De l'intérêt des contrôleurs de domaine en Lecture Seule (RODC)

Publié le par Teruin

Une des problématiques quand il s'agit de déployer un Active Directory, est de mettre en place dans un environnement parfois peu sécurisé des serveurs contrôleur de domaine contenant la quasi totalités des informations de connexion de l'entreprise.  Windows 2008 serveur permet par plusieurs fonctionnalités nouvelles de sécuriser ces plates-formes notamment par la mise en place de serveur contrôleur de domaine en lecture seule. (RODC)

Deux cas de figures sont possibles en fait, soit vous de désirez pas sacrifier la sécurité et vous évitez de positionner des contrôleurs de domaine dans des environnements peu sécurisé. Soit vous pouvez utiliser ces fameux RODC qui sont, je le rappelle, une brique des solutions de sécurité que offre Windows 2008 serveur. Le fait de ne pas positionner des contrôleurs de domaine dans les environnements éloignés et généralement peu sécurisé, vous rend dépendant que la fiabilité et de la bande passante du lien WAN qui relie l'agence au site central ou se trouve généralement les contrôleurs de l'entreprise.

En cas de rupture de lien ou de congestion, les utilisateurs ne pourront plus accéder à leurs serveurs de ressources ou constaterons dans le second cas des accès fortement ralentis.

L'autre problématique que pose les contrôleurs de domaine, est qu'ils peuvent être à la merci d'une erreur humaine faite par un administrateur local membre du groupe des administrateurs du domaine qui aura des répercussions immédiates sur l'Active Directory Corporate.  (Suppression d'OU, Changement de la topologie de réplication etc..). De plus, pour se connecter sur les DC 2003 il faut généralement posséder des droits d'administration du domaine et par conséquent cela peut poser problème surtout lorsqu'il s'agit de responsable ne possédant pas toute la compétence pour administrer l'Active Directory.

Le Scénario RODC à donc été pensé en ce sens. Ce dernier va maintenir une copie locale de tous les objets du domaine en question sauf les informations de type secret (Mot de passe notamment).

Lorsqu'un utilisateur se connecte sur un RODC ce dernier transmet la requête à un contrôleur de domaine non RODC. Vous me direz quel intérêt en cas de panne de la liaison entre l'agence et le site centrale ?.  Patience on n'y arrive.  Il est possible de forcer le RODC à utiliser un cache de mot de passe via une stratégie de réplication de mots de passe que l'on appellera PRP pour Password réplication Stratégie.

Si l'utilisateur est inclus dans la stratégie PRP alors son mot de passe est mis en cache par le RODC. Dans ce cas à la prochaine ouverture de sessions sur le domaine, le RODC n'aura pas l'utilité de requêter un contrôleur de domaine (RWDC : Read Write Domain Contrôler.)

En cas de vol du serveur RODC le risque encouru est donc limité car seuls les utilisateurs qui sont inclus dans cette fameuse stratégie PRP devront changer leurs mots de passe. L'interface graphique offrant la possibilité de visualiser les utilisateurs ayant fait l'objet d'une mise en cache.

Concernant la réplication, le RODC ne réplique pas d'information avec le serveur RWDC. Seule les informations cotée RWDC sont répliquée vers le RODC. Pour les plus anciens ca vous rappelera en le bon vieux le modèle PDC-BDC de l'environnement NT4, sans la sécurité bien sur !

Un autre intérêt des RODC est qu'ils peuvent posséder des prérogatives locale .  Ainsi les administrateurs des agences ou des sites éloignés seront en mesure d'effectuer une certaine maintenance  de leurs  serveurs contrôleur de domaine sans pour cela bénéficier des droits d'administration du domaine.

Déployer un RODC

Avant de vous lancer dans le déploiement d'un RODC, Plusieurs pré-requis sont à vérifier.

  • Premièrement vérifiez que le niveau fonctionnel de votre forêt est positionné à minima sur Windows 2003 Serveur. Ce qui signifie grossièrement, que plus aucun contrôleur de domaine Windows 2000 n'existe dans votre forêt.
  • Deuxièmement: Préparer votre forêt Windows 2003 ou supérieure à recevoir des contrôleurs de domaine en lecture seule. Pour cela vous devez récupérer sur le DVD de Windows 2008 serveur le répertoire Adprep et le recopier intégralement sur le serveur DC Windows 2003 possédant le rôle de maitre de schéma. Une fois copié, exécuter la commande adprep / rodcprep avec un compte d'administration approprié (Administrateur du schéma).
  • Troisièmement: Assurez vous qu'au moins un serveur Windows 2008 en lecture Ecriture existe dans votre forêt.

Une fois ces pré-requis établis vous pouvez lancer l'installation d'un serveur RODC. Ce dernier peut être soit de type Windows 2008 Standard ou Entreprise, ou bien un serveur Core Edition. Pour l'instant.,faisons simple et utilisons une interface graphique fournie par la version Standard ou Entreprise. On passera après a la version Core.

Le processus est relativement simple car il suffit de lors de l'installation des serveurs contrôleurs de domaine de cocher l'option Read-Only domain Controller.

 

Figure 1 RO1

L'intérêt d'un RODC est que l'on peut déléguer cette tâche à une personne tierce qui ne fait pas partie des administrateurs du domaine, en créant au préalable le compte de l'ordinateur RODC dans le domaine et en précisant quel sera le  compte sera utilisé pour l'installation de cette machine. La seule contrainte qui n'en n'est pas une, est que le serveur en question, le futur RODC, soit à l'installation, dans un groupe de travail et non dans un domaine.

Lors de l'installation le programme Dcpromo vous demandera si vous désirez également ajouter des personnes qui ne seront pas administrateur du domaine, mais qui recevrons des privilèges d'administration de la machine.

 

Figure 2RO2

A propos de la réplication des mots de passe dans l'environnement RODC

Comme je vous l'ai précisé par ailleurs, il est possible, voir souhaitable dans certain cas, de configurer une stratégie de réplication de mot de passe de façon à ce que le RODC ne soit pas obligé de contacter régulièrement un RWDC.

La stratégie de réplication des mots de passe est déterminée par deux attributs possédant plusieurs valeurs. Ces attributs sont nommés Allowed List et Deny List. Dans le cas ou l'utilisateur est dans la liste autorisée alors les informations de mot de passe sont mise en mode cache dans l'autre cas le RODC devra contacter un serveur RWDC. Dans le cas ou par hasard vous mettriez un compte dans les deux listes.... La liste de refus a préséance.

Une fois votre RODC installé, vous allez devoir gérer ces fameuses PRP. Pour cela Windows 2008 créer deux groupes de sécurité

  • Allowed RODC password replication Group
  • Denied RODC password replication Group

 

Figure 3 RO3

Vous pouvez donc une fois votre RODC en place, gérer ces listes d'accès en effectuant un click droit sur le compte d'ordinateur de votre RODC et en sélectionnant l'onglet Password replication policy. 

Figure 4 RO5
Dans la boite de dialogue avancée vous trouverez deux options qui vous permettrons de voir quelle sont les utilisateurs qui sont mis en cache et les utilisateurs qui se sont authentifiés et dont la requête est partie vers un RWDC.  (Accounts that have been authenticated to this read only Domain Controller)

 

Figure 6 RO6
Il est également possible de precharger des informations de comptes utilisateurs qui seront stockés en cache sur le serveur RODC par l'option Prepopulate.

 

Figure 7 RO7

 

Gestion des rôles

La gestion de la machine devra peut être assurée par des personnes qui ne devront pas avoir comme prérogative l'administration du domaine. Pour cela vous avez la possibilité d'ajouter des personnes qui seront administrateur de la machine sans avoir de prérogative sur l'annuaire Active Directory.Pour cela vous devez utiliser la commande dsmgmt depuis le RODC comme le montre la figure suivante :

 

Figure 8 RO8

Une fois rendu à ce niveau vous pouvez donner accès a des utilisateurs du domaine a cette machine en tant qu'administrateur uniquement de cette dernière. Pour ajouter un utilisateur en tant qu'administrateur de la machine tapez la commande suivante

Add nomdevotreutilisateur suivi du nomdurole

Pour vérifier son appartenance vous pouvez utiliser la commande Show role suivi du nomdurôle.
Une fois votre rôle d'administrateur local Activé  vous pouvez vous connecter avec ce compte, visualiser l'Active Directory mais vous ne pourrez pas le modifier.

 

Figure 9 RO9

 

Conclusion

La fonction RODC n'est qu'une brique pour la sécurisation de l'environnement ... comment dire.. hostile. Elle doit a mon avis être complétée par d'autre paramétrage logiciel comme les fonctions Core et l'encryption. Mais nous verrons cela une autre fois.  

Publié dans Active Directory

Commenter cet article