什么是RODC
Read only domain controller,顾名思义,只读域控制器。设计rodc主要是为了在分支机构中部署。因为,分支机构一般来说物理安全性较差,带宽较低,而且缺少有经验的域管理员。
在整个域的架构中处于如下位置
RODC有什么功能
- 只读域数据库
RODC拥有所有AD DS的属性(除了筛选属性)。但是其不能执行写操作。但是可以引用执行写操作的LDAP应用程序。
- 单向复制
单向从可写的域控制器进行复制工作。可以节约网络资源
- 凭据缓存
除了本身的计算机凭据和ktbtgt帐户的凭据,RODC不会存储计算机或帐户凭据。为了满足本地凭据验证的需要,我们需要允许RODC进行凭据缓存。
Note:
当rodc进行凭据缓存请求时使用的是ktbtgt帐户。
- 管理员角色分割
在rodc中可以指派一个安全组拥有对RODC进行本地管理。这个管理员非domain admins组帐户。这样可以起到管理角色的分割。
- 只读DNS
如果在rodc上部署dns,则此dns为只读dns,客户端不能通过此dns进行更新。但是可以进行解析。
- 属性筛选&机密属性
对于不希望在rodc上存储的属性,可以添加到“筛选的属性”,这样此属性便不会被复制到rodc。
对于不希望查看的可以设置为机密属性。这样便不能被查看。
NOTE:
筛选的属性在下列情况下仍会被复制到rodc
rodc请求从一个windows server 2003的域控进行复制。
如果要避免此情况,需要将林功能级别提升到windows server 2008,因为在windows server 2008 的林功能级别中不允许存在windows server 2003的域控制器。
note:
rodc不能用做FSMO角色和桥头服务器。
转载于:https://blog.51cto.com/timethin/285098