Windows-Server下加强系统安全性系列之方案【九】

为企业部署 RODC

Xiaotang 公司的网络是一个 Windows 2008 的域环境，域名是 benet.com ，在这种复杂的域环境中，有时需要安装多台域控制器，管理员可以在任意一台域控制器上修改 Active Directory 的内容，这样无形中会增加管理的负担和安全隐患。为了减轻管理的负担和安全隐患，可以在域环境当中安装 RODC （只读域控制器）。它的作用和附加域控制器的作用一样，不同的是 RODC 中加载的是只读的 Active Directory 数据库，无论普通用户还是管理员都不能修改活动目录的内容。最近公司新成立了一个部门，并为该部门组建了一个单独的局域网，公司打算在不增加管理负担的基础上，专门为该部门安装一台域控制器，以提高该部门用户登录到域控制器的速度，但是不允许该部门的人修改域控制器的配置。

1.   部署 RODC 服务器

（1）    以 Aaministrator 身份登录到现有的域控制器上。

（2）    打开“ Active Directory 域和信任关系”，右击“ Active Directory 域和信任关系”，选择“提升林功能级别”将林的功能级别提升到 Windows 2003 或 Windows 2008 的版本。（注：如果新建的林中只运行 Windows 2008 域控制器，则不必执行此步骤）。

（3）    先将 Windows 2008 的安装光盘放入光驱。进入光盘的 \sources\adprep 目录，执行“ adprep/rodcprep ”命令。

2.   安装 RODC 服务器

（1）    将要安装的 RODC 的计算机加入benet.com 的域。

（2）    在 RODC 的计算机中安装“ Active Directory 域服务”。

（3）    运行“ dcpromo ”命令，在弹出的对话框中选择“使用高级模式安装”，单击“下一步”按钮。

（4）    单击“下一步”按钮，选择“现有林”和“向现有域添加域控制器”，单击“下一步”按钮。

（5）    请输入域名并指定网络凭据，单击“下一步”按钮。

（6）    先选择要加入的域，单击“下一步”按钮。

（7）    选择想要添加的站点，再单击“下一步”按钮。

（8）    选择“只读域控制器”，单击“下一步”按钮。

（9）    接受默认的密码复制策略，单击“下一步”按钮。

（ 10 ）指定用于安装和管理 RDOC 的用户或组，选择该用户或组将成为 RODC 计算机的本地管理员，它是可以管理 RODC 的，但在域中只是一个普通的用户。

（ 11 ）选择“通过网络从现有域控制器复制数据”，单击“下一步”按钮。

（ 12 ）选择源域控制器，单击“下一步”按钮。

（ 13 ）指定数据库、日志文件和 SYSVOL 的位置，单击“下一步”按钮。

（ 14 ）设置目录服务器还原模式的密码，在单击“下一步”按钮。

（ 15 ）在“摘要”页直接单击“下一步”按钮。

（ 16 ）安装向导开始安装 RODC ，选择安装完成后自动重新启动计算机。

3. 验证安装的结果。

（ 1 ）安装完成之后以域管理员 Administrator 的身份登录到域控制器。

（ 2 ）打开“ Active Directory 用户和计算机”，展开“ Domain controllers ”容器，可以看到 RODC 的计算机。

（ 3 ）单击域名benet.com , 选择“更改域控制器”选项，选中刚刚安装好的 RODC 的计算机，单击“确定”按钮开始连接到 RODC 。

（ 4 ）打开“ Active Directory 用户和计算机”，在任意空白处右击，可以看到在 RODC 上不能修改活动目录配置（肯定是没有“新建”选项的）。

（ 5 ）注销域管理员的用户账户，再以“ rodc_domain ”的域用户账户登录到域控制器上，可以方便、快捷去管理企业的 RODC 。