<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<meta name="Generator" content="Microsoft Exchange Server">
<!-- converted from text --><style><!-- .EmailQuote { margin-left: 1pt; padding-left: 4pt; border-left: #800000 2px solid; } --></style>
</head>
<body>
<div>
<div>
<div style="font-family:Calibri,sans-serif; font-size:11pt">Matthieu,<br>
I am adding my colleague Tarun Chopra who will take care of this while I will be on vacation.<br>
<br>
Thanks,<br>
Edgar<br>
</div>
</div>
<hr>
<span style="font-family:Tahoma,sans-serif; font-size:10pt; font-weight:bold">From:
</span><span style="font-family:Tahoma,sans-serif; font-size:10pt">Matthieu Patou</span><br>
<span style="font-family:Tahoma,sans-serif; font-size:10pt; font-weight:bold">Sent:
</span><span style="font-family:Tahoma,sans-serif; font-size:10pt">10/18/2012 1:06 PM</span><br>
<span style="font-family:Tahoma,sans-serif; font-size:10pt; font-weight:bold">To:
</span><span style="font-family:Tahoma,sans-serif; font-size:10pt">Edgar Olougouna; cifs-protocol@samba.org</span><br>
<span style="font-family:Tahoma,sans-serif; font-size:10pt; font-weight:bold">Subject:
</span><span style="font-family:Tahoma,sans-serif; font-size:10pt">Re: GetRevealSecretsPolicyForUser</span><br>
<br>
</div>
<font size="2"><span style="font-size:10pt;">
<div class="PlainText">Hello Edgar,<br>
<br>
On 10/17/2012 10:21 AM, Edgar Olougouna wrote:<br>
> Matthieu,<br>
><br>
> There will be an update to MS-ADTS and I will communicate the change as soon as the draft is ready.<br>
> However, the algorithm in MS-DRSR already covers the required processing.<br>
> Allowed RODC Password Replication Group and Denied RODC Password Replication Group are by default added to attributes msDS-RevealOnDemandGroup and msDS-NeverRevealGroup respectively during dcpromo, therefore there is no extra processing needed, following
 the processing rules as documented in MS-DRSR 4.1.10.5.14 GetRevealSecretsPolicyForUser will get the right results. These attributes (msDS-RevealOnDemandGroup and msDS-NeverRevealGroup) are maintained by an administrator and implementations must not take a
 dependency on any specifics of their contents. More information relating to these attributes can be found in 6.1.1.3.2 MS-ADTS 6.1.1.3.2 Read-Only Domain Controller Object .<br>
So if I read you right then it means that those groups are used only at <br>
(rodc)dcpromo to populate the attributes that are used for checking in <br>
MS-DRSR 4.1.10.5.14.<br>
<br>
Did you verify this behavior ?<br>
This article: <br>
<a href="http://technet.microsoft.com/en-us/library/rodc-guidance-for-administering-the-password-replication-policy%28v=ws.10%29.aspx">http://technet.microsoft.com/en-us/library/rodc-guidance-for-administering-the-password-replication-policy%28v=ws.10%29.aspx</a>,
<br>
seems to indicate that it's a constant check<br>
" <javascript:void(0)><br>
Reviewing the accounts that are authenticated to an RODC <br>
<javascript:void(0)><br>
------------------------------------------------------------------------<br>
<br>
You should periodically review the accounts that have been authenticated <br>
to an RODC. This information can help you plan updates that you intend <br>
to make to the existing PRP. For example, you may want to review which <br>
user and computer accounts have authenticated to an RODC so that you can <br>
add those accounts to the Allowed List.<br>
<br>
ImportantImportant<br>
You will probably see more accounts in the *Accounts that have been <br>
authenticated to this Read-only Domain Controller* list than will have <br>
passwords cached. Although you may see accounts of writeable domain <br>
controllers or members of the Domain Admins group in the list of <br>
authenticated accounts, it does not necessarily indicate that those <br>
accounts authenticated to the domain through the RODC. Instead, it means <br>
that the RODC in one way or another verified the credentials of those <br>
accounts. All default administrative accounts and domain controllers are <br>
denied explicitly or through their membership from having their <br>
passwords cached. If there are additional accounts that you want to make <br>
sure are not cached, include them in the Deny list or make them members <br>
of the Denied RODC Password Replication Group. The Deny list comprises <br>
of the accounts that are specifically denied in the PRP from caching <br>
their credentials on the RODC.<br>
<br>
"<br>
<br>
Thanks.<br>
<br>
Matthieu<br>
<br>
-- <br>
Matthieu Patou<br>
Samba Team<br>
<a href="http://samba.org">http://samba.org</a><br>
<br>
<br>
</div>
</span></font>
</body>
</html>