(一)、先决条件
域和林功能级别都在windows server 2003以上。
该域的PDC仿真器运行在windows server 2008或更高版本上。
只有windows server 2008以及更新版本的server可以充当RODC。
支持RODC的客户端计算机有:2000/XP/2003/VISTA/2008。
确保在RODC和PDC之间存在双向通信路径。
至少有一台域控制器是GC(全局编录)。
(二)、拓扑和特点
RODC作为额外的域控制器,承载了域AD数据存储的只读副本。适合放置在物理安全性无法很好地保证的分支办公室等场合。
通过单向复制技术从可写域控制器复制对象类和属性。降低了中心站点内桥头服务器的负载。
可以通过密码复制策略来控制域账号在RODC上的缓存。
通过使用RODC,可以委派普通的域账户为RODC的管理员,降低了分支机构的管理风险。
RODC也可以作为GC来用,但是不能作为桥头服务器或承载任何的操作主机角色。
在同一个域的同一个站点中,无法放置超过一台的RODC。
RODC无法执行出站复制,无法充当其他域控制器的源域控制器。
可以通过图形界面(dcpromo /adv)、命令行界面、介质来安装RODC。
拓扑:
(三)、实施步骤
1、安装RWDC和DNS角色
2、安装2008server core
3、查看server core的计算机名,修改原来的计算机名(便于区分和记忆)
4、查看hostname是否修改成功,查看默认的IP地址信息,修改IP地址和默认网关
5、设置DNS服务器地址
6、将RODC这台机器加入到cool.com域中,成为域成员服务器
7、打开RWDC的AD UC管理工具,确认RODC已经加入到域中
8、在server core上使用notepad命令打开记事本,创建RODC的安装文件,另存为unattend.txt
9、保存后的文件,如图所示
10、安装RODC,在server core上执行命令:
dcpromo /unattend:”c:\Uusers \administrator.COOL \unattend.txt”进行安装,安装完成后,重启计算机
11、配置RODC的密码复制策略,打开AD UC――domain controller――RODC――属性
我们可以通过配置密码复制策略来控制那些用户的账户信息可以复制到RODC上,哪些不可以
切换到密码复制策略选项卡,默认都是拒绝的,我们可以:
启用Allowed RODC Password Replication组为“允许”,将允许密码复制的账户添加到该组
将不允许密码复制的账户添加到拒绝组:Denied RODC Passwor Replication
我们也可以单独添加用户和组到密码复制策略列表中,点击上图的“添加按钮”进行选择,如下图所示
选择账户aaa
添加完毕后,aaa账户就可以在RODC上缓存凭据信息
注:预设密码、委派管理权限、管理和重设凭据将在下篇学习
本文出自 “曾垂鑫的技术专栏” 博客,谢绝转载!