CertBase Community
Die Lernplattform für Ihren Erfolg

Frage 175 - RODC local role

rated by 0 users
This post has 8 Replies | 3 Followers

Top 150 Mitwirkender
Beiträge 14
omj Posted: Fri, 18. Jul 2014 13:44 | IP-Adresse ist Registriert

Moinsen!

Kleine Unklarheit: Wenn ich mit dem repadmin-Befehl den User Tom zum RODC repliziere, dann wird doch das Kennwort nicht mit repliziert. Oder?

Dann bringt dieser Befehl doch nichts, weil bei ausgefallener WAN-Verbindung ohne KW keine "lokale" Anmeldung am RODC erfolgen kann. Außerdem ist - wenn Tom Domänenbenutzer ist -  das Konto sowieso in der "normalen" Replikation enthalten.

Deswegen frage ich mich, ob nicht Antwort C (Eigenschaften des RODC-Computerobjektes) richtig ist, um dort Tom in eine PasswordReplicationPolicy aufzunehmen.

Oder habe ich mich hier verlaufen?

Danke und Grüße!

Top 10 Mitwirkender
Beiträge 468
webbel Antwort zu Thu, 21. Aug 2014 13:45 | IP-Adresse ist Registriert

Hallo!

Ich denke D ist schon richtig.

Wenn Du auf einem beschreibbarem DC in den Eigenschaften des Computerkonto's des RODC einen Benutzer zum Verwalter des RODC machst, muss diese Änderung auch auf den RODC übertragen werden. Das funktioniert mit D. Dabei werden dann auch die nötigen Änderungen am RODC durchgeführt. Die nächste planmäßige Replikation würde das aber sicher auch.

B wäre auch ein möglicher Weg. Da die Konfiguration aber schon durchgeführt wurde, ist D dann der nächste Schritt.

Mit C erlaubst Du, das der Benutzer sein Kennwort auf dem RODC speichern darf, er kann sich dann an der AD anmelden, aber noch nicht lokal am RODC. 

 

Top 10 Mitwirkender
Beiträge 468
webbel Antwort zu Thu, 21. Aug 2014 20:37 | IP-Adresse ist Registriert

Hallo!

Du musst hier nicht den Benutzer Tom replizieren, sondern das Computerkonto vom RODC. Der delegierte Administrator wird in den Eigenschaften des Computer Objektes unter Verwaltet von konfiguriert. Es wird dann auch ein lokales Konto auf dem RODC für diesen Administrator erstellt. Durch die Replikation des Objektes wird der RODC entsprechend konfiguriert. Warum das nun extra angestossen werden muss kann ich nicht nachvollziehen, die planmäßige Replikation sollte das auch erreichen, aber es ist die einzige sinnvolle Antwort.

Antwort B würde das ganze direkt am RODC  konfigurieren.

Die Kennwortreplikation steuert ja nur welcher Domänenbenutzer sich direkt am RODC authentifizieren kann, nicht wer sich lokal am RODC anmelden kann, was ja nur einige Administratoren dürfen.

Top 75 Mitwirkender
Beiträge 25
silentrunner Antwort zu Tue, 21. Apr 2015 14:06 | IP-Adresse ist Registriert

Hallo,

ich bin heute über diese Frage gestolpert. Meiner Meinung nach kann nur C richtig sein.

Es geht darum, dass Tom sich auch dann authentifizieren kann wenn die WAN Verbindung zum schreibbaren DC ausfällt. Also muss Tom sein Kennwort auf den RODC replizieren können. Dies passiert nicht automatisch da der Gruppe Administratoren das zwischenspeichern von Kennwörtern verweigert wird. Die Administratorengruppe muss also in den Eigenschaften von DC2 aus den Kennwortreplikationsrichtlinien entfernt werden und Tom entweder direkt mit zugelassen hinzugefügt, oder in die Gruppe der zulässige RODC-Kennwortreplikationsgruppe aufgenommen werden.

LG Peter

Top 10 Mitwirkender
Beiträge 468
webbel Antwort zu Thu, 23. Apr 2015 16:09 | IP-Adresse ist Registriert

Hallo!

Ich habe es gerade einmal nachgestellt.

Das speichern des Kennwortes auf dem DC funktioniert nicht. Erst wenn mit repadmin das Benutzerobjekt auf den RODC repliziert wurde ist die Anmeldung auch ohne Netzwerkverbindung zum beschreibbaren DC möglich.

Allerdings ist in der Hilfe ein Fehler. Der Schalter heisst replsingleobj nicht wie in angegegeben replsingleobject 

Top 10 Mitwirkender
Beiträge 1,678
Maik Antwort zu Thu, 23. Apr 2015 16:21 | IP-Adresse ist Registriert

Der Name des Parameters ist korrigiert.

Gruß
Maik

Top 75 Mitwirkender
Beiträge 25
silentrunner Antwort zu Thu, 23. Apr 2015 17:02 | IP-Adresse ist Registriert

Hi,

Ich gehe aber nicht davon aus, dass mein Mitarbeiter jetzt erst erstellt wird.Big Smile
Er wurde also im Rahmen der normalen Replikation schon vor langer Zeit auf den RODC repliziert

Ich mache ihn zum lokalen Admin am RODC über verwaltet von.
Von mir aus repliziere ich nun die Änderungen des RODC-Kontos auf den RODC.

Mein Problem besteht aber immer noch. Mein Mitarbeiter darf Kennwörter nicht am RODC speichern und kann sich bei fehlender WAN-Verbindung nicht anmelden

LG Peter

Top 10 Mitwirkender
Beiträge 468
webbel Antwort zu Fri, 24. Apr 2015 9:41 | IP-Adresse ist Registriert

Hallo!

Ich habe es gerade mit einer neuen Umgebung noch einmal getestet, heute war es nach dem speichern des Kennworts auf dem RODC möglich sich anzumelden.

Du hast Recht, das Benutzerobjekt wird schon bei der Erstreplikation auf den RODC übertragen. Es sei den es wäre ein neu eingerichteter Benutzer. 

So gesehen halte ich dann doch C für die richtige Antwort.

Top 10 Mitwirkender
Beiträge 1,678
Maik Antwort zu Fri, 24. Apr 2015 10:05 | IP-Adresse ist Registriert

Hallo,

ich habe die vorgegebene Antwort von D auf C abgeändert. Schlüssig ist es auch, da die geänderte Antwort mit der Lösung von Frage 180 konform geht.


Gruß
Maik

Seite 1 von 1 (9 Treffer) | RSS
CertBase - IT-Prüfungsvorbereitung Online