Si vous souhaiter installer un contrôleur de domaine dans un site distant mais que vous craignez qu'il soit compromis, alors peut-être qu'un contrôleur de domaine en lecture seule communément appelé le RODC peut etre une solution a envisager pour vos besoins !
Le RODC est simplement un autre contrôleur de domaine en lecteure seule, ce qui veut dire qu'il y a pas de possibilité a ce que un chagement peut etre généré a partir de ce dernier, mais au contraire une configuration d'autres controlleurs de domaine dans la forret vont etre repliquées au RODC comme l'illustre l'image ci-dessous.
Autres avantages d'avoir un RODC
Configuration d'un ensemble d'attributs filtrés : un ensemble d'attributs filtrés n'est répliqué sur aucun RODC de la forêt. Si un RODC est compromis et l'ensemble modifié, un RWDC Server 2008 ne répliquera pas les valeurs. Un DC Windows Server 2003 le ferait. Si possible, il est préférable que le niveau de fonction de votre forêt soit défini sur Server 2008 afin que les serveurs Server 2003 ne soient pas autorisés à pénétrer dans la forêt, où ils pourraient compromettre les données. Il est également important de noter que vous ne pouvez pas ajouter d'attributs critiques pour le système à l'ensemble des attributs filtrés du RODC.
Mise en cache limitée des informations d'identification : un RODC ne stocke pas les informations d'identification des utilisateurs ou des ordinateurs (à l'exception du compte d'ordinateur du RODC). Lorsque le RODC reçoit une demande d'authentification, il la transmet à un DC. Le RODC demande alors une copie de l'identifiant afin de pouvoir traiter lui-même la demande à l'avenir. Si la politique de réplication du mot de passe autorise la mise en cache des informations d'identification, celles-ci seront mises en cache et le RODC pourra répondre aux demandes de connexion (jusqu'à ce que les informations d'identification changent).
Ainsi nnous pouvons utiliser deux groupes de sécurité que le système crée avec la configuration RODC.Les groupes en question et comme illustré dans l'image ci-dessous, sont :
Allowed RODC Password Replication Group : Les membres de ce groupe sont placés par défaut dans la liste autorisée des politiques de réplication de mot de passe de tous les RODC. Ce groupe n'a pas de membres lorsque Windows Server est installé pour la première fois.
Denied RODC Password Replication Group : Les membres de ce groupe sont placés par défaut dans la liste Deny des politiques de réplication de mot de passe de tous les RODC. Les groupes comprennent les administrateurs, les opérateurs de serveur, les opérateurs de sauvegarde, les opérateurs de compte et le groupe Réplication de mot de passe RODC refusée.
Bonne lecture !