RODC & WDHST-Agent

09/03/2009 - 15:56 von Andy Wendel | Report spam
Moinsen,

wenn ich einen RODC installiere - gebe ich auch ein Kennwort für den AD-Wiederherstellungsagenten
an...

NUN - das Kennwort1 kann ja geknackt werden - und benutzt werden - auch wenn
ich keine Hashes zum cashen auf dem RODC erlaube...

Sehe ich das falsch?

Gruß

And
 

Lesen sie die antworten

#1 Yusuf Dikmenoglu [MVP]
09/03/2009 - 17:33 | Warnen spam
Salut,

"Andy Wendel" wrote:
wenn ich einen RODC installiere - gebe ich auch ein Kennwort für
den AD-Wiederherstellungsagenten an...



du vergibst ein Kennwort für den "Verzeichnisdienstwiederherstellungsmodus"
und nicht für einen "Agenten".

NUN - das Kennwort1 kann ja geknackt werden



Jede Bank kann geknackt werden. Ja sogar eine "Parkbank". SCNR.

auch wenn
ich keine Hashes zum cashen auf dem RODC erlaube...



Das eine hat mit dem anderen nichts zu tun. Das Kennwort für den DSRM wird
in der lokalen SAM gespeichert und wird nicht repliziert. Dabei hat jeder DC
sein eigenes DSRM-Kennwort. Da aber ohnehin keine ausgehende AD-Replikation
vom RODC stattfindet, ist das AD auch nicht gefàhrdet.

Regards from Rhein-Main/Germany
Yusuf Dikmenoglu - MVP Directory Services
Blog: http://blog.dikmenoglu.de

Ähnliche fragen