Read Only Domain Controller

Les RODC’s (Read Only Domain Controllers) sont des DC’s qui, comme leurs noms l’indiquent, ne sont accessibles qu’en lecture. Dans cet article nous verrons pourquoi il est intéressant de déployer des RODC au lieu des traditionnels DC et surtout comment les déployer.

I/ C’est quoi un RODC ?

A quoi ça sert à DC non modifiable ? Après tout on est censé pouvoir manipuler notre annuaire Active Directory depuis ces DC’s donc des DC en lecture seule… Ça n’a pas de sens.

En fait si, et c’est plutôt utile pour l’administration d’un domaine Active Directory. Reprenons le schéma de notre domaine whiteflag.fr que l’on a vu dans cet article :

rd1.png

Sur ce schéma je vous avais dit qu’on a un domaine parent (whiteflag.fr) et trois domaines enfants (europe.whiteflag.fr, asie.whiteflag.fr, amerique.whiteflag.fr). Pour simplifier la gestion des ressources on pourrait déployer un DC pour chaque domaine. On aurait donc au total 4 DC.

Pourquoi est ce qu’on ne fait pas ça ? Eh bien parce que les DC’s sont les cibles prioritaires de tout attaquants. Eh oui, si on root le DC, on contrôle le domaine. Donc en multipliant les DC, on multiplie aussi le risque de se faire exploser son domaine.

En revanche ce qu’on peut faire, c’est déployer des RODC’s ! Ces DC n’auront accès qu’à une partie de l’annuaire Active Directory (celle qui contient les ressources de l’Europe, de l’Asie ou de l’Amérique si on reprend le schéma plus haut). Et en plus de ça, les données ne seront accessibles qu’en lecture donc non modifiables. La seule chose à faire, ça sera de répliquer les modifications faites sur le DC principal sur chacun des RODC’s.

Est ce qu’il y a d’autres avantages à déployer des RODC’s ? Oui ! Vu qu’il y aura un DC par collectivité territoriale (Europe, Asie, Amérique), les temps de connexion seront beaucoup plus faibles pour les utilisateurs finaux. De même la charge réseau sera réparti sur plusieurs zones et donc au final la consommation de la bande passante sera moins élevée.

II/ Mise en place d’un RODC

Comme d’habitude on va commencer par se rendre dans le gestionnaire de serveur puis on va cliquer sur « Ajouter des rôles et des fonctionnalités ». Encore une fois on va demander à ajouter le rôle AD DS et on va lancer l’installation du service.

Une fois que ça sera fini, on va redémarrer le serveur, se rendre sur le gestionnaire de serveur et cliquez sur la notification qui nous demande de promouvoir le contrôleur de domaine.

On choisira l’option permettant d’ajouter un contrôleur de domaine au DC tout en précisant qu’on veut qu’il soit en read only :

rd2.png

Pour la suite, on va vous demander de fournir un compte qui aura les droits de répliquer les mots de passe sur le nouveau RODC. Mettez le compte qui vous convient puis installer le tout !

Voilà vous avez un RODC !