分階段部署RODC

分階段部署RODC

RODC特點：RODC 是域的附加域控制器，它承載 Active Directory 數據庫的只讀分區，它只承載部分用戶信息，而且只承載用戶信息，不包含用戶賬戶的密碼信息，通過設置可以在RODC 將部分用戶的賬戶密碼信息從主DC上覆制到RODC的緩衝區。微軟設計 RODC 主要是爲了在分支機構環境中部署。分支機構通常用戶相對較少，物理安全性差，連接中線站點的網絡帶寬也相對較低。

RODC功能：

1. 只讀AD 數據庫

2. RODC篩選的屬性集

3. 單向複製

4. 憑據緩存 –》將分支機構上的用戶賬戶的密碼 從主DC 緩存到本地，可以有選擇的選擇要緩存的賬戶的密碼。

5. 管理員角色分割 –》可以在部署RODC的時候指定一個用戶來管理RODC 。避免了直接使用domian admin 組中用戶來管理。

6. 只讀域名系統 –》如果在RODC上安裝了DNS,那麼這個DNS 也就成爲了RODNS

具體的功能介紹請查看http://technet.microsoft.com/zh-cn/library/cc753223(WS.10).aspx

部署RODC 先決條件：

1. 域和林功能級別都在windows server 2003以上

2. 相同域部署至少一個運行 Windows Server 2008的可寫域控制器

3. 只有windows server 2008以及更新版本的server可以充當RODC

4。實驗用的系統全部爲 windows server 2008 R2

在主 DC 上先做預RODC 的操作

部署RODC的 節點 hostname

這裏我只選擇了 dns 和 RODC，選擇GC 安裝時間要長些，做實驗就沒安裝。

你只需要將 分支機構的 要登錄域的 賬戶加入到改組就行，或者 直接在這裏添加

某些用戶。如果想複製管理員，到DC上 打開ad 用戶和計算機 ，在denied rodc

Password 。。改組將administrator 刪除就行了

選擇委派管理RODC 的賬戶。

在DC 上打開 AD 用戶和計算 ---域控制器—》 發現pc3 有個向下的 箭頭，表示

PC3 目前是 預備RODC 。你還需要在準備RODC 的節點上，敲下圖命令。

這個就是那個命令，記得以管理員身份。這個命令是將已有賬戶附加下。

選擇管理RODC 的賬戶就行。

當安裝完後，在主DC上 打開 AD 用戶和 計算工具 --》查看到 PC3 已經成爲

RODC。然後以USER 的身份 登陸PC3 。打開 AD 用戶 和計算 發現沒有NEW

這個新建 選項。