6.管理RODC的步骤.docxVIP

引用：/zh-cn/library/cc772478(WS.10).aspx 管理 RODC 的步骤 更新时间: 2009年5月 应用到: Windows Server 2008 如之前所述，与可写域控制器相比 RODC 需要较少的管理，这也是它的一个重要优势。它仅需要入站复制，并且不能将错误信息写入 Active Directory 数据库。 但是，RODC 的密码复制策略提出了少量的管理要求。RODC 还需要维护活动（类似于可写域控制器的维护活动）。其中包括系统状态数据的例行备份以及软件更新的应用。 本部分包含与下列内容有关的信息和步骤： 密码复制策略 密码复制策略管理 管理员角色分隔 在本指南中  HYPERLINK /zh-cn/library/cc730883(WS.10).aspx 密码复制策略  HYPERLINK /zh-cn/library/cc753470(WS.10).aspx 密码复制策略管理  HYPERLINK /zh-cn/library/cc732301(WS.10).aspx 管理员角色分隔配置 密码复制策略 更新时间: 2009年5月 应用到: Windows Server 2008 在最初部署 RODC 时，必须在作为复制伙伴的可写入域控制器上配置密码复制策略。 密码复制策略相当于一个访问控制列表 (ACL)。它确定是否允许 RODC 缓存密码。在 RODC 收到经过身份验证的用户或计算机登录请求时，它将参考密码复制策略来确定是否应缓存该帐户的密码。然后，同一帐户便可以更有效地执行后续登录。 密码复制策略列出了允许缓存的帐户以及明确拒绝缓存的帐户。允许缓存的用户和计算机帐户列表并不表示 RODC 一定缓存了这些帐户的密码。例如，管理员可以事先指定 RODC 将缓存的任何帐户。这样即使指向中心站点的 WAN 链接脱机，RODC 也可以对这些帐户进行身份验证。 备注 您必须在密码复制策略中包含相应的用户、计算机和服务帐户，这样 RODC 才能在本地满足身份验证和服务票证请求。 当允许列表中仅包含来自分支机构的用户时，RODC 无法在本地满足服务票证请求，因此它依赖于对 Windows Server?2008 可写域控制器的访问来满足请求。在 WAN 脱机的情况下，这样操作可能会导致服务中断。 首先，您应该为密码复制策略定义管理模型。然后，定期查看或手动更新此密码复制策略。如果 RODC 被盗，则您必须重置其密码已缓存在 RODC 上的所有用户和计算机的密码。 为 RODC 密码复制选择管理模型 业务要求、组织要求和管理要求都影响您为 RODC 密码复制策略选择合适管理模型的方式。这些要求包括 WAN 连接的安全性、易管理性以及可靠性和可用性。 RODC 密码复制策略是由包含安全主体（用户、计算机和组）的四个多值 AD?DS 属性决定的。每个 RODC 计算机帐户都具有这四个属性： msDS-Reveal-OnDemandGroup，通常也称为“允许列表” msDS-NeverRevealGroup，通常也称为“拒绝列表” msDS-RevealedList，通常也称为“显示列表” msDS-AuthenticatedToAccountList，通常也称为“身份验证列表” RODC 可以随时复制“允许列表”中帐户的密码，无论该帐户是否尝试登录 RODC 都是如此。用户登录触发该操作仅仅是为了管理方便。 这意味着密码复制策略是 RODC 的安全边界。每个 RODC 可以有不同的密码复制策略。但是，如果未修改密码复制策略，则域中所有 RODC 的有效策略都相同。 密码复制策略允许列表和拒绝列表 为了支持 RODC 操作，在 Windows Server?2008 Active?Directory 域中引入了两个新的内置组。它们是“允许的 RODC 密码复制组”和“拒绝的 RODC 密码复制组”。 这两个组可以帮助实施 RODC 密码复制策略的默认允许列表和拒绝列表。默认情况下，这两个组分别被添加到前面提到的 msDS-Reveal-OnDemandGroup 和 msDS-NeverRevealGroup Active Directory 属性中。 默认情况下，“允许的 RODC 密码复制组”不包含任何成员。而默认情况下，“允许列表”属性只包含“允许的 RODC 密码复制组”。 默认情况下，“拒绝的 RODC 密码复制组”包含下列成员： 企业域控制器 企业只读域控制器 组策略创建者所有者 Domain Admins 证书发行者 Enterprise Admins Schema Admins 域范围 krbtgt 帐户 默认情况下，拒绝列表属性包含下列安