Windows Server 2008: Mehr Sicherheit mit RDOC und NAP

RODC: Stärken und Schwächen

Plus

• Ein kompromittierter RODC kann die Änderungen nicht systemweit im Verzeichnis verbreiten.

• Es lassen sich eigene Domänen-Kennungen einrichten, die über Administrationsrechte auf dem RODC verfügen, jedoch keine Veränderungen in der Domäne vornehmen können.

• Die Speicherung von Passwörtern auf RODCs kann grundsätzlich unterbunden werden

Minus

• RODCs unterscheiden sich in ihrer Funktionsweise zum Teil erheblich von vollwertigen Domänen-Controllern. Die Einführung eines neuen Typs von Domänen-Controllern erhöht die Komplexität des Active Directory und damit auch seine Fehleranfälligkeit.

• Im Fall von Fehlfunktionen steigt unter Umständen der Aufwand für die Fehlersuche, da RODC-spezifische Eigenheiten zu berücksichtigen sind.

• RODCs bieten nicht dieselbe Fehlertoleranz wie vollwertige Domänen-Controller, da sie in großem Maße von diesen abhängig sind. Verzichtet man beispielsweise auf das Password-Caching auf dem RODC, können sich Anwender an einem dezentralen Standort nicht mehr anmelden, falls die Netzverbindung zur Firmenzentrale unterbrochen ist.

• RODCs können nur betrieben werden, wenn mindestens ein vollwertiger DC unter Windows Server 2008 in der Domäne zur Verfügung steht. Gerade in der Anfangsphase erhöht dies die Fehleranfälligkeit, wenn noch nicht alle Domänen-Controller auf Windows 2008 migriert wurden.

• RODCs verursachen für die Administratoren einen zusätzlichen Lernaufwand. Das sollte insbesondere in kleinen und mittelgroßen Unternehmen, wo in der Regel keine Active-Directory-Spezialisten zur Verfügung stehen, nicht unterschätzt werden.

• Anwendungskompatibilität: Vor dem Einsatz eines RODC ist in jedem Fall zu prüfen, ob Anwendungen von Drittanbietern, die auf das Active Directory angewiesen sind, mit diesem neuen Domänen-Controller-Typ überhaupt zurechtkommen.