我是否需要使用 Samba Active Directory 在主域控制器上“拒绝 RODC 密码复制”

我是否需要使用 Samba Active Directory 在主域控制器上“拒绝 RODC 密码复制”

我们在 Ubuntu 14.04.5 LT 上使用 Samba Active Directory 2:4.7.6

我们只有一个域控制器,并且它不是远程的(它位于受控的、非 WAN 访问的子网内)。

但是,自 Windows AD 2008 以来,所有权威用户(“企业管理员”、“域管理员”、“证书发布者”等)都默认属于该组“拒绝 RODC 密码复制“。

我有两个问题:

  1. 由于这不是远程域控制器(它是主域控制器),并且无法通过 WAN 访问(它位于隔离子网中) - 我们可以安全地从“拒绝 RODC 密码复制”中删除这些用户吗?

  2. (这可能需要单独发帖)。尝试登录域中的 Ubuntu 18 成员时,登录失败并显示错误...

错误:

lightdm: pam_succeed_if(lightdm:auth): requirement "user ingroup nopasswdlogin" not met by user "MyDomainAdminAccount"

这是因为配置中的行/etc/pam.d/lightdm...

auth    sufficient      pam_succeed_if.so user ingroup nopasswdlogin

我通过将此文件更改为......来纠正该问题。

#auth    sufficient      pam_succeed_if.so user ingroup nopasswdlogin
auth    sufficient      pam_succeed_if.so user ingroup [domain users]
auth    sufficient      pam_succeed_if.so user ingroup [domain admins]

...但我不知道这两个问题是否相关。

有人可以解释一下吗?

答案1

取决于您是否拥有只读域控制器。如果没有,则组成员身份无关紧要。如果有,则从“拒绝的 RODC 密码复制”组中删除这些帐户会违背拥有 RODC 的主要目的。

查看文档,我认为该设置与拒绝 RODC 密码复制组成员身份无关:

https://wiki.archlinux.org/index.php/LightDM#Enabling_interactive_passwordless_login

“您还必须成为 nopasswdlogin 组的一部分,才能以交互方式登录而无需输入密码”

相关内容