak hesaplar eklenebilir.
Üç farklı kullanıcıya ait durum aşağıdaki gibidir.
6) Parolaların Önceden Üretilmesi
Parolaların RODC üzerinde önceden üretilmesinin iki temel amacı vardır:
- DC (RWDC) erişimi yokken, bir kullanıcının RODC üzerinden kimlik doğrulaması sağlanabilir.
- Kurulan ve taşraya taşınan bir RODC üzerinde, taşradaki bazı kullanıcıların parolası önceden oluşturularak, bu kullanıcıların RWDC üzerinde kimlik doğrulaması gerçekleştirmemesi sağlanabilir. Böylece kullanıcı ilk oturumunu açarken gecikme yaşanmayacaktır.
Bu işlemi gerçekleştirmek için RODC özelliklerindeki gelişmiş parola replikasyon ayarları kullanılır.
Kaynak:
https://technet.microsoft.com/en-us/library/rodc-guidance-for-administering-the-password-replication-policy(v=ws.10).aspx