分階段部署RODC
RODC特點:RODC 是域的附加域控制器,它承載 Active Directory 數據庫的只讀分區,它只承載部分用戶信息,而且只承載用戶信息,不包含用戶賬戶的密碼信息,通過設置可以在RODC 將部分用戶的賬戶密碼信息從主DC上覆制到RODC的緩衝區。微軟設計 RODC 主要是爲了在分支機構環境中部署。分支機構通常用戶相對較少,物理安全性差,連接中線站點的網絡帶寬也相對較低。
RODC功能:
1. 只讀AD 數據庫
2. RODC篩選的屬性集
3. 單向複製
4. 憑據緩存 –》將分支機構上的用戶賬戶的密碼 從主DC 緩存到本地,可以有選擇的選擇要緩存的賬戶的密碼。
5. 管理員角色分割 –》可以在部署RODC的時候指定一個用戶來管理RODC 。避免了直接使用domian admin 組中用戶來管理。
6. 只讀域名系統 –》如果在RODC上安裝了DNS,那麼這個DNS 也就成爲了RODNS
具體的功能介紹請查看http://technet.microsoft.com/zh-cn/library/cc753223(WS.10).aspx
部署RODC 先決條件:
1. 域和林功能級別都在windows server 2003以上
2. 相同域部署至少一個運行 Windows Server 2008的可寫域控制器
3. 只有windows server 2008以及更新版本的server可以充當RODC
4。實驗用的系統全部爲 windows server 2008 R2
在主 DC 上先做預RODC 的操作
部署RODC的 節點 hostname
這裏我只選擇了 dns 和 RODC,選擇GC 安裝時間要長些,做實驗就沒安裝。
你只需要將 分支機構的 要登錄域的 賬戶加入到改組就行,或者 直接在這裏添加
某些用戶。如果想複製管理員,到DC上 打開ad 用戶和計算機 ,在denied rodc
Password 。。改組將administrator 刪除就行了
選擇委派管理RODC 的賬戶。
在DC 上打開 AD 用戶和計算 ---域控制器—》 發現pc3 有個向下的 箭頭,表示
PC3 目前是 預備RODC 。你還需要在準備RODC 的節點上,敲下圖命令。
這個就是那個命令,記得以管理員身份。這個命令是將已有賬戶附加下。
選擇管理RODC 的賬戶就行。
當安裝完後,在主DC上 打開 AD 用戶和 計算工具 --》查看到 PC3 已經成爲
RODC。然後以USER 的身份 登陸PC3 。打開 AD 用戶 和計算 發現沒有NEW
這個新建 選項。