E aeee, 100%?! Você curte Active Directory, assim como eu? É curioso e busca entender como funciona essa ferramenta fantástica? E as otimizações e automatizações que podemos fazer com o uso das políticas de grupo?! Incrível.

Vamos estudar juntos, então! Cadastre-se no site e sempre que postar um novo artigo e/ou agendar um webcast, você ficará sabendo.

Continuando nossa saga pelo AD, hoje falaremos sobre o tal “Read-Only Domain Controller” ou simplesmente RODC. A ideia do artigo é entender o que é, para que serve e onde devo utilizar essa opção.

Eu já adianto que farei mais de um artigo sobre o tema. Te avisarei por e-mail, assim que sair do forno. Fechado?!

Well, well…o tal RODC é um Controlador de Domínio Apenas leitura. Diferente dos típicos DCs, que podemos chamar de RWDC (Read-Write Domain Controller),  ele é um cara que não permite ações de escrita na base ntds.dit.

Essa nova opção está disponível a partir do Windows Server 2008 e foi pensada, principalmente, para implantação em sites que não possuem segurança física adequada (tipo uma filial) para os ativos de TI (servidores, switches, por exemplo). Imagine o cenário em que uma pessoa mau intencionada, não autorizada, tem acesso física ao servidor. De posse das credenciais administrativas poderia fazer um belo estrago em sua estrutura. Indo um pouco menos longe…um cenário mais provável, em que seu técnico local não possui conhecimento suficiente para gerenciar um AD, e, por curiosidade, acessa o servidor e deleta algumas OUs sem querer.

Em casos como os citados acima o uso de um RODC mitigaria quase que totalmente os possível problemas resultantes das ações incorretas.

Como o nome propõe o Controlador de Domínio SOMENTE LEITURA, não permite nenhuma modificação. Toda e qualquer modificação é enviada por um RWDC (AD que permite escrita). Por padrão um RODC não armazena as senhas localmente, sendo assim, todas as requisições de autenticação são enviadas ao RWDC e ele, após checar a base, libera ou não o acesso.

Mas Nathan, eu quero que algumas credencias estejam disponíveis localmente no RODC para agilizar o processo de login! OK, simples, via política de password-replication e caching é possível definir isso. But calm down, isso ai é tema do próximo artigo.

Certo, entendi que não consigo, pelos meios normais, efetuar mudanças pelo RODC. Mas e se alguém com conhecimentos avançados conseguir realizar uma modificação offline na base NTDS.dit do meu RODCS. Lascou-se?!

Nops, o processo de replicação entre um DC e um RODC é sempre de uma via (one-way replication), ou seja, o RODC só recebe, não replica. Nenhuma modificação realizada em um RODC será replicada para a nenhum Controlador de Domínio na floresta.

Além do uso em filiais ou sites com pouca segurança física, algumas implantações pedem RODCs em zonas de perímetro. Essas tais zonas, são aquelas em que um servidor fica “de cara” para a internet, sujeito a vários tipos de ataques.

Para que consiga implantar um RODC você precisará de uma floresta com nível funciona 2003, no mínimo e um RWDC em um site em que o DC Somente Leitura esteja conectado.

Ficamos por aqui hoje…como comentei, teremos mais artigos sobre esse tema.

Curtiu?! Deixe seu comentário ai.

Grande abraço!