Lektion 2: Konfigurieren von schreibgeschützten Domänencontrollern 263
Sitename=MyBranch
databasePath="e:\ntds"
logPath="e:\ntdslogs"
sysvolpath:"f:\sysvol"
SafeModeAdminPassword:P@ssw0rd
RebootOnCompletion:yes
Weitere Informationen Server Core-Features
Weitere Informationen über die Features, die Sie auf einer Server Core-Installation installie-
ren können, finden Sie unter http://technet.microsoft.com/de-de/library/cc771345.aspx.
Weitere Informationen Optionen beim Installieren eines RODCs
Weitere Informationen über die RODC-Installation, darunter Hinweise zur delegierten
Installation, finden Sie im Artikel „Schrittweise Anleitung für schreibgeschützte Domänen-
controller“ unter http://technet.microsoft.com/de-de/library/cc772234.aspx.
Kennwortreplikationsrichtlinien
Eine Kennwortreplikationsrichtlinie (Password Replication Policy, PRP) legt fest, über wel-
che Benutzer ein bestimmter RODC Anmeldeinformationen zwischenspeichern darf. Wenn
die PRP einem RODC erlaubt, die Anmeldeinformationen eines Benutzers in seinem Cache
zu speichern, ist der RODC in der Lage, Authentifizierungs- und Dienstticketoperationen
dieses Benutzers selbst zu verarbeiten. Dürfen die Anmeldeinformationen eines Benutzers
nicht auf einem RODC zwischengespeichert werden, leitet der RODC alle entsprechenden
Authentifizierungs- und Dienstticketoperationen an einen beschreibbaren Domänencontrol-
ler weiter.
Eine RODC-PRP wird durch zwei Attribute des RODC-Computerkontos festgelegt. Diese
Attribute werden als Zulassen-Liste (engl. allowed list) und Verweigern-Liste (engl. denied
list) bezeichnet. Ist das Konto eines Benutzers in der Zulassen-Liste enthalten, werden die
Anmeldeinformationen dieses Benutzers zwischengespeichert. Sie können auch Gruppen in
die Zulassen-Liste eintragen, dann werden die Anmeldeinformationen aller Benutzer, die zu
diesen Gruppen gehören, auf dem RODC zwischengespeichert. Steht ein Benutzer sowohl
auf der Zulassen-Liste als auch der Verweigern-Liste, werden seine Anmeldeinformationen
nicht zwischengespeichert: Die Verweigern-Liste hat Vorrang.
Konfigurieren einer domänenweiten Kennwortreplikationsrichtlinie
Um die Verwaltung der PRP zu erleichtern, erstellt Windows Server 2008 zwei domänen-
lokale Sicherheitsgruppen im AD DS-Container Users. Die erste heißt Zulässige RODC-
Kennwortreplikationsgruppe, sie wird zur Zulassen-Liste aller neuen RODCs hinzugefügt.
In der Standardeinstellung hat die Gruppe keine Mitglieder. Daher speichert ein neuer
RODC keinerlei Anmeldeinformationen in seinem Cache. Gibt es Benutzer, deren Anmelde-
informationen
Sie auf allen RODCs der Domäne zwischenspeichern wollen, können Sie diese
Benutzer zur Gruppe Zulässige RODC-Kennwortreplikationsgruppe hinzufügen.