RODC: partie 3 - Configuration de PRP

Envoyer

Sommaire

 

 

Introduction

Cet article fait suite aux deux articles RODC: partie 1 - Présentation et RODC: partie 2 - Préparatifs et installation et va être consacré essentiellement à l'approfondissement de ce que nous considérons comme étant la fonctionnalité la plus complexe de RODC : la stratégie de réplication des mots de passe. Nous allons donc voir dans le détail son fonctionnement et sa configuration.

Pour ceux qui auront déjà consulté notre article de présentation, certains éléments pourront vous paraître répétitifs cependant nous avons jugé nécessaire de les réincorporer pour permettre une meilleure compréhension.

 

 

Présentation

Par défaut un RODC transmet toutes les demandes d’authentification à un contrôleur de domaine accessible en écriture et donc en tout logique à travers un réseau WAN. Vos utilisateurs seront donc toujours assujettis à la lenteur d’une ouverture de session depuis un WAN  (hormis l'application des stratégies) et même tributaires en cas de dysfonctionnement. Pour pallier à cela et en particulier pour des comptes utilisateurs considérés comme peu sensibles, Microsoft a mis en place le PRP (Password Replication Policy).

Le PRP va tout simplement vous permettre de définir quels sont les mots de passe des comptes à mettre en cache sur le RODC. Configurer le PRP vous apportera les avantages suivants :

  • Il empêchera toujours la mise en cache des comptes sensibles pour une meilleure sécurité.
  • Il permettra une authentification rapide à partir du RODC pour les comptes utilisateurs dont la mise en cache des mots de passesa été activée (il faut mettre également en cache les comptes ordinateurs et de services associés).
  • Il offrira la possibilité aux utilisateurs de se connecter même en cas de ruptures de la liaison WAN ne nécessitant plus de faire appel à un contrôleur de domaine accessible en écriture.

ATTENTION !!! Pour que le PRP assure pleinement sa fonction, il faudra impérativement qu’il n’y ait plus de Windows Server 2000 et donc que le niveau fonctionnel de la forêt soit au minimum en 2003. Toutes données disponibles sur un 2000 sont accessibles par un RODC.

 

 

Gestion et fonctionnement du PRP

Dans un premier temps, nous allons voir comment accéder à la gestion de PRP. Pour cela, il suffit simplement d’ouvrir la mmc « Utilisateurs et ordinateurs Active Directory » depuis un contrôleur accessible en écriture. Ensuite vous devez vous rendre dans l’unité d’organisation « Domain Controllers » et sélectionner « Propriétés » à l’aide d’un clic droit sur le RODC concerné. Une fois que vous accédez aux propriétés du RODC, allez dans l’onglet dans « Stratégie de réplication de mot de passe ». Notez que chaque RODC présent dans votre infrastructure disposera de sa propre stratégie PRP.

 

 

 

 

 

 

 

 

 

Si vous cliquez sur le bouton « Avancé… », vous obtenez depuis l'onglet « Utilisation de la stratégie »  la liste des comptes mis en cache et la liste des comptes authentifiés. A noter que la liste des comptes stockés contient par défaut deux comptes qui sont le compte ordinateur du RODC et son compte spécial krbtgt. Le deuxième onglet « Stratégie résultante » vous permettra de vérifier si un compte est paramétré pour être mis en cache ou non.

 

 

 

 

 

 

 

 

Si nous revenons dans la fenêtre « Propriétés de » de votre RODC, dans l’onglet « Stratégie de réplication de mot de passe » vous avez la colonne « Paramètre » qui vous permettra de définir si un groupe ou un compte sera mis en cache en les intégrant soit dans une liste d’autorisation soit dans une liste de refus.  Elles sont tenues à disposition du RODC sous forme de deux attributs : msDS-RevealOnDemandGroup pour la liste d’autorisation et msDS-NeverRevealGroup pour la liste de refus.

Remarque: cette partie présente la gestion d'une partie de la stratégie de réplication de mot de passe au niveau du schéma Active Directory. Elle n'est pas une étape nécessaire à la configuration mais nous espérons qu'elle vous permettra de  mieux appréhender le sujet.

Pour accéder à ces deux attributs, ouvrez la mmc adsiedit. Faites ensuite un clic droit sur la racine « Modification ADSI » pour choisir « Connexion... » et sélectionnez depuis la fenêtre « Paramètres de connexion le point de connexion » le point de connexion « Contexte d’attribution des noms par défaut ».

 

 

 

 

 

 

 

 

Naviguez ensuite dans l’arborescence jusqu'à « OU=Domain Controllers,DC=corpnet,DC=net » pour atteindre l’objet « CN=RODC » où RODC correspond au nom de votre contrôleur de domaine en lecture seule. Réalisez un clic droit sur cet objet et sélectionnez « Propriétés ». Vous accédez directement depuis l’onglet « Editeur d’attributs » aux deux attributs que vous pouvez modifier en conséquence à l’aide du bouton « Modifier ».

 

 

 

 

 

 

 

 

 

msDS-RevealOnDemandGroup permettra de définir quel compte sera mis en cache. Par défaut, il contient une seule valeur qui est tout simplement le groupe « Groupe de réplication dont le mot de passe RODC est autorisé » situé dans le répertoires « Users » accessible depuis la mmc « Utilisateurs et ordinateurs Active Directory ».

 

 

 

 

 

 

Le second attribut msDS-NeverRevealGroup quand à lui contiendra les comptes qui seront explicitement rejetés de cette mise en cache. Par défaut, il contient le groupe « Opérateurs de compte », « Opérateurs de serveur », « Opérateurs de sauvegarde », « Administrateurs » et « Groupe de réplication dont le mot de passe RODC est refusé ». Ce dernier est situé au même droit que « Groupe de réplication dont le mot de passe RODC est autorisé » mais par contre il n’est pas vide comme son homologue et contient les groupes visibles depuis l’imprime écran ci-dessous. Il englobe par défaut tous les comptes les plus sensibles de votre forêt.

 

 

 

 

 

 

 

 

Remarque: PRP utilise également d'autres attributs que nous ne verrons pas ici. Si vous voulez en savoir plus sur ce point, une liste de liens exhaustifs vous est fournie en conclusion.

Idéalement, il faudra donc créé un groupe de type sécurité avec une étendue de domaine qui contiendra l’ensemble des comptes utilisateurs et ordinateurs à mettre en cache pour chacun de vos RODC. Bien entendu, si vous n’avez qu’un seul RODC par domaine, vous pourrez vous contenter des groupes proposés de base lors de l’installation du RODC. Pour reprendre notre maquette de l’article précédent, nous allons donc créer un groupe « Utilisateurs et Ordinateurs Marseille » que nous mettrons en cache sur le RODC.

Depuis l’onglet « Stratégie de réplication de mot de passe » de votre RODC, cliquez sur « Ajouter », choisissez « Autoriser la réplication des mots de passe du compte sur ce contrôleur de domaine en lecture seule (RODC) » pour ensuite sélectionner votre groupe créé au préalable. Tous les membres de ce groupe sera donc mis en cache au fur et à mesure et lors de leur première authentification.

Remarque: si un compte fait partir d’une liste autorisée et conjointement d’une liste de refus, la plus restrictive prendra le pas (donc la liste de refus).

 

 

 

 

 

 

 

 

 

 

Opérations diverses

Il est aussi possible de pré-remplir les objets ayant l’autorisation d’être mis en cache plutôt que d’attendre leur première authentification. Toujours depuis l’onglet « Stratégie de réplication de mot de passe », cliquez sur « Avancé… ». A partir de l’onglet « Utilisation de la stratégie », cliquez « Préremplir les mots de passe… » et sélectionnez le compte ordinateur ou utilisateur qui sera pré-rempli. Il n’est pas possible de réaliser cette étape par lot en sélectionnant un groupe. Il faudra passer malheureusement par un script. Vous aurez enfin un message d’alerte pour vous prévenir du risque que peut entrainer le pré-remplissage et vous invitant à faire la manipulation pour le compte ordinateur de l’utilisateur sélectionné.

 

 

 

 

 

 

 

 

Nous avons fait le tour du PRP hormis peut-être un cas particulier qui concerne la gestion des comptes mis en cache lors du vol de votre RODC. Ca ne devrait pas vous arrivez tous les jours cependant prenez note qu’il faudra réinitialiser tous les mots de passe des comptes mis en cache afin d’en assurer l’intégrité. Pour cela il suffira simplement de supprimer l’objet ordinateur correspondant à votre RODC pour que vous ayez à l’écran la fenêtre « Suppression du contrôleur de domaine »  avec la possibilité de réinitialiser les mots de passes utilisateurs et/ou ordinateurs.

 

 

 

 

 

 

 

Conclusion

Nous avons essayé de voir de manière exhaustive la fonctionnalité PRP et cet article devrait vous permettre de la gérer au mieux et d'en maitriser la majeure partie. Il peut être toutefois nécessaire d'approfondir le sujet et pour cela nous vous proposons de consulter les articles Technet suivants:

Mise à jour le Mardi, 21 Décembre 2010 08:40