Làm việc với Read Only Domain Controller – Phần 2
Ngu
ồn : quantrimang.com 
Brien M. Pose
y
Quản trị mạng – Trong phần hai này chúng tôi sẽ giới thiệu cho các bạn về một
số khía cạnh trong triển khai Read Only Domain Controllers.
Giới thiệu
Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn một số lý
do cơ bản về việc Microsoft cung cấp Read Only Domain Controllers trong
Windows Server 2008. Trong phần hai này, chúng tôi sẽ giới thiệu cho các bạn
một số khía cạnh thực hành trong quá trình làm việc với Read Only Domain
Controllers.
Tiêu chuẩn tài khoản ngườ
i dùng
Chúng tôi sẽ bắt đầu bằng cách làm rõ một số thứ đã đưa ra trong phần cuối của
phần một. Ở phần cuối của phần một đó, chúng tôi đã cho rằng không có các
thông tin tài khoản nào được lưu trên read only domain controller.
Tuy nhiên trong thực tế không hẳn như vậy, các thông tin tài khoản người dùng
lại được lưu trên các bộ điều khiển miền chỉ đọc. Những gì mà các bộ điều khi
ển
miền domain controllers đang thiếu là các mật khẩu của người dùng. Những mật
khẩu này không được sao chép vào Read Only Domain Controllers. Nếu ai đó
đánh cắp một domain controller từ một văn phòng chi nhánh thì họ cũng không
thể sử dụng các thông tin được lưu trong cơ sở dữ liệu Active Directory để bẻ
khóa mật khẩu của người dùng.
Thuộc tính của người dùng
Mặc định, mật khẩu chỉ là thuộc tính củ
a người dùng và không được tạo bản sao
đến Read Only Domain Controllers. Mặc dù vậy bạn vẫn thể cấu hình Windows
nhằm ngăn chặn việc bị tạo bản sao các thuộc tính của những người dùng khác.

phép các thông tin được dùng chung sẽ được sử dụng lại ở nhiều địa điểm và nó
cho phép hủy kết nối giữa tên của người dùng và các dữ liệu quan trọng khác.
Cơ sở dữ liệu SQL Server có chứa những d
ữ liệu như số bảo mật xã hội và
thông tin về tiền lương, tuy nhiên nó không chứa tên của bất cứ nhân viên nào.
Chỉ có một thứ gắn hai cơ sở dữ liệu với nhau là số nhân viên trong cả hai cơ sở
dữ liệu.
Lý do tại sao chúng tôi giới thiệu cho các bạn điều này là muốn chỉ ra sự thật
rằng một số tổ chức sử dụng các thuộc tính tài khoản ng
ười dùng và các thuộc
tính này có thể chứa các thông tin nhạy cảm. Trừ khi có một nhu cầu trực tiếp về
kiểu thông tin cần lưu nội bộ trên một domain controller trong một văn phòng chi
nhánh, bằng không bạn nên xem xét đến việc khóa quá trình tạo bản sao một số
tính năng nhạy cảm.
Một thứ mà bạn cần phải lưu ý là trong khi một số tổ chức sử dụng các thuộc
tính người dùng trong các ứng dụng thì các công ty này vẫ
n tận dụng các
partition thư mục ứng dụng. Các partition thư mục ứng dụng ở đây chính là các
partition Active Directory đặc biệt được tạo riêng để sử dụng cho ứng dụng.
Read Only Domain Controllers hỗ trợ đầy đủ việc tạo bản sao dữ liệu được lưu
trong các partition thư mục ứng dụng.
Một lưu ý nữa đó là Read Only Domain Controllers cũng có thể được cấu hình
để thực hiện như một máy chủ DNS chỉ đọc. Về cơ bản thì điều đó có nghĩa rằng
nếu bạn cấu hình một máy chủ DNS trên một Read Only Domain Controller thì
người muốn xâm nhập sẽ không thể can thiệp vào bản ghi DNS.
Các vấn đề về quản trị
Mộ
t câu hỏi mà có lẽ các bạn sẽ đặt ra đó là người dùng thẩm định như thế nào
nếu không có dữ liệu mật khẩu?
Đây thực sự là một mẹo. Như các bạn đã biết, cả tài khoản người dùng và tài