Windows Server 2016部署只读域控制器（RODC）

只读域控制器（rodc)部署

RODC 承载 Active Directory域服务 (AD DS) 数据库的只读分区，也就是说用户或者应用程序无法直接修改RODC的AD DS数据库，组织可以在无法保证物理安全性的位置中轻松部署域控制器。

设计 RODC 主要是为了在分支机构环境中部署。分支机构通常用户相对较少，物理安全性差，连接中线站点的网络带宽也相对较低，并且缺乏本地 IT 知识。

部署额外域控制器其他步骤与第一篇《Windows Server 2016部署第一台Active Drectory域控制器》相同，

首先添加完“Active Directory域服务”后点击“将此服务器提升为域控制器”。

选择"将域控制器添加到现有域"，输入第一台域控制器配置的域名“test.local”，点击更改输入有权利添加域控制的账号与密码，完成后单机下一步。

在域控制器选型页面勾选”只读域控制器（RODC)(R),并输入目录还原模式密码，单击下一步继续

RODC选项页面，在“允许将密码复制到RODC的账户下”决定了凭据是否可以从可写域控制器复制到RODC。如果策略允许，那么可写域控制器将密码复制到RODC上，并且RODC缓存这些凭据，这一步保持默认点击下一步。

指定从哪个域控制器复制，这里保持默认点击下一步。

指定AD DS数据库、日志文件和susvol的位置，这里保持默认点击下一步。

查看选项，检查之前的配置，有问题的话可以点击上一步进行修改，检查无误后点击下一步。

先决条件检查通过后单机“安装”，安装完成后将自动重新启动服务器。重启完成后RODC只读域控制器创建完成。

查看Active Directory用户和计算机下Domain Controllers有关RODC的DC类型为"只读,GC"，只读域控制器创建完成。

在我们创建完RODC后迫不及待地去测试是否已经不能新建\更改域账号属性后发现神奇的创建用户成功了，那是因为还需要更改域控制器为rodc.

打开Active Directory用户和计算机管理器，右键“Active Directory用户和计算机”选择"更改域控制器"：

此时选择此域控制器或AD LDS实例 为配置的RODC，点击确定。

提醒选定只读域控制器，这里默认选择"确定"

此时我们发现快捷菜单栏有关新建用户、新建组、新建组织单位等都是灰色无法点击

转载于:https://blog.51cto.com/wangd/2116721