Melanjutkan serangkaian artikel tentang teknologi Active Directory baru - RODC (Read-Only Domain Controllers), saya ingin menyentuh pada topik kebijakan replikasi kata sandi - Kebijakan Replikasi Kata Sandi (PRP). Secara default, tidak ada kata sandi pengguna atau komputer yang disimpan di RODC (kecuali untuk akun komputernya sendiri dan akun krbtgt khusus). Tujuan dari komplikasi ini adalah untuk meningkatkan tingkat keamanan, karena jika RODC dikompromikan, Anda tidak akan khawatir bahwa informasi berharga akan jatuh ke tangan penyerang.
Atau alangkah baiknya jika akan ada kesempatan untuk mereplikasi pengguna ke situs web mereka dengan tujuan bahwa bahkan jika koneksi WAN ke kantor pusat terputus, mereka bisa masuk. Pengaturan inilah yang dapat Anda lihat di konsol ADUC pada tab properti akun RODC pada tab Kata sandi
Replikasi Kebijakan (PRP). Di sini Anda dapat menentukan kata sandi mana yang pengguna harus direplikasi ke RODC ini dan mana yang tidak.
Pengaturan ini juga dapat ditentukan saat menginstal peran RODC menggunakan file respons tanpa pengawasan, menggunakan parameter berikut:
PasswordReplicationDenied =
PasswordReplicationAllowed =
Untuk informasi lebih lanjut, Anda dapat menggunakan tab Mahir, di sini Anda dapat mengetahui akun mana yang dapat diautentikasi RODC, serta informasi bermanfaat lainnya yang akan membantu Anda mengonfigurasi PRP secara optimal. Tab Resultan Kebijakan Anda dapat memasukkan nama pengguna dan mencari tahu apakah kata sandi untuk pengguna ini akan di-cache di RODC atau tidak.
Ketika RODC menerima permintaan masuk, ia mencoba untuk mereplikasi kredensial dari pengontrol domain Windows 2008 "write-only" biasa. Pengontrol ini mengakses PRP dan mencoba untuk menentukan apakah kredensial pengguna ini harus direplikasi ke RODC. Jika diaktifkan, DC reguler mereplikasi kredensial ke RODC dan RODC menyimpannya secara lokal. Otentikasi pengguna selanjutnya dilakukan dengan menggunakan cache pada RODC dan kurangnya tautan ke DC biasa tidak lagi penting.
Namun, ada kekurangannya, tidak ada cara untuk menghapus cache kata sandi pada pengontrol domain RODC. Satu-satunya hal yang dapat dilakukan oleh administrator Direktori Aktif dalam hal ini adalah mengatur ulang kata sandi dari semua akun yang di-cache, setelah itu cache pada RODC akan menjadi tidak relevan dan data ini tidak dapat digunakan untuk memasuki sistem. Prosedur yang sama harus dilakukan sebelum menginstal ulang RODC yang dikompromikan. Ini jauh lebih mudah daripada secara manual mencoba mencari tahu kata sandi akun mana yang di-cache di RODC. Ketika Anda mencoba untuk menghapus RODC dari konsol ADUC, jendela berikut akan muncul di depan Anda:
Lalu fungsinya seperti apa PrapolatKata sandi? Bayangkan situasi ketika cabang Anda memiliki lebih dari 100 pengguna dan Anda menambahkan grup mereka ke PRP. Baiklah, katakanlah Anda memiliki 100 pengguna di cabang ini, dan Anda menambahkan grup PRP mereka. Dan agar tidak menunggu setiap pengguna untuk memasuki sistem, kami dapat menginstruksikan pengendali domain untuk segera mulai mereplikasi kata sandi. Juga berfungsi PrapolatKata sandidapat digunakan saat mengangkut server RODC baru dari pusat data pusat ke cabang untuk mengurangi beban pada saluran WAN selama login pengguna massal.