只读域控制器是Windows Server 2008 AD DS域服务之后提供的新域控制器类型,只读域控制器同样是域控制器,但是Active Directory数据具备“只读”属性,只能读取不能写入。只读域控制器主要用在企业分支机构,例如企业在外的办事机构,当用户数量不是很多时,可以首先在中心域控制器中创建用户以及规划计算机信息,然后将用户账户和计算机账户复制到位于分支机构的RODC中。当分支机构和中心之间的网络断开时,用户可以通过分支机构的RODC验证并等落。


只读域控制器基本知识

    只读域控制器,英文全程Read Only Domain Controller(简称RODC),是WIndows Server 2008之后版本提供的新域控制器类型,“Read Only”字面意思是“只读”,因此RODC只能读取不能写入。


活动目录数据库复制方向

  1. 普通域控制器复制

    普通域控制器之间的复制是双向的,复制机制


wKiom1dWlk2C5ZfVAAdsCLISEZs745.jpg

2.RODC复制

    RODC是可读写域控制器的一个副本域控制器,只能将可读写域控制器中Active Directory数据库创建的域对象复制到RODC,RODC管理员没有权限对RODC中的Active Directory数据库进行更改,如果RODC需要更改Active Directory数据库中的数据,更改的数据首先在可读写域控制器上更改完成,然后复制到RODC中。RODC支持从可读写域控制器到RODC的单向数据复制。可读写域控制器不会从RODC主动“拉”数据,只能被动的接受数据。

wKiom1dWlonzsuYtAAY9fVR0Vjk449.jpg


密码复制策略

    密码复制策略决定可写域控制器中的用户密码是否被缓存到RODC中。密码复制策略列出允许缓存的账户以及明确拒绝缓存的账户。允许缓存的用户和计算机账户列表并步表示RODC一定缓存了这些账户的密码。例如,管理员可以实现指定RODC缓存的任何账户。