কেবলমাত্র পঠনযোগ্য ডোমেন নিয়ামক এর জন্য দরকারী?


18

উইন্ডোজ সার্ভার ২০০৮ কেবল পঠনযোগ্য ডোমেন নিয়ন্ত্রকদের প্রবর্তন করেছে, যা ডোমেন ডাটাবেসের একটি সম্পূর্ণ প্রতিলিপি পেয়েছে তবে এটি কোনও ভাল পুরানো উইন্ডোজ এনটি বিডিসির মতো পরিবর্তন করতে পারে না।

আমি কীভাবে সেমি-ডিসি চালাতে পারি তার সমস্ত প্রযুক্তিগত তথ্য এবং আউটআউট জানি (আমি সবেমাত্র 70-646 এবং 70-647 পেরিয়েছি) তবে এখনও আমার সবচেয়ে গুরুত্বপূর্ণ প্রশ্নের স্পষ্ট উত্তর নেই: কেন আপনার উচিত তাদের ব্যবহার করবেন ?


TheCleaner এর এই মন্তব্যটি আমার পক্ষে সত্যিই এটির যোগস্বরূপ:

@ মাসিমো - হ্যাঁ, আপনি ঠিক বলেছেন। আপনি কোনও আরওডিসির জন্য বাধ্যতামূলক কারণ খুঁজছেন এবং এর একটিও নেই। শাখা অফিসের সুরক্ষা লাঘব করতে সহায়তা করার জন্য এটিতে কয়েকটি অতিরিক্ত সুরক্ষা বৈশিষ্ট্য রয়েছে এবং যদি আপনার কাছে ইতিমধ্যে সেখানে কোনও ডিসি না থাকে এবং এর সুরক্ষা সম্পর্কে অনড় থাকেন তবে সত্যিই কেবল সেখানে মোতায়েন করা দরকার।

আমি একই ভাবছিলাম ... সুরক্ষায় কিছুটা বৃদ্ধি, হ্যাঁ, নিশ্চিত, তবে ঝামেলার উপযুক্ত হওয়ার মতো এতটা অবশ্যই নয়।

উত্তর:


10

আমি আপনাকে একটি বাস্তব-জগতের দৃশ্যধারণ করব:

  • আমাদের চীনে আমাদের একটি শাখা অফিস রয়েছে

আমরা এটি ব্যবহার করি কারণ সেখানে কোনও আইটি বিভাগ নেই, আমরা মার্কিন যুক্তরাষ্ট্রে অ্যাকাউন্টগুলির জন্য সমস্ত অনুরোধগুলি হ্যান্ডেল করি। সেখানে একটি আরওডিসি করে আমরা জানি:

  1. সেখানে কেউ লগইন করতে এবং এডি তে "হ্যাক" দূরে চেষ্টা করতে পারে না।
  2. কেউ এটিকে চুরি করতে এবং উপযুক্তভাবে কিছু পেতে পারে না তারপরে আবার আসুন এবং পরে নেটওয়ার্কে "হ্যাক অফ"।

কেবলমাত্র এডি / ডিএনএস -কে কেবল পঠনযোগ্য করে রাখার মাধ্যমে আমাদের সেখানে ডিসি-তে ডেটা ম্যানিপুলেট করার প্রচেষ্টা সম্পর্কে চিন্তা করতে হবে না।

এটি এখানে পাওয়া বৈশিষ্ট্যগুলির কারণেই রয়েছে: http://technet.microsoft.com/en-us/library/cc732801%28WS.10%29.aspx

এটি আমাদের পক্ষে অন্য যে কোনও কিছুর চেয়ে "মানসিক প্রশান্তি" এর চেয়েও বেশি ... প্লাস এটি খুব ন্যূনতম সার্ভার ইনস্টল করার অনুমতি দেয় কারণ এটি কেবল রোডসি রোল ইনস্টল সহ সার্ভার কোর ছিল। আমরা এটি 2 টি রাইড -1 18 গিগাবাইট ড্রাইভ সহ পুরানো 1U সার্ভারে রেখেছি। আমরা আসলে তাদের মধ্যে 2 টি রেখেছি ... র্যাকগুলিতে থাকা আমাদের পুরানো নন-ওয়্যারেন্টিযুক্ত হার্ডওয়্যার ব্যবহার করে একই সঠিক কনফিগারেশন।

সরল, এটির যা করা দরকার তা করে এবং আমাদের এটি নিয়ে চিন্তা করতে হবে না। যদি বাক্সগুলির একটিরও ব্যর্থতা হয়, আমরা কেবল আবার এটি প্রতিস্থাপন করব।


1
আপনি বলেছিলেন যে কেউ এটিতে প্রবেশ করতে পারে না; তবে তার যদি সঠিক ডোমেন শংসাপত্র না থাকে তবে কেউ মানক ডিসিতেও লগ ইন করতে পারবেন না। তাহলে উন্নত সুরক্ষা কোথায়? এটি চুরি করার বিষয়ে: চুরি হওয়া লিখিত ডিসি ঠিক কীভাবে কেবল একজন চুরি হয়ে যাওয়া পড়ার চেয়ে বিপজ্জনক হতে পারে?
ম্যাসিমো

2
@ মাসিমো - এটিতে লগিংয়ের কথা উল্লেখ করে, যদি ব্যক্তি স্থানীয়ভাবে অধিকারগুলিতে লগইন করেন তবে এটি সঠিক an যাইহোক, আমরা সেগুলিকে সেখানে কয়েকটি অ্যাকাউন্টে মঞ্জুরি দিই যাতে তারা ব্যাকআপ / ব্যাকআপ টেপের সোয়াপগুলি পরীক্ষা করতে পারে। শারীরিক সুরক্ষার জন্য, একটি চুরি হওয়া লিখিত ডিসি আপনাকে তাদের শংসাপত্র এবং পাসওয়ার্ডগুলি বের করার এবং অতিরিক্ত ডেটার জন্য পরে নেটওয়ার্কে ফিরে আসার ক্ষমতা দেয় ... আরওডিসি তা করে না।
দ্য ক্লিনার 21

@ মাসিমো - আমি আপনার ওপিতে লক্ষ্য করেছি আপনি বলেছিলেন "সম্পূর্ণ প্রতিলিপি" ... এটি পাসওয়ার্ডের জন্য সত্য। এটি পাসওয়ার্ডগুলির প্রতিলিপি তৈরি করে না, যাতে এটি চুরির পক্ষে সবচেয়ে বড় সুরক্ষার বৈশিষ্ট্য হয়ে থাকে।
TheCleaner

পাসওয়ার্ডের জন্য সম্মত। তবে কি তারা যাইহোক, একমুখী এনক্রিপশন ব্যবহার করে সংরক্ষণ করা হচ্ছে না? কেউ যদি এগুলি মোটেও ধরে না রাখে তবে এটি আরও ভাল but তবে আমি মনে করি না AD পাসওয়ার্ড ক্র্যাক করা এত সহজ।
ম্যাসিমো

3
আপনি ক্যাচিং অক্ষম করলে আরওডিসি পাসওয়ার্ড হ্যাশ সংরক্ষণ করে না ... আমার বিশ্বাস এটি "লগইন টোকেন" সংরক্ষণ করে। হ্যাঁ প্রাথমিকভাবে ক্লায়েন্টটি অন্য কোনও স্থানে সত্যিকারের ডিসি দিয়ে প্রমাণীকরণ করে। এখানে দেখুন: devendrathatte.blogspot.com/2009/04/... এবং এখানে: milesconsultingcorp.com/...
TheCleaner

10

আমার বইটিতে এই বৈশিষ্ট্যটির পুরো অধ্যায় রয়েছে (www.briandesmond.com/ad4/)। এর দীর্ঘ এবং সংক্ষিপ্ততাটি হ'ল এটি একটি সুরক্ষা বৈশিষ্ট্য এবং বিতরণ করা সংস্থাগুলির জন্য এটি একটি বিশাল চুক্তি।

এখানে দুটি সত্যিই বড় পরিস্থিতি রয়েছে:

-> আরওডিসি ডিফল্টরূপে কোনও পাসওয়ার্ড সঞ্চয় করে না। এর অর্থ হ'ল কেউ যদি শারীরিকভাবে সার্ভার থেকে ডিস্ক পান তবে তারা আপনার সমস্ত ব্যবহারকারী (এবং কম্পিউটার) পাসওয়ার্ড পাবে না।

যদি কোনও আরডাব্লুডিসি চুরি করে তবে সঠিক প্রতিক্রিয়া হ'ল ডোমেনে সমস্ত পাসওয়ার্ড পুনরায় সেট করতে হবে কারণ আপনি সেগুলি সমস্ত আপোস করতে পারেন consider এটি একটি বড় উদ্যোগ।

একটি আরওডিসি দিয়ে আপনি কেবল ব্যবহারকারী এবং কম্পিউটারের সাবসেট এক্সের জন্য পাসওয়ার্ডগুলি ক্যাশে করতে পারেন। যখন আরওডিসি প্রকৃতপক্ষে পাসওয়ার্ডটি ক্যাশে করে, তখন এটি AD এ তথ্য সংরক্ষণ করে। আরওডিসি যদি চুরি হয়ে যায় তবে আপনার কাছে এখন পাসওয়ার্ডের একটি ছোট তালিকা রয়েছে যা পুনরায় সেট করতে হবে।

-> আরওডিসিগুলি একমুখী প্রতিলিপি তৈরি করে। যদি কেউ আপনাকে আরডাব্লুডিসি চুরি করে, কিছু পরিবর্তন করে এবং আবার প্লাগ ইন করে, তবে এই পরিবর্তনগুলি পরিবেশে আবার প্রতিলিপি তৈরি করতে পারে। উদাহরণস্বরূপ তারা নিজেরাই ডোমেন প্রশাসকদের গোষ্ঠীতে যুক্ত হতে পারে বা সমস্ত প্রশাসক পাসওয়ার্ড বা কোনও কিছু পুনরায় সেট করতে পারে। একটি আরওডিসি দিয়ে এটি সহজেই সম্ভব নয়।

এর আগে যেখানে কোনও ডিসি ছিল না এমন স্থানে আপনি আরওডিসি না রেখে গতির উন্নতি হয় না এবং তারপরে কিছু পরিস্থিতিতে গতির উন্নতি হওয়ার সম্ভাবনা থাকে।

ক্লিকারের উত্তরটি সত্যিই ভুল। আরওডিসির জন্য প্রচুর জোরদার পরিস্থিতি রয়েছে এবং আমি স্কেল অফহ্যান্ডে তাদের বেশ কয়েকটি মোতায়েনের কথা ভাবতে পারি। এটি সাধারণ সুরক্ষা সামগ্রী, "সুরক্ষা সম্পর্কে মলদ্বার" সামগ্রী নয়।

ধন্যবাদ,

ব্রায়ান ডেসমন্ড

অ্যাক্টিভ ডিরেক্টরি এমভিপি


ব্রায়ান, বিস্তারিত উত্তরের জন্য আপনাকে ধন্যবাদ, তবে আমি এখনও কিছু বিষয় সম্পর্কে আগের মতই কৌতূহলী: 1) যদি কেউ ডিসি ধরে রাখতে পারেন তবে তিনি কীভাবে এই ডোমেনটি পরিবর্তন করতে পারেন, যদি তার প্রশাসনিক ব্যবস্থা না থাকে অ্যাকাউন্ট? তিনি এমনকি লগ ইন করতে সক্ষম হবেন না। ২) যদি কেউ ডিসি চুরি করে তবে এটি AD ডাটাবেস থেকে পাসওয়ার্ড কীভাবে পেতে পারে? ওয়ান-ওয়ে এনক্রিপশন (এবং বেশ শক্তিশালী এক, আইআইআরসি) ব্যবহার করে তারা মালিকানাধীন ডাটাবেসের মধ্যে সঞ্চয় করা আছে। 3) যদি আপনার ডিসি চুরি হয়ে যায় এবং কে এটি চুরি করে আপনার নেটওয়ার্ক অ্যাক্সেস করতে এবং এটিকে আবার সংযুক্ত করতে পারে, আপনার সুরক্ষার মধ্যে অবশ্যই কিছু ভেঙে গেছে ... এবং কোনও আরওডিসি এটি ঠিক করতে যাচ্ছে না।
ম্যাসিমো

1
1 এবং 2 এর সাথে, ইন্টারনেটে এমন সরঞ্জামগুলি পাওয়া যায় যা আনন্দের সাথে একটি AD ডেটাবেস নেবে এবং সরাসরি এটিতে / পড়তে পারবে। আপনাকে যা করতে হবে তা হ'ল কোথাও এমন হার্ড ড্রাইভকে পপ করা এবং এটি অন্য মেশিন থেকে খুলতে হবে। কিছুটা হলেও 3 এর সাথে সম্মত বহু সংস্থার সারা বিশ্বে শাখা অফিসে কয়েকশ ডিসি রয়েছে। আমি আপনাকে প্রথম হাতে বলতে পারি যে আপনার ডেস্ক থেকে 10,000 মাইল দূরে একটি কক্ষের মধ্যে শারীরিক সুরক্ষা প্রয়োগ করা অসম্ভবের পরে।
ব্রায়ান ডেসমন্ড

কোনও খারাপ লোকের যদি আপনার হার্ডওয়্যারটিতে অ্যাক্সেস থাকে - তবে এটি আর আপনার হার্ডওয়্যার নয়। আপনি কি আপনার বর্তমান ডিসি দিয়ে শুরু করতে বিটলকার ব্যবহার করেন? যদি তা না হয় তবে এটি শুরু করতে বা অন্য কোনও সম্পূর্ণ ডিস্ক এনক্রিপশন দিয়ে শুরু করার কথা বিবেচনা করুন ... যদি খারাপ লোকের কাছে আপনার ডেটা থাকে - আপনি SOL ^^
ওসকার ডুভের্ন

1

আপনার যখন খুব কম শাখা অফিস দুর্বল শারীরিক সুরক্ষা এবং / অথবা ধীর বা অবিশ্বস্ত নেটওয়ার্ক সংযোগ সহ আপনার দরকার তখন আপনাকে আরওডিসির দরকার। উদাহরণ:

  • কেন্দ্রীয় অফিস এবং স্টোরফ্রন্ট ক্লিনিকগুলির সাথে চিকিত্সা সরবরাহকারী যা ঘন ঘন সরানো হয় এবং সংযোগের জন্য ডিএসএল / কেবল ব্যবহার করে
  • দুর্গম অঞ্চলে সুবিধাসহ একটি সংস্থা যেখানে টেলকো অবকাঠামো অবিশ্বাস্য, বা যেখানে আপনি সেলুলার বা উপগ্রহ নেটওয়ার্কগুলি ব্যবহার করতে বাধ্য হন।

বেশিরভাগ সংস্থার কাছে দূরবর্তী সরঞ্জামগুলির শারীরিক সুরক্ষা মান রয়েছে have আপনি যদি এই প্রয়োজনীয়তাগুলি পূরণ করতে না পারেন, স্থানীয় অ্যাপ্লিকেশন এবং ফাইল শেয়ার অ্যাক্সেসের জন্য আরওডিসি আপনাকে উচ্চ গতির প্রমাণীকরণ সরবরাহ করতে দেয়। তারা আপনাকে সার্ভারে সঞ্চিত শংসাপত্রগুলির সংখ্যা সীমাবদ্ধ করার অনুমতি দেয়। একটি আপোস করা সার্ভার কেবলমাত্র দূরবর্তী অবস্থানের ব্যবহারকারীদের সাথে আপস করে। স্থানীয় সমঝোতার ঘটনা ঘটলে users৫,০০০ ব্যবহারকারী সহ একটি পূর্ণ ডিসি সেই সমস্ত ব্যবহারকারীকেই প্রকাশ করে।

আপনি যদি একটি ছোট সংস্থায় কাজ করেন তবে এটি কোনও বড় বিষয় নয়। আমি বিটলকারের সাথে তাদের রোল করতে পাম্প করেছি কারণ আরওডিসির নিরাপত্তার ঝুঁকি যথেষ্ট পরিমাণে হ্রাস পেয়েছে।


1

আমরা একটি DMZ এই বন্ধ ভিত্তি করে RODC ব্যবহার করতে যাচ্ছি TechNet নিবন্ধ। ডিএমজেডে একটি আরওডিসি দিয়ে ওয়েব পরিষেবাদির জন্য একটি নতুন বন স্থাপন করছে।


0

প্রাথমিকভাবে সুরক্ষার জন্য, তবে গতির পাশাপাশিও।

সংক্ষিপ্ত লেখার এখানে দেখুন


2
আমি "গতি" জিনিসটির সাথে একমত নই। ব্যবহারকারীদের একটি "বাস্তব" ডি সি বিরুদ্ধে প্রমাণীকরণ করার প্রয়োজন হলে, তারপর RODC আসলে আপ কিছু গতি নেই: একটি লিখনযোগ্য ডিসি RODC পরিবর্তে সাইটে প্রাপ্তিসাধ্য আসলে হবে না থাকার দ্রুততর
ম্যাসিমো

0

একটি আরওডিসিতে আপনার এডির একটি পঠনযোগ্য অনুলিপি থাকে এবং আপনি একটি শাখা অফিসে এমন একটি ব্যবহার করেন যেখানে আপনার কাছে আইটি কর্মী উপস্থিত নেই এবং তাই আপনার সার্ভার রুমের সুরক্ষা বা সততার গ্যারান্টি দিতে পারে না। আরওডিসির আপোস হওয়ার ঘটনায় আপনি এই জ্ঞানে নিরাপদে থাকবেন যে যে কেউ এটির সাথে আপস করে সে কেবলমাত্র আপনার বিজ্ঞাপনের সময়ে সেই রাজ্যে এটির প্রবেশাধিকার পাবে যা এটি আবিষ্কারের সময় ছিল। এটির কোনও পরিবর্তন আপনার মূল ডিসিগুলিতে আবার প্রতিলিপি করা হবে না। এর অর্থ হ'ল যে যার সাথে এটি আপস করে সে নিজেকে ডোমেন প্রশাসনে উন্নীত করতে, নিজের প্রশাসকগুলিকে লক আউট করতে এবং আপনার পুরো নেটওয়ার্কের সাথে তাদের দুষ্ট উপায় থাকতে পারে n


"এটির কোনও পরিবর্তন পুনরায় করা হবে না" এর অর্থ কী? আমি যদি এডি তে প্রশাসনিক অ্যাক্সেস পেতে পারি যা কিছুতেই পরিবর্তন আনার প্রয়োজন হয়, তবে আমি এডিইউসিটিকে একটি "আসল" ডিসি (বা এটির মধ্যে আরডিপি) এর সাথে সংযুক্ত করতে এবং সেখানে আমার পরিবর্তনগুলি সরাসরি করতে পারি । এবং যদি আমি প্রশাসনিক অ্যাক্সেস না পেতে পারি, আমার টেবিলে ডিসি বসলেও আমি কিছুই করতে পারি না।
ম্যাসিমো

2
@ মাসিমো - হ্যাঁ, আপনি ঠিক বলেছেন। আপনি কোনও আরওডিসির জন্য বাধ্যতামূলক কারণ খুঁজছেন এবং এর একটিও নেই। শাখা অফিসের সুরক্ষা লাঘব করতে সহায়তা করার জন্য এটিতে কয়েকটি অতিরিক্ত সুরক্ষা বৈশিষ্ট্য রয়েছে এবং যদি আপনার কাছে ইতিমধ্যে সেখানে কোনও ডিসি না থাকে এবং এর সুরক্ষা সম্পর্কে অনড় থাকেন তবে সত্যিই কেবল সেখানে মোতায়েন করা দরকার।
TheCleaner

@ মাসিমো আপনার কোনও কিছু পরিবর্তনের জন্য AD তে প্রশাসনিক অ্যাক্সেসের দরকার নেই - ডিভিডি থেকে বুট করুন এবং আপনি সরাসরি AD এর ডাটাবেসে লিখতে পারেন।
রিচার্ড গ্যাডসডেন

0

আরওডিসি বড় এন্টারপ্রাইজ সংস্থাগুলির জন্য দরকারী, প্রতিযোগিতামূলক এন্টারপ্রাইজ ডিরেক্টরি পরিষেবাদি যেমন নভেল ইডাইরেক্টরি বছরের পর বছর কেবল পঠনযোগ্য প্রতিলিপি ছিল।


0

আরওডিসিগুলির আরেকটি সুবিধা হ'ল তারা আপনাকে কিছু বিপর্যয় পুনরুদ্ধার করার সময় কাজের ডোমেন নিয়ন্ত্রক রাখার অনুমতি দেবে, এতে সক্রিয় ডিরেক্টরি পুনর্নির্মাণের জন্য সমস্ত সাধারণ ডোমেন নিয়ামককে নিচে অন্তর্ভুক্ত করা হবে। এই পরিস্থিতিতে আপনাকে আরওডিসি বন্ধ করতে হবে না।

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.