WindowsServer2008R2之十四RODC（只读域控制器）.docVIP

Windows?Server?2008?R2?之十四RODC（只读域控制器） 一、RODC的特征 ? 只读数据：RODC上包含所有ADDS的对象和属性，但是和可读写的DC不一样的是，默认情况下，RODC上不包含账户的密码。在不能保证域控制器的安全性的情况下（例如分支机构），我们通过RODC实现域信息的安全性。在分支机构如果有LDAP的应用程序需要访问活动目录并对活动目录对象作修改，则该LDAP应用程序可以重定向到中央站点的可读写DC上。 ?? 单向复制：RODC对ADDS和DFS执行的常规的入站复制。因为您不能直接在RODC上进行写的操作，所以RODC是不支持出站复制的，所以作为RODC复制伙伴的可读写DC是不会从RODC接收到数据的。RODC的单向复制也同样应用到DFS复制。 ?? 凭据缓存:在RODC上存储用户和计算机的凭据称之为credential caching（凭据缓存）。默认情况下，RODC上只存储它自己的计算机账户和一个用于这台RODC的特殊的Kerberos 票据授权票 (KRBTGT)账户，此账户是被可读写DC用来验证RODC身份的。如果您需要在RODC上存储用户凭据或者计算机凭据的话，你需要在RODC上允许这些凭据被缓存。如果您在RODC上激活了凭据缓存，它只会影响组织中计算机和与用户账户的比较小的子集，这是因为RODC一般是总是放置在比较小的分支机构，所以您允