Windows Server Longhorn: Active Directory

Zwei Gruppen von Benutzern

Das von Microsoft genannte Sicherheitsargument greift also so nicht ganz. Ein Blick auf die im Container Users definierten Sicherheitsgruppen macht dann aber klar, warum das Modell doch Sinn macht.

Bild 1: Für den RODC werden im Active Directory neue Gruppen angelegt, über die die Kennwortsynchronisation gesteuert wird.
Bild 1: Für den RODC werden im Active Directory neue Gruppen angelegt, über die die Kennwortsynchronisation gesteuert wird.

Es gibt zwei Gruppen von Benutzern, über die gesteuert wird, von wem Kennwörter auf RODCs repliziert werden. Richtig konfiguriert, gibt es auf einem RODC also nur einen Teil der Kennwortinformationen. Ein Angreifer kann damit auch nur die Hashs von Kennwörtern eines Teils der Benutzer auslesen.