当前位置:网站首页 > Windows运维 > 正文

RODC

作者:jinxijing发布时间:2019-04-19分类:Windows运维浏览:286


导读:RODCRODC即只读域控制,用于不能保证服务器物理安全的分支机构。RODC和RWDC是单向复制,无需担心被破解等问题。RODC需求的服务器操作系统环境:域和林功能都工作在Wind...

RODC

RODC即只读域控制,用于不能保证服务器物理安全的分支机构。RODCRWDC是单向复制,无需担心被破解等问题。

RODC需求的服务器操作系统环境:域和林功能都工作在Windows Server 2003级别以上,并且该域的PDC仿真器运行在Windows Server 2008或更高的版本上。

RODC需求的客户端操作系统环境:Windows 2000Windows XPWindows Server 2003Windows Vista

RODC上,我们除了安装RODC外,还可以安装只读DNS(包括ForestDNSZonesDomainDNSZones)、全局编录。

只读DNS不包含完整的区域或域数据变动复制列表。

RODC工作基本原理:用户凭据提交到RODC上,RODC通过和RWDC通信来获取用户或计算机凭据等信息。

注意:RODC不能充当桥头服务器或承载操作主机的角色。在用一个域的同一站点内,无法放置超过一台的RODC;同一个或不同域都有RWDC的情况下,每个站点中都可以放置一台RODC,同时每个域都可以仿制RODC

为确保RODC可以复制目录分区,该域控制器必须是全局编录服务器。

安装RODC时,使用高级模式安装,会有一些额外的选项。比如从安装介质安装RODC或密码复制策略等等。

-

随着企业域数据库的增长,如果RODC安装时从网络复制,那么需要占用大量的网络资源。此时,可以从RWDC上导出安装介质然后在RODC的安装中选择该介质就可以减少网络复制。

制作安装介质的方法:

RWDC上,打开cmdutdsutilactive instance ntdsifm

要建立不包含SYSVOL的目录数据副本,使用命令create RODC SaveFolder。( SaveFolder是保存路径)

要建立包含SYSVOL的目录数据副本,使用命令create SYSVOL RODC SaveFolder。( SaveFolder是保存路径)

另外,使用类似的命令,可以制作用于额外域控制器的安装介质。

要建立不包含SYSVOL的目录数据副本,使用命令create full SaveFolder。( SaveFolder是保存路径)

要建立包含SYSVOL的目录数据副本,使用命令create SYSVOL full SaveFolder。( SaveFolder是保存路径)

-

使用密码复制策略的场景:

1)当RODC服务器的物理安全无法保证时,可禁止帐户被缓存。

2)当RODC服务器的物理安全正常,但无法总是有把握时,可允许少数帐户被缓存。

3)当RODC服务器的物理安全总是有保证时,可允许很多帐户被缓存。

-

要管理密码复制策略,必须使用Domain Admin组的成员登陆RWDC,在RODC的计算机上点击右键,属性,在密码复制策略进行添加、删除、修改的操作。

-

判断帐户是否被允许或限制缓存,必须使用Domain Admin组的成员登陆RWDC,在RODC的计算机上点击右键,属性,选择密码复制策略,高级,在结果策略中进行查询。

-

如果RODC被盗,可以通过RWDC上删除RODC的计算机,系统会提示重置RODC上缓存了的账户重设密码。使用导出按钮导出被重设密码的清单。

-

RODC安装中,可以委派一个账户作为RODC的管理员,但在域中却是Domain Users组的成员。有时候,一个RODC的管理员帐号是不够用的。管理委派权限的方法如下,

用委派的账户登录RODCcmddsmgmtlocal rolesshow role administrators(列出当前管理员,默认配置中,不会显示任何用户或组)。

添加委派域用户,add Domain\User administratorsDomain是域名,User是用户名)

删除委派域用户,remove Domain\User administratorsDomain是域名,User是用户名)