RODC (II de III) Directiva de Replicación de Contraseñas

La Directiva de replicación de contraseñas(PRP) determina las credenciales que tienen premitido almacenarse en la cache en un RODC específico.

Para facilitar la gestión de PRP, Windows Server 2008 R2 crea dos grupos de seguridad en el contenedor de usuarios de Active Directory. El primer grupo,Grupo de replicación de contraseña, se añade a la lista de permitidos de cada RODC nuevo. De forma predeterminada, el grupo no tiene miembros. Por lo tanto, por defecto, un RODC nuevo no tiene caché de ningún usuario.

El segundo grupo se denomina Grupo denegado RODC replicación de contraseñas. Los usuarios cuyas credenciales desea asegurar que nunca se almacenen en caché por el RODC deben estar en este grupo.

De forma predeterminada, este grupo contiene grupos de seguridad sensibles, incluidos Administradores de dominio, Administradores de organización y Propietarios del creador de directivas de grupo. 

Se pueden agregar grupos, en cuyo caso todos los usuarios que pertenecen al grupo pueden tener su credenciales almacenadas o denegadas en el RODC.

Si el usuario se encuentra tanto en la lista de autorizados y la lista de denegados, la lista denegados tiene prioridad.

Separación del rol administrativo
En las sucursales un RODC puede requerir mantenimiento, se puede gestionar la administración local a través de una característica llamada separación de funciones administrativas. Cada RODC mantiene una base de datos local de grupos específicos para fines administrativos. Usted puede agregar cuentas de usuario de dominio a estos roles locales para habilitar el soporte de un RODC specífico mediante el comando Dsmgmt.exe

Agregar un usuario como Administrador en un RODC: 

• 1. Abrir un Command Prompt en el RODC. 
• 2. Introducir el comando dsmgmt.
• 3. Teclear local roles.
• 4. Puedes ver la lista de comandos con el parametro ?.
• 5. Teclea add [nombre de usuario] administrators.

Seguridad a lo Jabalí para Todos!!