Windows Server 2008 RODC密码复制策略-强制预设密码。一台2008 DC和2008 RODC,在RODC 上添加Branch Office 组、Domain Computers允许密码复制,U1 已经属于Branch Office 组,在强制预设密码时报错“U1  必须先将该帐户添加到此只读域控制器的已允许列表中”,Domain Computer已经成功加入了。
已经确认该用户对应的组已经添加到允许复制列表,手动复制也完成,相互访问共享也没有问题。请问如何排错?

回答:根据您的描述,我对这个问题的理解是:在一个部署了RODC的环境中,用户U1在强制预设密码时出现”必须先将该帐户添加到此只读域控制器的已允许列表中”的报错信息。该用户加入了Branch Office组,且该组和Domain Computers组已配置为允许密码复制。您所描述的步骤应该是正确的。如果要预缓存密码,在安装好RODC以后只需要以下设置:

1. 在RODC上打开ADUC并连接到HUB DC。
2. 建立一个安全组,然后将其加入到“RODC计算机帐号属性/密码复制策略/”下的访问控制列表中,将类型设为允许。
3. 将要缓存密码的用户和登录所使用的计算机帐号加入到建立的安全组中,并确认这些帐号不属于被预先拒绝的组。您看到的文章来自活动目录seo http://gnaw0725.blog.51cto.com/156601/d-1

4. 在“RODC计算机帐号属性/密码复制策略/高级/”下,使用”Prepolulate
 Password”将需要缓存的帐号加入到列表中,并完成向导。

更多关于配置RODC密码复制策略的信息,请参考:
Password Replication Policy Administration
http://technet.microsoft.com/en-us/library/cc753470(WS.10).aspx

建议等待15到20分钟,然后重新尝试以上步骤中的最后一步。如果依然失败,请重启RODC看是否有效。假如依然无效,请尝试使用一个内置组比如Domain Users看是否有效,以便隔离问题。

请尝试将新建立的用户加入到允许列表中默认存在的允许缓存密码的组,然后再使用Prepopulate
Password功能预缓存密码,结果如何?
穆骥 微软全球技术支持中心

只读域控制器RODC的相关文章请参考
什么是只读域控制器RODC
RODC是否能支持客户端加域操作
只读域控制器复制连接
windows 2008 rodc扩展
---gnaw0725