分阶段部署RODC

RODC特点RODC 是域的附加域控制器,它承载 Active Directory 数据库的只读分区,它只承载部分用户信息,而且只承载用户信息,不包含用户账户的密码信息,通过设置可以在RODC 将部分用户的账户密码信息从主DC上复制到RODC的缓冲区。微软设计 RODC 主要是为了在分支机构环境中部署。分支机构通常用户相对较少,物理安全性差,连接中线站点的网络带宽也相对较低。

RODC功能:

1. 只读AD 数据库

2. RODC筛选的属性集

3. 单向复制

4. 凭据缓存 –》将分支机构上的用户账户的密码 从主DC 缓存到本地,可以有选择的选择要缓存的账户的密码。

5. 管理员角色分割 –》可以在部署RODC的时候指定一个用户来管理RODC 。避免了直接使用domian admin 组中用户来管理。

6. 只读域名系统 –》如果在RODC上安装了DNS,那么这个DNS 也就成为了RODNS

具体的功能介绍请查看http://technet.microsoft.com/zh-cn/library/cc753223(WS.10).aspx

部署RODC 先决条件

1. 域和林功能级别都在windows server 2003以上

2. 相同域部署至少一个运行 Windows Server 2008的可写域控制器

3. 只有windows server 2008以及更新版本的server可以充当RODC

4。实验用的系统全部为 windows server 2008 R2

clip_image001

clip_image002

在主 DC 上先做预RODC 的操作

clip_image003

clip_image004

clip_image005

部署RODC的 节点 hostname

clip_image006

这里我只选择了 dns 和 RODC,选择GC 安装时间要长些,做实验就没安装。

clip_image007

你只需要将 分支机构的 要登录域的 账户加入到改组就行,或者 直接在这里添加

某些用户。如果想复制管理员,到DC上 打开ad 用户和计算机 ,在denied rodc

Password 。。改组将administrator 删除就行了

clip_image008

选择委派管理RODC 的账户。

clip_image009

clip_image011

在DC 上打开 AD 用户和计算 ---域控制器—》 发现pc3 有个向下的 箭头,表示

PC3 目前是 预备RODC 。你还需要在准备RODC 的节点上,敲下图命令。

clip_image012

这个就是那个命令,记得以管理员身份。这个命令是将已有账户附加下。

clip_image013

clip_image014

选择管理RODC 的账户就行。

clip_image015

clip_image016

clip_image018

clip_image020

当安装完后,在主DC上 打开 AD 用户和 计算工具 --》查看到 PC3 已经成为

RODC。然后以USER 的身份 登陆PC3 。打开 AD 用户 和计算 发现没有NEW

这个新建 选项。