Un controlador de dominio de solo lectura solo debe almacenar una selección de usuarios en particular, de forma que si vemos comprometida la seguridad del equipo podamos controlar y conocer que cuentas podemos determinar que son claves y tienen un valor en especial para nuestro bosque de Active Directory, con este conocimiento podremos pasar a hacer la modificación de los password para el resto del dominio de estos usuarios sin necesidad de cambiar cada uno de los usuarios dentro del mismo.
Es importante mencionar que si decidimos hacer deploy de controladores de dominio de solo lectura en una locación debemos hacerlo para todos los equipos ya que así no dejamos al azar que si nos roban un equipo no estar echando a la suerte que sea justamente el de solo lectura y no los que tienen todos los usuarios almacenados.
Para poder establecer un controlador de dominio de solo lectura debemos cumplir los siguientes requerimientos
Para hacer la implementación del controlador de dominio de solo lectura debemos realizar lo siguiente, una vez hayamos cumplido con los requerimientos vistos en el punto anterior.
Es importante mencionar que si decidimos hacer deploy de controladores de dominio de solo lectura en una locación debemos hacerlo para todos los equipos ya que así no dejamos al azar que si nos roban un equipo no estar echando a la suerte que sea justamente el de solo lectura y no los que tienen todos los usuarios almacenados.
Requerimientos
Para poder establecer un controlador de dominio de solo lectura debemos cumplir los siguientes requerimientos
- Un bosque con un nivel funcional de Windows Server 2003 o mayor
- El bosque debe estar preparado para hacer deploy de controladores de dominio de solo lectura si su nivel funcional no es de Windows Server 2012, para ello debemos utilizar los comandos adprep/rodcprep.
- Un controlador de dominio Windows Server 2008 o superior debe estar presente en cualquier dominio en el que se quiera implementar un controlador de dominio de solo lectura.
Como implementar el controlador de dominio de solo lectura
Para hacer la implementación del controlador de dominio de solo lectura debemos realizar lo siguiente, una vez hayamos cumplido con los requerimientos vistos en el punto anterior.
- 1 - Correr el asistente de agregar roles y características y agregar el rol Active Directory Domain Services., así como todas las características para soportar el controlador de dominios de solo lectura a la máquina que funcionará como tal.
- 2 - Correr el asistente de configuración de servicios de dominio de Active Directory para agregar un controlador de dominio a un dominio existente, con esto vemos que el controlador de dominio de solo lectura no puede ser el primer controlador de dominio en un dominio.
- 3 - En la página de opciones de controlador de dominio seleccionar la opción Read Only Domain Controller, elegir el lugar donde dicho controlador estará ubicado e ingresar el password del servicio del modo de recuperación del directorio.
- 4 - En la página de opciones del controlador de dominio de solo lectura, establecer la lista de cuentas que pueden hacer réplica al nuevo controlador de dominio de solo lectura, también podremos establecer las cuentas que están bloqueadas de hacer dicha réplica.
- 5 - El resto de opciones que se deben seleccionar son las mismas de cuando se genera un controlador de dominios típico, una vez que se completa el uso de este asistente la máquina se reiniciará para poder aplicar los cambios.
