RODC即只读域控制,用于不能保证服务器物理安全的分支机构。RODC和RWDC是单向复制,无需担心被破解等问题。
RODC需求的服务器操作系统环境:域和林功能都工作在Windows Server 2003级别以上,并且该域的PDC仿真器运行在Windows Server 2008或更高的版本上。
RODC需求的客户端操作系统环境:Windows 2000、Windows XP、Windows Server 2003、Windows Vista。
在RODC上,我们除了安装RODC外,还可以安装只读DNS(包括ForestDNSZones和DomainDNSZones)、全局编录。
只读DNS不包含完整的区域或域数据变动复制列表。
RODC工作基本原理:用户凭据提交到RODC上,RODC通过和RWDC通信来获取用户或计算机凭据等信息。
注意:RODC不能充当桥头服务器或承载操作主机的角色。在用一个域的同一站点内,无法放置超过一台的RODC;同一个或不同域都有RWDC的情况下,每个站点中都可以放置一台RODC,同时每个域都可以仿制RODC。
为确保RODC可以复制目录分区,该域控制器必须是全局编录服务器。
安装RODC时,使用高级模式安装,会有一些额外的选项。比如从安装介质安装RODC或密码复制策略等等。
-
随着企业域数据库的增长,如果RODC安装时从网络复制,那么需要占用大量的网络资源。此时,可以从RWDC上导出安装介质然后在RODC的安装中选择该介质就可以减少网络复制。
制作安装介质的方法:
在RWDC上,打开cmd,utdsutil,active instance ntds,ifm。
要建立不包含SYSVOL的目录数据副本,使用命令create RODC SaveFolder。( SaveFolder是保存路径)
要建立包含SYSVOL的目录数据副本,使用命令create SYSVOL RODC SaveFolder。( SaveFolder是保存路径)
另外,使用类似的命令,可以制作用于额外域控制器的安装介质。
要建立不包含SYSVOL的目录数据副本,使用命令create full SaveFolder。( SaveFolder是保存路径)
要建立包含SYSVOL的目录数据副本,使用命令create SYSVOL full SaveFolder。( SaveFolder是保存路径)
-
使用密码复制策略的场景:
1)当RODC服务器的物理安全无法保证时,可禁止帐户被缓存。
2)当RODC服务器的物理安全正常,但无法总是有把握时,可允许少数帐户被缓存。
3)当RODC服务器的物理安全总是有保证时,可允许很多帐户被缓存。
-
要管理密码复制策略,必须使用Domain Admin组的成员登陆RWDC,在RODC的计算机上点击右键,属性,在密码复制策略进行添加、删除、修改的操作。
-
判断帐户是否被允许或限制缓存,必须使用Domain Admin组的成员登陆RWDC,在RODC的计算机上点击右键,属性,选择密码复制策略,高级,在结果策略中进行查询。
-
如果RODC被盗,可以通过RWDC上删除RODC的计算机,系统会提示重置RODC上缓存了的账户重设密码。使用导出按钮导出被重设密码的清单。
-
在RODC安装中,可以委派一个账户作为RODC的管理员,但在域中却是Domain Users组的成员。有时候,一个RODC的管理员帐号是不够用的。管理委派权限的方法如下,
用委派的账户登录RODC,cmd,dsmgmt,local roles,show role administrators(列出当前管理员,默认配置中,不会显示任何用户或组)。
添加委派域用户,add Domain\User administrators(Domain是域名,User是用户名)
删除委派域用户,remove Domain\User administrators(Domain是域名,User是用户名)