RODC即只讀域控制,用於不能保證服務器物理安全的分支機構。RODC和RWDC是單向複製,無需擔心被破解等問題。
RODC需求的服務器操作系統環境:域和林功能都工作在Windows Server 2003級別以上,並且該域的PDC仿真器運行在Windows Server 2008或更高的版本上。
RODC需求的客戶端操作系統環境:Windows 2000、Windows XP、Windows Server 2003、Windows Vista。
在RODC上,我們除了安裝RODC外,還可以安裝只讀DNS(包括ForestDNSZones和DomainDNSZones)、全局編錄。
只讀DNS不包含完整的區域或域數據變動複製列表。
RODC工作基本原理:用戶憑據提交到RODC上,RODC通過和RWDC通信來獲取用戶或計算機憑據等信息。
注意:RODC不能充當橋頭服務器或承載操作主機的角色。在用一個域的同一站點內,無法放置超過一臺的RODC;同一個或不同域都有RWDC的情況下,每個站點中都可以放置一臺RODC,同時每個域都可以仿製RODC。
爲確保RODC可以複製目錄分區,該域控制器必須是全局編錄服務器。
安裝RODC時,使用高級模式安裝,會有一些額外的選項。比如從安裝介質安裝RODC或密碼複製策略等等。
-
隨着企業域數據庫的增長,如果RODC安裝時從網絡複製,那麼需要佔用大量的網絡資源。此時,可以從RWDC上導出安裝介質然後在RODC的安裝中選擇該介質就可以減少網絡複製。
製作安裝介質的方法:
在RWDC上,打開cmd,utdsutil,active instance ntds,ifm。
要建立不包含SYSVOL的目錄數據副本,使用命令create RODC SaveFolder。( SaveFolder是保存路徑)
要建立包含SYSVOL的目錄數據副本,使用命令create SYSVOL RODC SaveFolder。( SaveFolder是保存路徑)
另外,使用類似的命令,可以製作用於額外域控制器的安裝介質。
要建立不包含SYSVOL的目錄數據副本,使用命令create full SaveFolder。( SaveFolder是保存路徑)
要建立包含SYSVOL的目錄數據副本,使用命令create SYSVOL full SaveFolder。( SaveFolder是保存路徑)
-
使用密碼複製策略的場景:
1)當RODC服務器的物理安全無法保證時,可禁止帳戶被緩存。
2)當RODC服務器的物理安全正常,但無法總是有把握時,可允許少數帳戶被緩存。
3)當RODC服務器的物理安全總是有保證時,可允許很多帳戶被緩存。
-
要管理密碼複製策略,必須使用Domain Admin組的成員登陸RWDC,在RODC的計算機上點擊右鍵,屬性,在密碼複製策略進行添加、刪除、修改的操作。
-
判斷帳戶是否被允許或限制緩存,必須使用Domain Admin組的成員登陸RWDC,在RODC的計算機上點擊右鍵,屬性,選擇密碼複製策略,高級,在結果策略中進行查詢。
-
如果RODC被盜,可以通過RWDC上刪除RODC的計算機,系統會提示重置RODC上緩存了的賬戶重設密碼。使用導出按鈕導出被重設密碼的清單。
-
在RODC安裝中,可以委派一個賬戶作爲RODC的管理員,但在域中卻是Domain Users組的成員。有時候,一個RODC的管理員帳號是不夠用的。管理委派權限的方法如下,
用委派的賬戶登錄RODC,cmd,dsmgmt,local roles,show role administrators(列出當前管理員,默認配置中,不會顯示任何用戶或組)。
添加委派域用戶,add Domain\User administrators(Domain是域名,User是用戶名)
刪除委派域用戶,remove Domain\User administrators(Domain是域名,User是用戶名)