RODC（読み取り専用ドメインコントローラ）のパスワード情報のキャシュ

RODCは、デフォルトではパスワード情報を保持しない。ただし、設定によりパスワードをキャッシュさせることもできる。

 

パスワード情報を全くキャッシュしないRODCは構築する意味がありますか？

 

（質問）

パスワード情報を全くキャッシュしないRODCは構築する意味がありますか？

RODCの目的は、
    セキュリティレベルが低い場所に置かれているドメインコントローラの安全性を高めること
    ユーザがログオンする際、ネットワークを圧迫することを避けること
    操作ミスによるオブジェクトの削除を避けること
があると認識しております。

しかし、パスワード情報を全くキャッシュしないRODCの場合、ドメインに接続する先は毎回読み書き可能なドメインコントローラとなるのですよね？
だとしたら、RODCが置かれている意味が全くなくなると思います。
認証を行えないRODCにアクセスしても、結局はネットワークを通して読み書き可能なドメインコントローラにアクセスするためむしろ、パスワード情報を全くキャッシュしないのであれば、RODCは構築することの方が、安全性が低くなるのではないのでしょうか？

例えば、セキュリティレベルの低い場所に置かれているRODCが盗まれた場合、オブジェクト構成に顧客名が流出してしまうなど。

よく理解出来ていないため、変な質問かもしれませんが、RODCとは、一部のユーザをキャッシュして始めて意味を持ち、パスワードキャッシュを全くしない場合は、むしろ構築しないほう良いと認識しておりますが、この認識は間違っているでしょうか？

 

たびたび変な質問で申し訳ありませんが、よろしくお願いします。

 

 －－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

（回答）

そもそものRODCの目的を理解することによって、その答えが導き出されると考えます。

多くの場合、セキュリティの確保が難しいブランチサイトにおいて、サイト内ユーザーのログオン速度の低下を防ぐことを目的としています。

そのような場合は、そのサイトに存在するユーザーやコンピューターのパスワードのキャッシュを行うことによって、WANを経由せずにサイト内ログオンが可能になります。

＞例えば、セキュリティレベルの低い場所に置かれているRODCが盗まれた場合、オブジェクト構成に顧客名が流出してしまうなど。

確かに、RODCのサーバーが盗難にあった場合、ユーザー名などは流失してしまう可能性があります。

 

＞RODCとは、一部のユーザをキャッシュして始めて意味を持ち、パスワードキャッシュを全くしない場合は、むしろ構築しないほう良いと認識しておりますが、この認識は間違っているでしょうか？

それはRODCを設置する目的を考えてみると、おっしゃる通りパスワードキャッシュをしない場合は、すべてWAN経由での認証が行われるので「サイト内ユーザーのログオン速度の低下を防ぐ」という目的ならば意味がないというのは間違っていません。

 

ということで、RODCを設置する目的がその企業にとって何か？を理解することが必要です。

 

以上、参考になれば幸いです。

 

（MSページ）

http://technet.microsoft.com/ja-jp/library/cc755058(WS.10).aspx

（資料）

http://www.atmarkit.co.jp/fwin2k/winsv2008/07ad_02/07ad_02_02.html

（参考ブログ）

http://naonao71.wordpress.com/2009/01/13/rodc%E8%A8%AD%E8%A8%88%EF%BC%88%E3%81%9D%E3%81%AE%E5%89%8D%E3%81%AB%E7%9F%A5%E3%81%A3%E3%81%A6%E3%81%8A%E3%81%8D%E3%81%9F%E3%81%84%E3%81%93%E3%81%A8%EF%BC%89/

（参考ページ）

http://tarkyon.net/microsoft/os/server/win2008/ad/rodc.html

 

http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/0e96691a-24e1-497f-b683-28098b6765be