RODC部署

RODC介绍

只读域控制器Read-Only Domain Controller简称RODC。RODC是Windows Server 2008之后引入的一活动目录特性，与其他域控制器一样包含AD数据库，但RODC默认不保存域用户账户密码，并且RODC中包含的数据库也是只读的；只能单向从其他可读写域控制器请求信息，但无法将更改信息同步到其他可写域控。RODC一般多用于企业分支机构（办事处、分公司、驻外站点等），考虑到人员数量及带宽运营成本等，只读域控制器可简化区域无技术人员维护工作及人员投入成本，便于管理，提高本地办公效率，同时可改善当地网络环境的安全性。

RODC优点

1.只读Active Directory活动目录数据库，可降低因物理安全因素带来的网络安全威胁；

2.降低了网络之间复制负载，更有效的访问网络资源；

3.凭据缓存。可加速分支用户登录验证速度，降低系统在遭到破坏时受影响用户范围等(凭据缓存是用户或者计算机凭据的储存器。凭据是由和安全主体关联的一小组大约接近10个密码的集合所组成。在默认情况下RODC不储存用户或者计算机凭据。例外的情况是RODC自身的计算机账户以及每台RODC所有的特殊的krbtgt账户。你在RODC上必须显示允许其它任何凭据缓存)；

4.管理员角色权限分隔。可降低因分支管理员权限过大对整个活动目录的威胁；

5.只读DNS。可选择性安装DNS服务，安装并同步DNS信息后可加快分支机构上网的响应时间，但不会做动态更新，所有更新都是可读写域控制器DNS单向同步到RODC DNS服务器。

RODC缺点

1.默认RODC不存储用户密码，如可读写域控出现问题，用户验证会出现异常错误。

2.RODC对可读写域控依赖性太强，如同步的可读写域控出现问题将直接影响RODC使用。

RODC部署

部署RODC的先决条件：

    1.至少环境中需要一台Windows server 2008域控制器；

    2.林功能级别需要是Windows server 2003或以上级别；

    3.PDC(PDC Emulator)角色必须允许在Windows server 2008上;

    4.整个环境中需要存在正常可读写的域控制器；

---

1：添加AD域服务功能（由于之前已操作添加，这不在演示），详细添加教程可参考：https://blog.csdn.net/ronsarah/article/details/9423759

2：选择"将域控制器添加到现有域"，输入第一台域控制器配置的域名“test.local”，点击更改输入有权利添加域控制的账号与密码，完成后点击下一步

3：在域控制器选型页面勾选”只读域控制器（RODC)(R),并输入目录还原模式密码，单击下一步继续

4：RODC选项页面，在“允许将密码复制到RODC的账户下”决定了凭据是否可以从可写域控制器复制到RODC。如果策略允许，那么可写域控制器将密码复制到RODC上，并且RODC缓存这些凭据，这一步保持默认点击下一步

5：指定从哪个域控制器复制，这里保持默认点击下一步

6：指定AD DS数据库、日志文件和susvol的位置，这里保持默认点击下一步

7：查看选项，检查之前的配置，有问题的话可以点击上一步进行修改，检查无误后点击下一步

8：先决条件检查通过后单机“安装”，安装完成后将自动重新启动服务器。重启完成后RODC只读域控制器创建完成

9：查看Active Directory用户和计算机下Domain Controllers有关RODC的DC类型为"只读,GC"，只读域控制器创建完成

10：在我们创建完RODC后迫不及待地去测试是否已经不能新建\更改域账号属性后发现神奇的创建用户成功了，那是因为还需要更改域控制器为rodc

打开Active Directory用户和计算机管理器，右键“Active Directory用户和计算机”选择"更改域控制器"

11：此时选择此域控制器或AD LDS实例 为配置的RODC，点击确定

12：提醒选定只读域控制器，这里默认选择"确定"

13：完成配置，发现快捷菜单栏有关新建用户、新建组、新建组织单位等都是灰色无法点击