Windows Server Longhorn: Active Directory

Warum RODC?

Das Argument, das Microsoft für den Einssatz von RODCs nennt, ist die Sicherheit. Ein Domänencontroller muss in einer Umgebung mit einem ausreichend hohen Maß an Sicherheit betrieben werden. Das ergibt sich schon daraus, dass ein Angreifer, der physischen Zugang zu einem solchen Server hat, beispielsweise einen Domänencontroller mit einem anderen Betriebssystem booten und auf Daten im Active Directory zugreifen oder diese manipulieren könnte.

Natürlich gibt es grundsätzlich auch das Risiko eines Angriffs über das Netzwerk, wobei dieses Risiko unabhängig vom Standort des Domänencontrollers besteht.

Damit stellt sich aber die Frage, welchen Nutzen ein RODC wirklich bringen soll. Beim lesenden Zugriff ist die Gefährdung dieselbe wie bei jedem anderen Domänencontroller. Der einzige Unterschied ist, dass bei einem Angriff mit physischem Zugang zum Server keine direkten Änderungen vorgenommen werden können. Das ist aber ohnehin die unwahrscheinlichste Angriffsvariante, selbst wenn sich ein Domänencontroller an einem weniger sicheren Standort befindet. Abgesehen davon wird es Angreifern auch in diesem Fall eher darum gehen, Daten zu lesen, wozu auch gehashte Kennwortinformationen für eine Dictionary-based Attack gehören können. Das Schreiben von Änderungen durch physischen Zugang zum System gehört nicht unbedingt zu den typischen Szenarien.