You are on page 1of 90


Module 10: Improving the Security of Authentication in an AD DS Domain

Module 10: Improving the Security of Authentication in an AD DS Domain
Contents: Lesson 1: Lab A: Lesson 2: Lab B: Lesson 3: Lab C: Configure Password and Lockout Policies Configure Password and Account Lockout Policies Audit Authentication Audit Authentication Configure Read­Only Domain Controllers Configure Read­Only Domain Controllers

Module Overview



Module 10: Improving the Security of Authentication in an AD DS Domain

When users log on to an Active Directory ® domain, they enter their user name and password. Then, the client computer uses those credentials to authenticate the users’ identities against their Active Directory accounts. In Module 3, you learned how to create and manage user accounts and their properties, including passwords. In this module, you will explore the domain­side components of authentication, including the policies that specify password requirements and the auditing of authentication­related activities. You will also discover two features introduced by Windows Server® 2008 that can significantly improve the security of authentication in an Active Directory Domain Services (AD DS) domain, password settings objects (better known as fine­ grained password policy) and read­only domain controllers (RODCs).

Objectives 2/90


Module 10: Improving the Security of Authentication in an AD DS Domain

After completing this module, you will be able to: • Configure password and account lockout policies. • Configure auditing of authentication­related activity. • Configure RODCs.

Lesson 1: Configure Password and Lockout Policies

By default, in a Windows Server 2008 or Windows Server 2008 R2 domain, users 3/90

 lower case. numeric. To enhance your domain’s 4/90 . in an Active Directory domain. or to be longer. In this lesson. and password complexity. or for a backup utility. for accounts used by services such as Microsoft® SQL Server®. including the use of three of four character types: upper case.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain need to change their password every 42 days. In earlier versions of Windows®. you will be able to: • Understand password and account lockout policies. this was not possible—a single password policy applied to all accounts in the domain. Rarely do these default settings align precisely with an organization’s password security requirements. password length. and you may require exceptions to your password policies. Objectives After completing this lesson. Your organization might require passwords to be changed more or less frequently. and non­alphanumeric. you can place more restrictive password requirements for accounts assigned to administrators. there are exceptions to every rule. Typically. and a password must be at least seven characters long and meet complex requirements. As you know. https://skillpipe.courseware-marketplace. you will learn to implement your enterprise’s password and lockout policies by modifying the Default Domain Policy Group Policy object (GPO). In this lesson. administrators and users first encounter three password policies—maximum password age. This is a new feature in Windows Server 2008 that allows you to assign different password policies to users and groups in your domain. you will learn to configure fine­ grained password policies.

 In the Account Policies node. Within the GPO. Security Settings. access the Password Policy node to configure the policy settings that determine password requirements. expand Computer 5/90 . Windows Settings. The Password Policy node is shown in the https://skillpipe. and then Account Policies. in the Group Policy console tree. Policies. Understand Password Policies Your domain’s password policy is configured by a GPO scoped to the domain.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain • Implement your domain password and account lockout policy. • Configure and assign fine­grained password policies.courseware-marketplace.

If the Password and Must Meet Complexity Requirements policy is enabled. A user needs to change the password within the number of days specified by the Maximum Password Age policy setting. When the user enters a new 6/90 . the length of the new password will be compared with the number of characters in the Minimum Password Length policy.courseware-marketplace.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain following screen shot. the password must contain at least three of the following four character types: • Upper case: A to Z • Lower case: a to z • Numeric: 0 to 9 https://skillpipe. You can understand the effect of the policies by considering the lifecycle of a user password.

 and you should strive to eliminate applications that require direct access to passwords. Windows maintains https://skillpipe. only the hash code is stored in Active Directory. or & If the new password meets requirements. The number of previous passwords against which a new password is evaluated is determined by the Enforce Password History policy. By default. #. The algorithm used to create the hash code is called a one­way function. by default. Reversible encryption significantly reduces a domain’s security. The hash code is unique—no two different passwords can create the same hash code. Active Directory can check the cache of the user’s previous hash codes to ensure that the new password is not the same as the user’s previous passwords. This is not possible because.courseware-marketplace. so it is disabled by 7/90 . This policy setting is not enabled by default. To support such applications. Occasionally. some applications require the ability to read a user's password. You cannot put the hash code through a reverse function to derive the password. The fact that it is a hash code and not the password itself that is stored in Active Directory helps increase the user account’s security. %.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain • Non­alphanumeric symbols: !. user passwords are stored in an encrypted form that can be decrypted by the application. Additionally. Active Directory puts the password through a mathematical algorithm that produces a representation of the password called the hash code. If you enable the policy. you can enable the Store Passwords Using Reversible Encryption policy setting.

com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=12&FontSize=3&FontType=segoe 8/90 . the determined user would have to change the password once per day for 25 days to reuse a password. the Minimum Password Age policy specifies an amount of time that must pass between password changes. To prevent that from happening. Understand Account Lockout Policies https://skillpipe. it is one day. These policy settings—history.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain the previous 24 hash codes. The settings do not affect an administrator who uses the Reset Password command to change another user's password. This serves as an effective deterrent of such behavior. By default. Therefore.courseware-marketplace. If a user is determined to reuse the same password when the password expiration period occurs. which means that a user cannot use the last 24 passwords when entering a new one. and maximum age—affect only a user who changes the password. minimum age. the user could simply change the password 25 times to work around the password history.

 After a user name is 9/90 . combinations of first and last names. initials.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain An intruder can gain access to the resources in your domain by determining a valid user name and password. This type of attack. or employee IDs. This can be done by guessing. That is what account lockout policies achieve. the intruder must determine the correct password. can be thwarted by limiting the number of incorrect logons that are allowed. or by repeatedly logging on with combinations of characters or words until the logon is successful. because most organizations create user names from an employee's email address. Account lockout policies are located in the node of the GPO directly below the Password Policy.courseware-marketplace. called brute force. User names are relatively easy to identify. The Account Lockout Policy node is shown in the following screen https://skillpipe.

07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain shot. Active Directory denies logon to that 10/90 . even if the correct password is specified. If an attack results in more unsuccessful logons within that time frame. only the administrator can manually unlock a locked user account by using the Active Directory Users and Computers console. The account will remain locked out for the period of time specified in the Account lockout duration setting. The Account Lockout Threshold setting determines the number of invalid logon attempts permitted within a time specified by the Reset account lockout counter after policy. When an account is locked out. There are three settings related to account lockout. If a hacker performs a brute force attack against an https://skillpipe. because they can actually create denial of service scenarios. If you set this to a value of 0. Note Although account lockout policies can be useful in preventing brute force attacks. some organizations choose not to define account lockout policies. the user account is locked out.courseware-marketplace.

 Many organizations choose to use auditing. eventually the service will fail. account lockout.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain account used by a service account—your SQL 11/90 . and other monitoring approaches to mitigate brute force attacks. and Kerberos https://skillpipe. These policies are configured in a GPO that is scoped to the domain. Configure the Domain Password and Lockout Policy Active Directory supports one set of password and lockout policies for a domain. A new domain contains a GPO called the Default Domain Policy that is linked to the domain and that includes the default policy settings for password. intrusion detection. for example—and the account is locked.courseware-marketplace.

The best practice is to edit the Default Domain Policy GPO to specify the password policy settings for your 12/90 . Do not use the Default Domain Policy GPO to deploy any other custom policy settings.courseware-marketplace. or Kerberos policies for the domain in any other GPO. You should also use the Default Domain Policy GPO to specify account lockout policies and Kerberos policies. The settings can be overridden. In other words. however. and Kerberos policies for the domain. Additionally. do not define password. On the Account tab of a user's Properties dialog box. account lockout. you can configure the accounts for those users to store their passwords by using reversible encryption. you can specify settings such as Password Never Expires or Store Passwords Using Reversible Encryption. You can change the settings by editing the Default Domain Policy GPO. For example. https://skillpipe. The password settings configured in the Default Domain Policy affect all user accounts in the domain. if five users have an application that requires direct access to their passwords. by the password­ related properties of the individual user accounts.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain policies. account lockout. the Default Domain Policy GPO only defines the password.

com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=12&FontSize=3&FontType=segoe 13/90 .courseware-marketplace.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain Demonstration: Configure Domain Account Policies https://skillpipe.

 you see how to configure the domain account policies to meet the following requirements for passwords: • A minimum of eight characters long.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain In this demonstration. • A user cannot reuse a password within a ­year. • Users must change their password every 90 days. • Comply with Windows default complexity requirements. 14/90 .courseware-marketplace. • Users cannot change their own password more than once a week.

Double­click the following policy settings in the console details pane and configure the settings as indicated: • Enforce password history: 53 passwords remembered • Maximum password age: 90 days • Minimum password age: 7 days • Minimum password length: 8 characters • Password must meet complexity requirements: Enabled and then click Edit. in the console Module 10: Improving the Security of Authentication in an AD DS Domain Demonstration Steps 1. and contoso. 6. Security Settings. In the Group Policy Management console. and Account Policies. 2. Domains. Close the Group Policy Management window. 3. In the Group Policy Management Editor console tree. and then click Password Policy. contoso. Right­click Default Domain Policy underneath the 15/90 . expand Computer expand Forest:contoso. Policies.courseware-marketplace. Windows Settings. 4. Close the Group Policy Management Editor window. https://skillpipe.

 it was not possible to have more than one password and account lockout policy per domain. Because of this limitation in the earlier Windows Server versions. You https://skillpipe. it can cause additional maintenance and administrative cost to support two domain 16/90 .courseware-marketplace. administrators usually create two domains such as contoso. The only way to accomplish this is to move administrators (or users) to another domain. you had to create more than one domain in the Active Directory forest for different password requirements in a single organization. In such For example.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain Fine-Grained Password and Lockout Policy In the Windows Server 2003 Active Directory environment.contoso. However. consider a scenario where you want your administrators to have passwords with a minimum length of 14 characters and other users to have at least 7 or more and users.

com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=12&FontSize=3&FontType=segoe 17/90 . A service performs its tasks with credentials that must be authenticated with a user name and password just like those of a human user. You can override the domain password and lockout policy by using a new feature of Windows Server 2008 called fine­grained password and lockout policy. most services are not capable of changing their own password. Another type of account that requires special treatment in a domain is an account used by services such as SQL Server. so administrators configure service accounts with the Password Never Expires option https://skillpipe. you cannot apply this functionality by using Group Policy. There are several scenarios for which a fine­grained password policy can be used to increase your domain security.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain can solve this problem by using Windows Server 2008. However.courseware-marketplace. you might require a greater password length and more frequent password changes. Accounts used by administrators are delegated privileges to modify objects in Active Directory. consider implementing stricter password requirements for administrative accounts. For example. However. Therefore. if an intruder compromises an administrator's account. A fine­grained password policy allows you to configure a policy that applies to one or more groups or users in your domain. often shortened to simply fine­grained password policy. You can apply it only by defining a new type of object and some additional attributes to user and group objects. Therefore. A fine­grained password policy is a highly anticipated addition to Active Directory. more damage can be done to the domain than could be done with the account of a standard user.

 you should ensure that the password is difficult to compromise. https://skillpipe.courseware-marketplace. You can use fine­grained password policies to specify an extremely long minimum password length. Understand Password Settings Objects The settings managed by fine­grained password policy are identical to those in the Password Policy and Accounts Policy nodes of a GPO.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain enabled. fine­grained password policies are neither implemented as part of Group Policy nor are they applied as part of a GPO. However. When an account’s password will not be changed. there is a separate class of object in Active Directory that maintains the settings for fine­grained password policy—the Password Settings Object (PSO). 18/90 .

 create a global security 19/90 . A PSO is applied by linking the PSO to one or more global security groups or users. however. which is empty by default. and the domain functional level has been raised to Windows Server 2008.courseware-marketplace. to configure a strict password policy for administrative accounts. which means that all of your domain controllers in the domain are running Windows Server 2008. If you create a new service account. Actually. such as the Active Directory Users and Computers snap­in. and link a PSO to the group. with low­level tools. For example. by linking a PSO to a user or a group. Each PSO contains a complete set of password and lockout policy settings. including Active Directory Service Interface Editor (ADSIEdit). you’re modifying an attribute called msDS­PSOApplied. To use a fine­grained password policy. Applying fine­grained password policies to a group in this manner is more manageable than applying the policies to each individual user account. add the service user accounts as members. your domain must be at the Windows Server 2008 domain functional level. but as attributes to a specific user or a group. and the account becomes managed by the PSO. You manage PSOs. This approach now treats password and account lockout settings not as domain­wide requirements. You can create one or more PSOs in your domain. To confirm and modify the domain functional level: https://skillpipe. you simply add it to the group.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain Most Active Directory objects can be managed with user­friendly graphical user interface (GUI) tools.

https://skillpipe.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain 20/90 . and then click Raise domain functional level. you will see how to configure a fine­grained password policy to enhance the security of accounts in the Domain Admins group. Open Active Directory Domains and Trusts. 2.courseware-marketplace. expand Active Directory Domains and Trusts. Right­click the domain. 3. and then expand the tree until you can see the domain. In the console tree. Demonstration: Configure Fine-Grained Password Policy In this demonstration.

PSO Precedence and Resultant PSO https://skillpipe.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain Demonstration Steps 1. Assign a new PSO to Domain Admins group. with following settings: • Password stored with reversible encryption : False • Password history : Enabled • Password complexity requirement : Enabled • Minimum password age : 1 day • Maximum password age : 45 days • Account lockout threshold : 5 • Account lockout duration : 1 day • Account lockout counter reset : 1 hour 21/90 .courseware-marketplace. Create a new PSO. named “My Domain Admins PSO” in DC=Contoso­>DC=com­ >CN=System­>CN=Password Settings Container. Verify that the domain functional level is Windows Server 2008. Run the ADSI Edit utility on a domain controller. 3. 2.

07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain A PSO can be linked to more than one group or user. If multiple PSOs apply to a user. The rules that determine precedence are as follows: • If multiple PSOs apply to groups to which the user belongs. and a user can belong to multiple groups. So. the PSO with the highest precedence takes effect. The precedence value is any number greater than 22/90 . the PSO with the highest precedence wins. https://skillpipe.courseware-marketplace. where the number 1 indicates the highest precedence. which is called the resultant PSO. an individual group or user can have more than one PSO linked to it. which fine­grained password and lockout policy settings apply to a user? One and only one PSO determines the password and lockout settings for a user. Each PSO has an attribute that determines the PSO’s precedence.

3. Active Directory must choose. It picks the PSO with the lowest globally unique identifier (GUID). Click Filter and ensure that Constructed is selected. in effect. The resultant PSO is the authoritative PSO. The user­linked PSO with the highest precedence wins. These rules determine the resultant PSO. specific precedence values so that you avoid this scenario. so you can readily identify the PSO that will affect a user. 2. PSOs contain all password and lockout settings. GUIDs have no particular meaning—they are just identifiers—so picking the PSO with the lowest GUID is. Click the Attribute Editor tab. Active Directory exposes the resultant PSO in a user object attribute. Open the properties of the user account. • If one or more PSOs have the same precedence value.courseware-marketplace. To view the msDS­ResultantPSO attribute of a user: . 23/90 https://skillpipe.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain • If one or more PSOs are linked directly to the user. an arbitrary decision. GUIDs are like serial numbers for Active Directory objects—no two objects have the same GUID. Ensure that Advanced Features is enabled on the View menu. PSOs linked to groups are ignored. You should configure PSOs with unique. so there is no inheritance or merging of settings. regardless of their precedence. msDS­ResultantPSO. 4.

Locate the msDS­ResultantPSO attribute. Note There is no graphical tool in Windows Server 2008 to create shadow groups. If you want to apply password and lockout policies to users in an OU.courseware-marketplace. 24/90 . However. or mimics. and Shadow Groups PSOs can be linked to global security groups or users. This type of group is called a shadow group—its membership shadows. This script should enumerate user objects in the desired OU and put them in a group. OUs. you can create and manage them by using a very simple script that will run periodically.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain 5. the membership of an OU. PSOs cannot be linked to organizational units (OUs). Lab A: Configure Password and Account Lockout Policies https://skillpipe. you must create a global security group that includes all of the users in the OU.

On the host computer. point to Administrative Tools. and then click Hyper­V 25/90 . and in the Actions pane. you must complete the following steps: 1. https://skillpipe. click 6425C­NYC­DC1.courseware-marketplace. click Start. In Hyper­V™ Manager. click Connect. 3. Before you begin the lab. you will use the available virtual machine environment.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain Lab Setup For this lab. In the Actions pane. click Start. Wait until the virtual machine starts. 2.

Configure the domain account policies.courseware-marketplace. administrative accounts. Exercise 1: Configure the Domain’s Password and Lockout Policies In this exercise. you will modify the Default Domain Policy GPO to implement a password and lockout policy for users in the contoso. Log on by using the following credentials: • User name: 26/90 . Specifically.Coleman • Password: Pa$$w0rd • Domain: Contoso Lab Scenario The security team at Contoso. https://skillpipe. you must enforce a specified password policy for all user domain. and a more stringent password policy for security­sensitive.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain 4. Ltd has tasked you with increasing the security and monitoring of authentication against the enterprise’s AD DS domain. The main tasks for this exercise are as follows: 1.

 with the user name Pat. Leave other settings at their default values. 1. • Account lockout threshold: 5 invalid logon attempts. Edit the Default Domain Policy GPO. you configured new settings for the domain account policies. 3. • Maximum password age: 90 days • Minimum password length: 10 characters 4. Exercise 2: Configure Fine-Grained Password Policy https://skillpipe. Run Group Policy Management as an administrator. Results: In this exercise. Leave other settings at their default values. Configure the following password policy settings. Close Group Policy Management Editor and Group Policy Management. Configure the following account lockout policy setting.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain Task: Configure the domain account policies.courseware-marketplace.Coleman_Admin and the password Pa$$w0rd. 27/90 . 5.

 The ADSI Edit console opens. fine­ grained password policy to user accounts in the Domain Admins group. Delete a PSO. 28/90 . In the Password box. Link a PSO to a group. point to Administrative Tools. In the User name box. you will create a PSO that applies a restrictive. and click Run as administrator. 3. 2.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain In this exercise. https://skillpipe. 4.courseware-marketplace. type Pa$$w0rd. Click Use another account. You will identify the PSO that controls the password and lockout policies for an individual user. 3. The main tasks for this exercise are as follows: 1. right­click ADSI Edit. Identify the Resultant PSO for a user. 2. and then press Enter. 4. Create a PSO. 1. you will delete the PSO that you created. Click Start. type Pat. Task 1: Create a PSO.Coleman_Admin.

Right­click ADSI Edit and click Connect To. There is only one choice: msDS­PasswordSettings—the technical name for the object class referred to as a PSO. 7. Configure each attribute as indicated below. Right­click CN=Password Settings Container and choose New. Click Next after each attribute. Click OK.courseware-marketplace. This PSO has the highest possible precedence. This is the friendly name of the PSO. It prompts you to select the type of object to create. Click Default Naming Context in the console tree. 8. Accept all defaults. https://skillpipe. All PSOs are created and stored in the Password Settings Container (PSC).com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=12&FontSize=3&FontType=segoe 29/90 . 13. Expand CN=System and click CN= Password Settings Container. Click Next. • msDS­PasswordSettingsPrecedence:1.DC=com and click CN=System.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain 5. 10. The Create Object dialog box appears. Expand DC=contoso. Object. 9.DC=com. The attributes are similar to those found in the domain account policies. You are then prompted for the value for each attribute of a PSO. Expand Default Naming Context and click DC=contoso. 11. 6. 12. • cn: My Domain Admins PSO.

 Five invalid logons within the time frame specified by XXX (the next attribute) will result in account lockout. Five invalid logons (specified by the previous attribute) within one hour will result in account lockout. Passwords must be at least 15 characters long. • msDS­LockoutDuration:1:00:00:00. A value of zero will result https://skillpipe. • msDS­MinimumPasswordLength:15. • msDS­MinimumPasswordAge:1:00:00:00. if locked out. • msDS­LockoutThreshold:5. The user cannot reuse any of the last 30 passwords. A user cannot change the password within one day of a previous change. • msDS­PasswordComplexityEnabled:True. hours. The password must be changed every 45 days.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain • msDS­PasswordReversibleEncryptionEnabled:False. The password is not stored by using reversible encryption.courseware-marketplace. The format is d:hh:mm:ss (days. seconds). or until it is unlocked 30/90 . minutes. will remain locked for one day. • msDS­PasswordHistoryLength:30. An account. • msDS­LockoutObservationWindow:0:01:00:00. Password complexity rules are enforced. • msDS­MaximumPasswordAge:45:00:00:00.

 and ensure that Advanced Features is selected. click the View menu of the MMC console. and then click Attribute Editor. click the Password Settings Container. Click Add Windows Account. https://skillpipe. click msDS­PSOAppliesTo. In the console tree. and then click Edit. Right­click My Domain Admins PSO.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain in the account remaining locked out until an administrator unlocks it. expand the System container. 1. 3. 31/90 . 6. Use the account Pat.Coleman_Admin with the password Pa$$w0rd. Close ADSI Edit. Click Finish. 5.courseware-marketplace. Task 2: Link a PSO to a group. In the console tree. In the Attributes list. If you do not see the System container. 15. 4. The Multi­valued Distinguished Name With Security Principal Editor dialog box appears. 14. Run Active Directory Users and Computers with administrative credentials.

Task 3: Identify the Resultant PSO for a user.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain The Select Users. https://skillpipe. Click OK two times to close the open dialog boxes. Click Filter and ensure that Constructed is selected. The attribute you will locate in the next step is a constructed attribute. meaning that the resultant PSO is not a hard­coded attribute of a user; rather it is calculated by examining the PSOs linked to a user in real time. and then press Enter. Open Attribute Editor in the Properties dialog box for the account Pat. Question: What is the resultant PSO for Pat Coleman (Administrator)? Task 4: Delete a 32/90 . 7. Run Active Directory Users and Computers as an administrator with the user name Pat. 3. Type Domain Admins. 1. 8. or Groups dialog box appears.courseware-marketplace. 2.Coleman_Admin. Computers.Coleman_Admin and the password Pa$$w0rd.


Module 10: Improving the Security of Authentication in an AD DS Domain


With Advanced Features enabled on the View menu of Active Directory Users and Computers, open the System container and the Password Settings Container.


Delete the My Domain Admins PSO, which you created.

Results: In this exercise, you created a PSO, applied it to Domain Admins and confirmed its application, and then deleted the PSO.

Note Do not shut down the virtual machine after you finish this lab because the settings you have configured here will be used in subsequent labs in this module

Lab Review Questions Question: What are the best practices for managing PSOs in a domain? Question: How can you define a unique password policy for all the service accounts in the Service Accounts OU?



Module 10: Improving the Security of Authentication in an AD DS Domain

Lesson 2: Audit Authentication

Windows Server 2008 allows you to audit the logon activity of users in a domain. By auditing successful logons, you can look for instances in which an account is used at unusual times or in unexpected locations, which may indicate that an intruder is logging on to the account. Auditing failed logons can reveal attempts by intruders to compromise an account. In this lesson, you will learn to configure auditing logon authentication.

Objectives 34/90


Module 10: Improving the Security of Authentication in an AD DS Domain

After completing this lesson, you will be able to: • Configure auditing of authentication­related activity. • Distinguish between account logon and logon events. • Identify authentication­related events in the Security log.

Account Logon and Logon Events

This lesson examines two specific policy settings, Audit Account Logon Events and Audit Logon Events. You need to understand the difference between these two 35/90


Module 10: Improving the Security of Authentication in an AD DS Domain

similarly named policy settings. When a user logs on to any computer in the domain by using a domain user account, a domain controller authenticates the attempt to log on to the domain account. This generates an account logon event on the domain controller. The computer to which the user logs on—for example, the user’s laptop—generates a logon event. The computer did not authenticate the user against the account—it passed the account to a domain controller for validation. The computer did, however, allow the user to log on interactively to the computer. Therefore, the event is a logon event. When the user connects to a folder on a server in the domain, that server authorizes the user for a type of logon called a network logon. Again, the server does not authenticate the user—it relies on the ticket given to the user by the domain controller. But, the connection by the user generates a logon event on the server. Note The content in the following section is specific to Windows Server 2008 R2.

Advanced Audit Policies
In Windows Server 2008 R2, the Advanced Audit Policy configuration includes new 36/90


Module 10: Improving the Security of Authentication in an AD DS Domain

categories in Group Policy for auditing logon and account logon events. You learned about these advanced audit policies in Module 9. This provides administrators with the ability to have much more granular and more detailed control over the logon process and obtain information about very specific events that happen during the logon or logoff process. For an account logon event, you can now define four different settings for audit: • Credential Validation. Audit events generated by validation tests on user account logon credentials. • Kerberos Service Ticket Operations. Audit events generated by Kerberos service ticket requests. • Other Account Logon Events. Audit events generated by responses to credential requests submitted for a user account logon that are not credential validation or Kerberos tickets. • Kerberos Authentication Service. Audit events generated by Kerberos authentication ticket­granting ticket (TGT) requests.

You can audit the following logon and logoff events: • Logon. Audit events generated by user account logon attempts on a computer. 37/90

• Other Logon/Logoff Events. Discard. Audit events generated by special logons. Lock. • Account Lockout. • Network Policy Server. • IPsec Extended Mode. Audit events generated by Internet Key Exchange protocol (IKE) and Authenticated Internet Protocol (AuthIP) during Main Mode negotiations. For an interactive logon. Audit events generated by closing a logon session.courseware-marketplace. Audit events generated by a failed attempt to log on to an account that is locked 38/90 . Configure Authentication-Related Audit Policies https://skillpipe. Audit other events related to logon and logoff that are not included in the Logon/Logoff category. These requests can be Grant.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain • Logoff. Audit events generated by IKE and AuthIP during Quick Mode negotiations. and Unlock. Quarantine. Audit events generated by RADIUS (IAS) and Network Access Protection (NAP) user access requests. These events occur on the computer that was accessed. Audit events generated by IKE and AuthIP during Extended Mode negotiations. Deny. • IPsec Main Mode. • IPsec Quick Mode. the security audit event is generated on the computer that the user account logged on to. • Special Logon. 39/90 . you can configure additional audit policies in the https://skillpipe.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain Account logon and logon events can be audited by Windows Server 2008. These settings that manage auditing are located in a GPO in the Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Audit Policy node. In Windows Server 2008 R2. The Audit Policy node and the two settings are shown in the following screen shot.

• Audit successful events: If the Define These Policy Settings check box is selected. the server will audit the event based on its default settings or on the settings specified in another GPO. 40/90 . In this case. and the Success check box is selected. double­click the policy. The policy setting can be configured to one of the following four states: • Not Defined: If the Define These Policy Settings check box is cleared. its properties dialog box appears. the server will not audit the event. both basic and advanced. the policy setting is not defined. the server will log successful events in its Security log. • Defined for no auditing: If the Define These Policy Settings check box is selected.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain Advanced Audit Policy Configuration node. The Audit Account Logon Events Properties dialog box is shown in the following screen shot. https://skillpipe. but the Success and Failure check boxes are cleared. as shown in the following screenshot: To configure an audit policy.

 the server will log unsuccessful events in its Security log. If you want to audit failures or to turn off auditing. Scope Audit Policies https://skillpipe. So. the default setting is to audit successful account logon events and successful logon events. you will need to define the appropriate setting in the audit policy. entered in the server’s Security 41/90 .courseware-marketplace. and the Failure check boxes selected. In Windows Server 2008. A server’s audit behavior is determined by the one of these four settings that is applied as the resultant set of policy (RSoP). if successful. both types of events are.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain • Audit failed events: If the Define These Policy Settings check box is selected.

 if you want to audit attempts by users to connect to remote desktop servers in your 42/90 . you should be careful to scope settings so that they affect the correct systems. you can configure logon event. For example. on the other hand. auditing in a GPO linked to the OU that contains your remote desktop servers.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain As with all policy settings. you want to audit logons by users to desktops in your human resources department. Remember that an account logon event occurs on the domain controller that authenticates a https://skillpipe. Only domain controllers generate account logon events for domain users. Remember that domain users logging on to a client computer or connecting to a server will generate a logon event—not an account logon event—on that system. If.courseware-marketplace. you can configure logon event auditing in a GPO linked to the OU containing human resources computer objects.

 the Default Domain Controllers GPO that is created when you install your first domain controller is an ideal GPO in which to configure account logon audit policies. appear in the Security log of the system that generated the event. If you want to audit logons to domain accounts. https://skillpipe. In fact.courseware-marketplace. if audited. regardless of where that user logs on. An example is shown in the following screen 43/90 .07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain domain user. you should scope account logon event auditing to affect only domain controllers. View Logon Events Account logon and logon events.

 the events are entered in each computer’s Security log.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain So. Similarly. by default. if you are auditing unsuccessful account logons to identify potential intrusion attempts. you will need to examine the Security logs of all domain controllers to get a complete picture of account logon events in your domain. This means. auditing account logons or logons can generate a tremendous number of events. You should balance the amount of logging you perform with the security requirements of your business and the resources you have available to analyze logged events. it can be difficult to identify problematic events worthy of closer investigation. if you are auditing logons to computers in the human resources department. in a complex environment with multiple domain controllers and many users. the events are entered in each domain controller’s Security log. If there are too many events. As you can imagine. Lab B: Audit Authentication 44/90 .

Open Windows Explorer and then browse to D:\Labfiles\Lab10b. Run Lab10b_Setup.Coleman_Admin.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain The virtual machines should already be started and available after completing Lab A.bat with administrative credentials. Pa$$w0rd.courseware-marketplace. 4. 3. Log on to NYC­DC1as Pat. with the 45/90 . Start 6425C­NYC­DC1. https://skillpipe. 1. Pa$$w0rd.Coleman. Use the account Pat. if they are not. However. 2. You will be unable to complete Lab B successfully unless you have completed Lab A. with the password. you should complete Lab A before continuing.

Lab Scenario The security team at Contoso. When it is complete. 2. https://skillpipe. Configure auditing of logon events. press any key to continue. 46/90 . Specifically. You will then generate logon events and view the resulting entries in the event logs. The lab setup script runs. Exercise: Audit Authentication In this exercise. Configure auditing of account logon events.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain 5. Force a refresh Group Policy. Ltd has tasked you with increasing the security and monitoring of authentication against the enterprise’s AD DS domain. you need to create an audit trail of logons. you will use Group Policy to enable auditing of both successful and unsuccessful logon activity by users in the contoso. Lab10b. Close the Windows Explorer window. domain.courseware-marketplace. The main tasks for this exercise are as follows: 1.

3.courseware-marketplace.Coleman_Admin and the password Pa$$w0rd. 5. Name the GPO Server Lockdown Policy. 6. Create a Group Policy Object (GPO) linked to the Servers\Important Project OU. 2. Modify the Server Lockdown Policy to enable auditing events for both successful and failed logon . Examine account logon events. Close Group Policy Management Editor and Group Policy Management. 1. 47/90 https://skillpipe. Generate account logon events. Task 2: Configure auditing of logon events. Examine logon events. Task 1: Configure auditing of account logon events. Close Group Policy Management Editor. 3.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain 4. Modify the Default Domain Controllers Policy GPO to enable auditing events for both successful and failed account logon events. 1. Run Group Policy Management as an administrator. with the user name Pat. 2.

 As the computer starts. After you have been denied logon. 1.exe /force.courseware-marketplace. Start 6425C­NYC­SVR1. On NYC­DC1. it will apply the changes you made to Group Policy. 1. Log on to NYC­SVR1 as Pat.Coleman. run Event Viewer as an administrator. 1. but enter an incorrect password.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain Task 3: Force a refresh Group Policy. and then run the command gpupdate. with the user name Pat. Task 4: Generate account logon events. 48/90 https://skillpipe. Close the command prompt. On NYC­DC1. 2. with the user name Pat.Coleman_Admin and the password Pa$$ . Task 5: Examine account logon events. Pa$$w0rd. run the Command Prompt as an administrator. The following message appears: The user name or password is incorrect. 2.Coleman_Admin and the password Pa$$w0rd. log on again with the correct password.

07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain 2. Identify the failed and successful events in the Security log.courseware-marketplace.Coleman_Admin and the password Pa$$w0rd.) Task 6: Examine logon events 1. Question: Which Event ID is associated with the logon failure events? (Hint: Look for the https://skillpipe.) Question: Which Event ID is associated with the successful account logon? (Hint: Look for the earliest of a series of events at the time you logged on incorrectly to NYC­ SVR1. Question: Which Event ID is associated with the account logon failure events? (Hint: Look for the earliest of a series of failure events at the time you logged on incorrectly to NYC­SVR1. 2. run Event Viewer as an administrator. with the user name Pat. On NYC­ 49/90 . Identify the failed and successful events in the Security log.

Lab Review Questions Question: You have been asked to audit attempts to log on to desktops and laptops in the Finance division by using local accounts such as Administrator. What type of audit policy do https://skillpipe. you established and reviewed auditing for successful and failed logons to the domain and to servers in the Important Project OU.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain earliest of a series of failure events at the time you logged on incorrectly to NYC­ SVR1.) Results: In this 50/90 .) Question: Which Event ID is associated with the successful logon? (Hint: Look for the earliest of a series of events at the time you logged on incorrectly to NYC­SVR1. Note Do not shut down the virtual machine after you finish this lab because the settings you have configured here will be used in subsequent labs in this module.courseware-marketplace.

 Windows Server 51/90 .courseware-marketplace. however. the answer to this question was not simple. you will explore the issues https://skillpipe. In this lesson. should you place a domain controller in the branch office? In the previous versions of Windows.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain you set. introduces a new type of domain controller—the RODC—that makes the question easier to answer. and in what GPO(s)? Lesson 3: Configure Read-Only Domain Controllers Branch offices present a unique challenge to an enterprise’s information technology (IT) staff: If a branch office is separated from the hub site by a wide area network (WAN) link.

 you will be able to: • Identify the business requirements for RODCs. Objectives After completing this lesson.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain related to branch office authentication and domain controller placement. and you will learn how to implement and support a branch­office RODC.courseware-marketplace. Authentication and Domain Controller Placement in a Branch Office https://skillpipe. • Monitor the caching of credentials on an 52/90 . • Configure password RODC credentials caching. • Configure password replication policy. • Install an RODC.

 In 53/90 .courseware-marketplace. The branch offices connect to the hub site over WAN links that may be congested. if any. the hub site may include a robust data center. Should a domain controller be placed in the branch office? In branch office scenarios. local IT staff to support the servers.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain Consider a scenario in which an enterprise is characterized by a hub site and several branch offices. Users in the branch office must be authenticated by Active Directory to access resources in the domain. In larger organizations. Branch offices. https://skillpipe. however. There may be few. many of the IT services are centralized in the hub site. expensive. There may be no physically secure facility to house branch office servers. slow. which is carefully maintained by the IT staff. many branch offices have no significant IT presence other than a handful of servers. are often smaller sites in which no data center exists. or unreliable.

 service ticket activity happens regularly. the user’s client requests what is called a service ticket from the domain controller. a branch office domain controller poses a considerable security risk. You can think of a service ticket as a key issued by the domain controller to a user. A domain controller maintains a copy of all attributes of all objects in its domain. including secrets such as information related to user passwords. You must at least reset the passwords of every user account in the domain. on a file 54/90 . at which point the entire domain is compromised. it becomes possible for a determined expert to identify valid user names and passwords. authentication is much more efficient but there are several potentially significant risks. https://skillpipe. Authentication occurs when users first log on to their computers in the morning. A second concern is that changes to the Active Directory database on a branch office domain controller replicate to the hub site and to all other DCs in the environment. Because users typically connect to multiple services during a work day.courseware-marketplace. Authentication and service ticket activity over the WAN link between a branch office and a hub site can result in slow or unreliable performance. When a user first tries to access a specific service. If a domain controller is accessed or stolen. Because the security of servers at branch offices is often less than ideal. If a domain controller is placed in the branch office. Service tickets are a component of the Kerberos authentication mechanism used by the Windows Server 2008 domains.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain If a domain controller is not placed in the branch office. authentication and service ticket activities will be directed to the hub site over the WAN link. such as the File and Print service. The key allows the user to connect to a service.

there can be significant repercussions for the entire domain.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain Therefore. For example. To perform maintenance on a standard domain 55/90 . What Are Read-Only Domain Controllers? https://skillpipe. which means you are effectively an administrator of the domain. The third concern relates to administration. It may not be appropriate to grant that level of capability to a support team at a branch office.courseware-marketplace. A branch office domain controller may require maintenance such as a new device driver. corruption to the branch office domain controller poses a risk to the integrity of the enterprise directory service. you must log on as a member of the Administrators group on the domain controller. if a branch office administrator performs a restore of the domain controller from an outdated backup.

com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=12&FontSize=3&FontType=segoe 56/90 .07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain The security. which is designed specifically to address the branch office scenario.courseware-marketplace. Windows Server 2008 introduces the RODC. which maintains a copy of all objects in the domain and all attributes except for secrets such as password­ related properties. If you do not configure caching. and administration concerns left many enterprises with a difficult choice to make. If the user logging on is included in the password replication policy. the RODC receives the request and forwards it to a domain controller in the hub site for authentication. when a user in the branch office logs on. the RODC caches that user’s credentials. directory service integrity. typically placed in the branch office. You can configure a password replication policy for the RODC that specifies user accounts the RODC is allowed to cache. An RODC is a domain controller. so the next time https://skillpipe.

 Usually. No changes to the RODC are replicated to any other domain 57/90 . RODCs have the equivalent of a local Administrators group. Prerequisites for Deploying an RODC https://skillpipe. This eliminates the exposure of the directory service to corruption due to changes made to a compromised branch office domain controller. Replication is one way. The RODC replicates changes to Active Directory from domain controllers in the hub site. Only the user accounts that had been cached on the RODC must have their passwords changed. you will add users located in the same physical site as an RODC to the password replication policy. Because the RODC maintains only a subset of user credentials.courseware-marketplace. the effect of the security exposure is limited.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain authentication is requested. if the RODC is compromised or stolen. Finally. the RODC builds its cache of credentials so that it can perform authentication locally for those users. As users who are included in the password replication policy log on. the RODC can perform the task locally. You can give one or more local support personnel the ability to fully maintain an RODC without granting them the equivalent rights of Domain Admins.

 you first must perform some preparation steps. Ensure there is at least one writable domain controller running Windows Server 2008 or Windows Server 2008 R2.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain To deploy an RODC. 2.courseware-marketplace. Ensure that the forest functional level is Windows Server 2003 or later. https://skillpipe. 58/90 . The high­level steps to install an RODC are as follows: 1. Install the RODC. 4. If the forest has any domain controllers running Windows Server 2003. run adprep /rodcprep.

 the domain functional level can be set to Windows Server 2003. If all domains are at the Windows Server 2003 domain functional level. This means all domain controllers in the entire forest must be running Windows Server 2003 or later. RODCs require that the forest functional level is Windows Server 2003 or later so that the linked­value replication (LVR) is available. For RODCs. applications and services must be able to delegate. If all domain controllers are Windows Server 2003 or later. and are therefore dependent on the versions of Windows running on domain controllers. The user or computer must be cacheable at the RODC for constrained delegation https://skillpipe. This provides a higher level of replication consistency. typically only domain controllers are enabled for 59/90 .07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain Each of these steps is detailed in the following sections. Verifying and Configuring Forest Functional Level of Windows Server 2003 or Later Functional levels enable features unique to specific versions of Windows. The domain functional level must be Windows Server 2003 or later so that Kerberos constrained delegation is available. but only constrained delegation is allowed because it prevents the target from impersonating again and making another hop. Because delegation provides powerful capabilities. Constrained delegation supports security calls that must be impersonated under the context of the caller. the forest functional level can be set to Windows Server 2003. Delegation makes it possible for applications and services to authenticate to a remote resource on behalf of a user. Domain and forest functional levels are discussed in detail in another module.courseware-marketplace.

2. and then click Properties. 3. Open Active Directory Domains and Trusts. as shown below. Any user can verify the forest functional level in this way. https://skillpipe. Right­click the name of the forest.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain to work.courseware-marketplace. To determine the functional level of your forest: 1. Verify the forest functional level. No special administrative credentials are required to view the forest functional 60/90 . This restriction places limits on how a rogue RODC may be able to abuse cached credentials.

 click Windows Server 2003. examine the properties of each domain to identify any domains for which the domain functional level is not at least Windows Server 2003. If you find such a domain. You must be an administrator of a domain to raise the domain's functional level. The command is found in the \sources\adprep folder of the Windows Server 2008 installation DVD. Copy the folder to the domain controller acting as the schema https://skillpipe. you must be either a member of the Domain Admins group in the forest root domain or a member of the Enterprise Admins group. and click Raise. Then. right­click the domain and click Raise Domain Functional Level. After you have raised each domain functional level to at least Windows Server 2003. This command configures permissions so that RODCs are able to replicate DNS application directory partitions. and it will have only domain controllers running Windows Server 2008. in Active Directory Domains and Trusts. If you are creating a new Active Directory forest. To raise the forest functional level. DNS application directory partitions are discussed in another module. right­click the root node of the Active Directory Domains And Trusts snap in and click Raise Forest Functional Level. you do not need to run adprep /rodcprep.courseware-marketplace. In the Select An Available Forest Functional Level drop­down list. Running ADPrep /RODCPrep If you are upgrading an existing forest to include domain controllers running Windows Server 2008. you must run adprep /rodcprep.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain If the forest functional level is not at least Windows Server 61/90 . ensure that all domain controllers in the domain are running Windows Server 2003.

Installing an RODC https://skillpipe. open a command prompt. the writable Windows Server 2008 domain controller must also host the DNS domain zone. Ideally. and type adprep /rodcprep. you must run adprep /forestprep and adprep /domainprep. change directories to the adprep folder. Log on to the schema master as a member of the Enterprise Admins group. If you want the RODC to act as a DNS server. Placing a Writable Windows Server 2008 Domain Controller An RODC must replicate domain updates from a writable domain controller running Windows Server 2008 or Windows Server 2008 R2.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain master. Before running adprep /rodcpep. It is critical that an RODC is able to establish a replication connection with a writable Windows Server 2008 domain controller. The schema master role is discussed in another 62/90 . See Module 15 for more information about preparing a Windows Server 2003 domain and forest for the first Windows Server 2008 domain controller. the writable Windows Server 2008 domain controller should be in the closest site—the hub site.courseware-marketplace.

 each performed by a https://skillpipe.courseware-marketplace.exe command with the /unattend switch to create the RODC. Alternatively. you must use the dcpromo.exe /unattend command. as shown in the following screen shot. you can use the Active Directory Domain Services Installation Wizard to create an RODC. You can complete the installation of an RODC in two stages. With a full installation of Windows Server 2008.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain After completing the preparatory steps. Simply click Read­only Domain Controller (RODC) on the Additional Domain Controller Options page of the wizard. On a Server Core installation of Windows Server 2008. you can use the 63/90 . An RODC can be either a full or Server Core installation of Windows Server 2008. you can install an RODC.

 or you can use the answer https://skillpipe. You can perform a staged installation of an RODC by using several approaches. The first stage of the installation. such as the Domain Admins group. such as a branch office. only a member of the Domain Admins or Enterprise Admins groups can complete the installation. This stage does not require any membership in built­in groups. which is appropriate for a smaller number of accounts. If the user who creates the RODC account does not specify any delegate to complete the installation and administer the RODC. You can delegate the ability to attach the server to a nonadministrative group or user. You can pre­create an RODC account by using Active Directory Users and Computers console.courseware-marketplace. The administrator who creates the RODC account can also specify at that time which users or groups can complete the next stage of the installation. This stage must be performed by a member of the Domain Admins group. to the account that was previously created for it. creates an account for the RODC in AD DS. The second stage of the installation attaches the actual server that will be the RODC in a remote location. such as its domain controller account name and the site in which it will be placed. which requires Domain Admin credentials. During this first stage.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain different individual. The next stage of the installation can be performed in the branch office by any user or group who was delegated the right to complete the installation when the account was 64/90 . the Active Directory Domain Services Installation Wizard records all data about the RODC that will be stored in the distributed Active Directory database. You can also use the dcpromo command­line utility with appropriate switches.

 To access the password replication policy. the authentication and service ticket activities are referred by the RODC to a writable domain controller. If a password replication policy allows an RODC to cache a user's 65/90 .07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain file to perform an unattended installation of an RODC.courseware-marketplace. open the properties of the domain controller in the Domain Controllers OU and then click the Password Replication Policy tab. the authentication and service ticket activities of that user can be processed by the RODC. Demonstration: Configure a Password Replication Policy A password replication policy determines which users’ credentials can be cached on a specific RODC. The password replication policy of an RODC is determined by https://skillpipe. If a user's credentials cannot be cached on RODC.

courseware-marketplace. the group has no members. Windows Server 2008 creates two domain local security groups in the Users container of Active Directory. By default. this group contains security­sensitive accounts that are members of groups including Domain Admins. Enterprise Admins. the user's credentials are cached. The first one. If there are users whose credentials you want to be cached by all domain RODCs. Configure Domain-Wide Password Replication Policy To facilitate the management of password replication policy. add those users to the Allowed RODC Password Replication 66/90 . If a user's account is on the Allowed List. By default. the user's credentials will not be cached—the Denied List takes precedence. It is added to the Denied List of each new RODC. The second group is named Denied RODC Password Replication Group. https://skillpipe. a new RODC will not cache any user’s credentials. is added to the Allowed List of each new RODC. If the user is both on the Allowed List and the Denied List. in which case all users who belong to the group can have their credentials cache on the RODC. add those users to the Denied RODC Password Replication Group. named Allowed RODC Password Replication Group. by default. Therefore. These attributes are commonly known as the Allowed List and the Denied List. If there are users whose credentials you want to ensure are never cached by domain RODCs. You can include groups on the Allowed List.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain two multivalued attributes of the RODC's computer account. and Group Policy Creator Owners.

07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain Note Remember that it is not only users who generate authentication and service ticket activity. you need to allow the RODC in each branch office to cache credentials of users in that specific location. you need to configure the Allowed List and the Denied List of each RODC. Configure RODC-Specific Password Replication Policy The two groups described in the previous section provide a method to manage password replication policy on all RODCs. open the properties of the RODC’s computer account in the Domain Controllers OU. On the Password Replication Policy tab. To improve performance of systems in a branch office. shown in the following screen shot. to best support a branch office scenario. To configure any RODC’s password replication policy. https://skillpipe. Computers in a branch office also require such 67/90 . Therefore.courseware-marketplace. However. allow the branch RODC to cache computer credentials as well. you can view the current password replication policy settings and add or remove users or groups from the password replication policy.

5. 4. In the Active Directory Users and Computers console tree.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain Demonstration Steps 1. Click the Password Replication Policy tab and view the default policy. Close the BRANCHDC01 properties. Run Active Directory Users and Computers with administrative credentials. In the Domain Controllers OU open the properties of BRANCHDC01. 3. 2. https://skillpipe.Coleman_Admin with the password Pa$$w0rd.courseware-marketplace. click the Users container. Use the account 68/90 .

Double­click Allowed RODC Password Replication Group. Click Cancel to close the Denied RODC Password Replication Group properties. Go to the Members tab and examine the default membership of Allowed RODC Password Replication Group. 9.courseware-marketplace. Demonstration: Administer RODC Credentials Caching 69/90 . 8. 7. Click OK. Double­click Denied RODC Password Replication Group and go to the Members tab.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain 6.

 an Advanced Password Replication Policy dialog box appears. 70/90 . An example is shown in the following screen shot. you will see how to administer RODC credentials caching.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain In this demonstration. When you click the Advanced button on the Password Replication Policy tab of an RODC.

 Use this list to determine whether not required credentials are being cached on the RODC.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain The drop­down list at the top of the Policy Usage tab allows you to select one of two reports for the RODC: • Accounts whose passwords are stored on this Read­Only Domain Controller: Display the list of user and computer credentials that are currently cached on the RODC. • Accounts that have been authenticated to this Read­Only Domain Controller: Display the list of user and computer credentials that have been referred to a writable domain controller for authentication or service ticket processing. and modify the password replication policy accordingly. https://skillpipe. consider adding them to the password replication policy. Use this list to identify users or computers that are attempting to authenticate with the 71/90 . If any of these accounts are not being cached.

 in the Active Directory Users and Computers console tree. click Prepopulate Passwords and select the appropriate users and computers. you can ensure that authentication and service ticket activity will be processed locally by the RODC even when the user or computer is authenticating for the first time. the Resultant Policy tab allows you to evaluate the effective caching policy for an individual user or computer. Click the Add button to select a user or computer account for 72/90 . 2. but will not be cached until the authentication or service ticket events causes the RODC to replicate the credentials from a writable domain controller. 3. The Advanced Password Replication Policy for BRANCHDC01 dialog box appears. Click Password Replication Policy. Demonstration Steps: 1. the account credentials can be cached on the RODC. On NYC­DC1. If a user or computer is on the Allow list of an RODC. You can also use the Advanced Password Replication Policy dialog box to prepopulate credentials in the RODC cache. To prepopulate credentials. click the Domain Controllers OU and open the properties of BRANCHDC01. By pre­populating credentials in the RODC cache.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain In the same dialog box.courseware-marketplace. Click Advanced. https://skillpipe. for users and computers in the branch office for example.

11. 8. https://skillpipe. From the drop­down list. The following message appears: Passwords for all accounts were successfully prepopulated.Gallagher). select Accounts Whose Passwords Are Stored On This Read­Only Domain Controller. The Select Users or Computers dialog box 73/90 . 4. The Select Users or Computers dialog box appears. Type the name of the account you want to prepopulate (for example. 9. 6. and then press Enter. select Accounts that have been authenticated to this Read­only Domain Controller. 7.and then click OK. From the drop­down list. and then click Add. type Chris. Click Policy Usage. Type Chris. Click Prepopulate Passwords. Click the Resultant Policy tab.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain The Policy Usage tab displays accounts whose passwords are stored on this Read­Only Domain Controller. 5.Gallagher. 10. Click Yes to confirm that you want to send the credentials to the RODC.

com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=12&FontSize=3&FontType=segoe 74/90 .courseware-marketplace. RODCs support local administration through a feature called administrative role separation. But the delegated administrator cannot log on to any other domain controller or perform any other administrative task in the domain.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain Administrative Role Separation RODCs in branch offices may require maintenance such as an updated device driver. a delegated administrator can log on to an RODC to perform maintenance work. on the server. Additionally. This feature specifies that any domain user or security group can be delegated to be the local administrator of an RODC without granting that user or group rights for the domain or other domain controllers. small branch offices may combine the RODC rolled with the file server role on a single system. Therefore. in which case it will be important to be able to back up the system. such as upgrading a driver. https://skillpipe.

You can configure administrative role separation by using the dsmgmt. Type 75/90 . Type add username administrators. 2. Open a command prompt on the RODC.exe command.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain Each RODC maintains a local database of groups for specific administrative purposes. You can add a domain user account to these local roles to allow support of a specific RODC. you can type ? and press Enter for a list of commands.courseware-marketplace. follow these steps: 1. where username is the pre­Windows 2000 logon name of a domain user. Lab C: Configure Read-Only Domain Controllers https://skillpipe. and then press Enter. and then press Enter. To add a user to the Administrators role on an RODC. 3. At the local roles prompt. You can also type list roles and press Enter for a list of local roles. You can repeat this process to add other users to the various local roles on an RODC. Type local roles. and then press Enter. 4.

 and then click Hyper­V Manager. Before you begin the lab.courseware-marketplace. click 6425C­NYC­DC1. you must complete the following steps: 1. 3. click Connect. 2. In the Actions 76/90 . click Start. point to Administrative Tools. In Hyper­V Manager. On the host computer.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain Lab Setup For this lab. and in the Actions pane. Wait until the virtual machine starts. you will use the available virtual machine environment. https://skillpipe. click Start.

com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=12&FontSize=3&FontType=segoe 77/90 . with the password. When it is complete. Lab10c. Run Lab10c_Setup. Specifically. you will configure the server BRANCHDC01 as an RODC in https://skillpipe. Pa$$w0rd. 6.bat with administrative credentials. 7. Exercise 1: Install an RODC In this exercise.courseware-marketplace. you are to improve the security of domain controllers in branch offices. The lab setup script runs.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain 4. 8. Open Windows Explorer and then browse to D:\Labfiles\Lab10c. Lab Scenario The security team at Contoso.Coleman_Admin. Close the Windows Explorer window. press any key to continue. Log on by using the following credentials: • User name: Pat.Coleman • Password: Pa$$w0rd • Domain: Contoso 5. Use the account Pat. Ltd has tasked you with increasing the security and monitoring of authentication against the enterprise’s AD DS domain.

 You will stage a delegated installation of an RODC so that Aaron Painter can complete the installation. Step through the Active Directory Domain Services Installation Wizard. Run Active Directory Users and Computers as an administrator. the desktop support technician and only IT staff member at the branch. Aaron Painter has already installed a Windows Server 2008 computer named BRANCHDC01 as a server in a workgroup. Run the Active Directory Domain Services Installation Wizard on a workgroup 78/90 .courseware-marketplace. To avoid travel costs. with the user name Pat. The main tasks for this exercise are as follows: 1. Stage a delegated installation of an RODC.Coleman_Admin and the password Pa$$w0rd. accepting all defaults. 3. 2. 2. delegate installation to https://skillpipe. Task 1: Stage a delegated installation of an RODC. 1. you decide to do the conversion remotely with the assistance of Aaron Painter. and then click Pre­create Read only Domain Controller account. Right­click the Domain Controllers OU.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain the distant branch office. Use the computer name BRANCHDC01 and on the Delegation of RODC Installation and Administration page.

Type dcpromo. Click Start. When installation is completed. Click Next.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain Aaron. GC).com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=12&FontSize=3&FontType=segoe .courseware-marketplace. click Next.Painter_Admin. 1. 6. Task 2: Run the Active Directory Domain Services Installation Wizard on a workgroup server. Log on to BRANCHDC01 as Administrator with the password Pa$$w0rd. and then click Run. 5. Start 6425C­BRANCHDC01. 4. the server appears in the Domain Controllers OU with the DC Type column showing Unoccupied DC Account (Read­only. Note When the wizard is complete. On the Operating System Compatibility page. and then press Enter. 2. 3. 79/90 https://skillpipe. the Active Directory Domain Services Installation Wizard appears. A window appears that informs you that the AD DS binaries are being installed.

A message appears to inform you that the account for BRANCHDC01 has been prestaged in Active Directory as an RODC. 12. 9. On the Network Credentials page. On the Select a Domain page. Click the Set button. 13. In the Password box. type Aaron. click the Existing forest option.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain 7. A Windows Security dialog box appears.Painter_Admin. 15. In the User Name box. Because you have pre­staged and delegated administration of the RODC. you can proceed with the delegated credentials. select contoso. 10. Click Yes. type Pa$$w0rd. click Add a domain controller to an existing domain.courseware-marketplace. and then click Next. and then click Next. Click Next. type 80/90 . Click OK. and then press Enter. A message appears to inform you that your credentials do not belong to the Domain Admins or Enterprise Admins groups. 11. 14. On the Choose A Deployment Configuration page.

18. https://skillpipe. the server reboots. and SYSVOL page. click Next. click Next. Also. Results: In this exercise. note that we modified the minimum password length in Lab A and as such need to meet the new minimum password length requirements. you created a new RODC named BRANCHDC01 in the contoso. On the Directory Services Restore Mode Administrator Password page. you should assign a complex and secure password to the Directory Services Restore Mode Administrator account. Log Files. On the Location For Database. In a production domain. In the progress window.courseware-marketplace. Active Directory Domain Services is installed on BRANCHDC01. type Pa$$w0rd12345 in the Password and Confirm Password boxes. and then click Next. select the Reboot On Completion check box. On the Summary 81/90 . 17.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain 16. you will configure a domain­wide password replication policy and the password replication policy specific to BRANCHDC01. Exercise 2: Configure Password Replication Policy In this exercise. 19.

Task 1: Configure domain-wide password replication policy. 2. 4. • Who are the default members of the Allowed RODC Password Replication Group? • Who are the default members of the Denied RODC Password Replication Group? • Add the DNSAdmins group as a member of the Denied RODC Password Replication Group. 3. Configure password replication policy for the branch office RODC. https://skillpipe. • What are the password replication policies for the Allowed RODC Password Replication Group and for the Denied RODC Password Replication Group? Task 2: Create a group to manage password replication to the branch office RODC. Configure domain­wide password replication policy. • Examine the password replication property for NYC­BRANCHDC01. Evaluate resultant password replication 82/90 .courseware-marketplace.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain The main tasks for this exercise are as follows: 1. Create a group to manage password replication to the branch office RODC.

07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain 1. • Open the Resultant Policy for BRANCHDC01's password replication policy. Add the following users to the Branch Office Users group: • Anav.Geller • Daniel. • Configure BRANCHDC01 so that it caches passwords for users in the Branch Office Users group. create a new global security group called Branch Office Users.Silverman • Chris. Task 4: Evaluate resultant password replication 83/90 .Gallagher? https://skillpipe. 2. In the Groups\Role OU.Gallagher • Christa.courseware-marketplace.Roth Task 3: Configure password replication policy for the branch office RODC. Question: What is the resultant policy for Chris.

Gallagher with the password Pa$$w0rd and then log off. 84/90 . Monitor credential caching.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain Results: In this exercise. The contoso. You also configured the password replication policy for BRANCHDC01 to allow replication of passwords of members of Branch Office Users. you configured the domain­wide password replication policy to prevent the replication of passwords of members of DNSAdmins to RODCs. Prepopulate credential caching. The main tasks for this exercise are as follows: 1. Task 1: Monitor credential caching. and then log off. 2. you will monitor credential caching.Danseglio with the password Pa$$w0rd.courseware-marketplace. Log on to BRANCHDC01 as Chris. Log on to BRANCHDC01 as domain used in this course includes a Group Policy object https://skillpipe. Exercise 3: Manage Credential Caching In this exercise. 2.

 prepopulate the password for Christa Geller. Results: In this exercise. you identified the accounts that have been cached on BRANCHDC01. it is not recommended to give users the right to log on to domain controllers. or have been forwarded to another domain controller for authentication. In a production environment.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain (named 6425C) that allows users to log on to domain controllers. 3.courseware-marketplace. examine the password replication policy for BRANCHDC01. in Active Directory Users and Computers. On NYC­DC1. Lab Review Questions 85/90 . You also prepopulated the cached credentials for Christa Geller. Question: Which users' passwords are currently cached on BRANCHDC01? Question: Which users have been authenticated by BRANCHDC01? Task 2: Prepopulate credential caching. • In the password replication policy for BRANCHDC01.

 To do this. 2. start Hyper­V Manager. and then click 86/90 .07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain Question: Why should you ensure that the password replication policy for a branch office RODC has. revert the virtual machines to their initial state. the accounts for the computers in the branch office as well as the users? Question: What would be the most manageable way to ensure that computers in a branch are in the Allow list of the RODC's password replication policy? To prepare for the next module When you finish the lab. On the host computer. in its Allow list. Right­click 6425C­NYC­DC1 in the Virtual Machines list. https://skillpipe. complete the following steps: 1.courseware-marketplace.

courseware-marketplace. a number of users deal with confidential files on a regular https://skillpipe. In the Revert Virtual Machine dialog box. 4. Module Review and Takeaways Review Questions Question: In your organization. click Revert. Repeat these steps for 6425C­NYC­SVR1 and 6425C­BRANCHDC01.07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain 87/90 .

07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain basis. The user accounts are scattered across multiple . How would you accomplish this with the least administrative effort? Question: Where should you define the default password and account lockout policies for user accounts in the domain? Question: What would be the disadvantage of auditing all successful and failed logons on all machines in your domain? Question: What are the advantages and disadvantages of prepopulating the credentials for all users and computers in a branch office to that branch's RODC? Common Issues Related to Authentication in Active Directory Issue User is not forced to change the password even if that setting is configured in Default Domain Policy. User or group does not have the    88/90 Troubleshooting tip    https://skillpipe. You need to ensure that all these users have strict account polices enforced.

07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain right PSO applied. which will be hard to search. the user may change the password prior to departure. Company procedures specify that if a user's password will expire while the user is out of the office. https://skillpipe. You must account for a user who is out of the office for up to two weeks. Additionally.courseware-marketplace. • Deploy RODCs in sites where physical security is an issue.    Real World Issues and Scenarios You must ensure that all users change their password every 30 days. You cannot deploy an RODC. you must ensure that a user cannot reuse a password within a one­year time 89/90 . How would you configure account policies to accomplish this? Best Practices Related to Authentication in an AD DS Domain • Use Default Domain Policy GPO to specify general password and account lockout policies that will apply for most users. • Use fine­grained password policy to specify password and account lockout policies for specific users and groups with administrative privileges. • Do not enable all options for auditing because you will have many security logs. Use advanced audit logging to have more granular control.

com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=12&FontSize=3&FontType=segoe 90/90 .07/06/13 Module 10: Improving the Security of Authentication in an AD DS Domain Tools Tool Group Policy Management console Used for • Editing and managing group policy objects Where to find it Administrative Tools ADSI Edit • Creating Password Setting Objects Administrative Tools Dcpromo • Creating and managing domain controllers Command­line utility Windows Server 2008 R2 Features Introduced in this Module Feature Advanced Audit Policies Description New settings in Group Policy object for more detailed auditing of various system events https://skillpipe.courseware-marketplace.