Windows Server 2008 Active Directory 域服务新增功能

核心提示： RODC 计算机对象包含的其他两个属性可以帮您精准确定应缓存其密码的帐户，msDS-AuthenticatedAtDC 属性列出 RODC 已验证了密码的帐户，Windows Server 2008 Active Directory 域服务新增功能(6)，msDS-RevealedList

RODC 计算机对象包含的其他两个属性可以帮您精准确定应缓存其密码的帐户。msDS-AuthenticatedAtDC 属性列出 RODC 已验证了密码的帐户，msDS-RevealedList 属性命名其密码当前由 RODC 存储的帐户。

用户和计算机密码哈希并不是 DC 存储的唯一秘密信息。KrbTGT 帐户包含在每个域控制器上运行的 Kerberos 密钥分发中心 (KDC) 服务的密钥。在通常情况下，域中的每个 KDC 共享相同的 KrbTGT 帐户，所以有可能攻击者从窃得的 DC 上获取这些密钥，然后使用它们攻击域的其余部分。但是，如果每个 RODC 均有其自己的 KrbTGT 帐户和密钥，就可防止这种攻击。

应用程序还经常在 DIT 中存储密码或其他机密信息。如果攻击者窃得了 DC，可能会得到这些应用程序密码，进而用其访问应用程序。为防范这类攻击，Windows Server 2008 域服务允许管理员定义只读过滤属性集 (RO-FAS)。RO-FAS 中的属性绝不会复制到 RODC，因此不能从失窃的 DC 中获取这些属性。通过设置构架中相应 attributeSchema 对象的 searchFlags 属性的第 9 位 (0×0200)，您可以将属性指定给 RO-FAS。

门内粗汉

分支机构域控制器会面临的另一类威胁是本地服务器管理员通过利用 DC 的权限提升自己的权限，进而访问其他域资源或发起拒绝服务攻击。同样，如果本地管理员可以实际接触到域控制器，就很难防范这类攻击。但是，可以防止攻击者通过使用分支机构的域控制器攻击域中的其他 DC。

此域中的完全 DC 不会将 RODC 视为域控制器予以信任。从信任角度讲，FDC 将 RODC 视为域中的成员服务器。RODC 不是企业域控制器或域控制器组的成员。RODC 更新目录中任何内容的能力十分有限，因此即使攻击者获得了 RODC 帐户，也不会得到很高的权限。