通过

Les attributs confidentiels qu'on ne veut pas mettre sur les RODC (read only DC)

  • 项目

Les RODC sont les DC 2008 en mode lecture seule, ils sont destinés à déployer dans un site et ne nécessite pas forcément une administration quotidienne.

Il se peut que certains attributs de l'AD que l'on juge 'confidentiels' qu'on ne veut pas forcément qu'ils se trouvent sur les RODC. Pour cela, on peut les empêcher de se propager des RWDC vers les RODC en utilisant la notion de FAS (Filtered Attribute Set).

 

Un attribut marqué comme "confidentiel" ne peut pas être propagé des RWDC vers les RODC.

Pour cela, on met la valeur 0x080 (128) au 7 ème bit de l'attribut SearchFlag.

 

L'avantage de marquer les attributs en confidentiels est qu'en cas de perte ou de vol du RODC, ces attributs ne sont pas présents sur le RODC.

 

Les attributs suivants sont par défaut dans la liste des attributs FAS (filtered attribute set).

 

ms-PKI-DPAPIMasterKeys

ms-PkI-AccountCredentials

ms-PKI-RoamingTimeStamp

ms-FVE-KeyPackage

ms-FVE-RecoveryInformation

ms-FVE-RecoveryPassword

ms-FVE-VolumeGuid

ms-TPM-OwnerInformation

 

Voici un exemple de la valeur de l'attribut SearchFlags de ms-PKI-AccoundCredentials

 image

Ceci correspond à la valeur 640 (en décimal)

 image

 

Pour plus d'information, veuillez voir le lien suivant :

 

Adding Attributes to the RODC Filtered Attribute Set

https://technet.microsoft.com/en-us/library/cc754794.aspx

Comments

  • Anonymous
    March 25, 2016
    The comment has been removed