什么是RODC

Read only domain controller,顾名思义,只读域控制器。设计rodc主要是为了在分支机构中部署。因为,分支机构一般来说物理安全性较差,带宽较低,而且缺少有经验的域管理员。
在整个域的架构中处于如下位置
 

RODC有什么功能

  • 只读域数据库

RODC拥有所有AD DS的属性(除了筛选属性)。但是其不能执行写操作。但是可以引用执行写操作的LDAP应用程序。

  • 单向复制

单向从可写的域控制器进行复制工作。可以节约网络资源

  • 凭据缓存

除了本身的计算机凭据和ktbtgt帐户的凭据,RODC不会存储计算机或帐户凭据。为了满足本地凭据验证的需要,我们需要允许RODC进行凭据缓存。

Note:

当rodc进行凭据缓存请求时使用的是ktbtgt帐户。

  • 管理员角色分割

在rodc中可以指派一个安全组拥有对RODC进行本地管理。这个管理员非domain admins组帐户。这样可以起到管理角色的分割。

  • 只读DNS

如果在rodc上部署dns,则此dns为只读dns,客户端不能通过此dns进行更新。但是可以进行解析。

  • 属性筛选&机密属性

对于不希望在rodc上存储的属性,可以添加到“筛选的属性”,这样此属性便不会被复制到rodc。

对于不希望查看的可以设置为机密属性。这样便不能被查看。

NOTE:

筛选的属性在下列情况下仍会被复制到rodc

rodc请求从一个windows server 2003的域控进行复制。

如果要避免此情况,需要将林功能级别提升到windows server 2008,因为在windows server 2008 的林功能级别中不允许存在windows server 2003的域控制器。

note:

rodc不能用做FSMO角色和桥头服务器。