Windows Server 2008提供了一種新類型的只讀域控制器功能，用于管理分支機構。RODC主要適用于分支機構的用戶較少、沒有專業的IT技術人員支持以及物理安全性較差、連接到中心站點的網絡帶寬相對較低的環境中。分支機構的用戶只要登錄到RODC中，即可完成用戶身份驗證，并可以訪問網絡中的資源。不過，如果需要創建新用戶或者更新用戶權限，必須在域控制器中完成，然后同步到只讀域控制器中。

3.1 基礎知識

只讀域控制器全稱Read Only Domain Controllers，簡稱RODC，是Windows Server 2008提供的新域控制器類型。從字面即可理解，RODC首先是域控制器，然后使用的Active Directory數據庫是只讀的，是網絡中可讀寫域控制器的只讀副本。

3.1.1 RODC特性

1. 只讀域控制器

RODC是可讀寫域控制器的一個副本域控制器，只能將可讀寫域控制器Active Directory數據庫設置的允許緩存到RODC賬戶同步到RODC使用的Active Directory數據庫中，注意只是Active Directory數據庫的部分內容非完整Active Directory數據庫。管理員無法對RODC使用的Active Directory數據庫進行更改，如果RODC需要更改Active Directory數據庫中的數據，更改的數據首先在可讀寫域控制器上更改完成，然后復制到RODC中。RODC支持從可讀寫域控制器到RODC的單項數據復制。可讀寫域控制器不會從RODC主動“拉”數據。RODC可以緩存授權的目標組和用戶的密碼。

2. 密碼存儲

默認情況下，RODC中不存儲普通域用戶、計算機密碼。在不能保證域控制器安全性的情況下，即使RODC遺失，也不會影響到Active Directory的安全。

通過密碼緩存策略可以定制緩存到RODC中的域用戶以及計算機密碼。密碼緩存策略在可讀寫域控制器中設置。默認情況下，RODC只存儲自己的計算機賬戶和一個用于RODC使用的Kerberos票據授權（KRBTGT）賬戶，此賬戶被可讀寫DC用來驗證RODC身份。如果在RODC上啟用密碼緩存，只會影響緩存到本地計算機和用戶賬戶。

3. 單向復制

可讀寫域控制器之間是雙向復制，RODC和可讀寫域控制器之間復制為單向，RODC通過分布式文件系統（DFRS）從可讀寫域控制器復制數據，只能從讀寫域控制器“拉”數據，而不能向讀寫域控制器“推”數據。

4. 只讀DNS

在RODC上可以部署DNS服務，RODC可以復制DNS所使用的所有應用程序目錄分區（Application Directory Partition）中的數據，包括ForestDNSZones和DomainDNSZones，RODC支持客戶端DNS請求，并完成DNS解析功能。在RODC上的DNS不支持客戶端直接進行更新DNS紀錄，因此RODC不會在所擁有的活動目錄集成區域里面注冊任何名稱記錄。

5. 管理RODC

在可讀寫域控制器中，服務器本地管理員和域管理員相同，都可以管理域控制器。RODC允許一個普通的域用戶成為RODC的本地管理員，設置的域用戶可以在RODC所在的區域執行管理任務，此用戶在域中或者任何可讀寫的域控制器上沒有管理權利，僅管理區域分支機構的權限，不會影響Active Directory整體安全性。

6. RODC域控制器管理員角色

RODC域控制器登錄用戶分為兩種類型，分別為域控制器管理員和RODC域控制器管理員。

● 登錄用戶是RODC域控制器管理員，除了維護Active Directory數據庫之外的其他管理職能，例如停止、啟動AD DS域服務，可以執行其他正常的管理操作。

● 登錄用戶是域控制器管理員，域控制器管理員雖然是整個域的管理員但是連接到RODCAdmins域控制器之后，管理權限和RODC域控制器管理員權限相同，同樣不能維護Active Directory數據庫相關的任務。

7. Read-only Domain Controllers組

RODC域控制器部署成功后，默認添加到“Read-only Domain Controllers”組中，該組中的是Windows Server 2008專用的存儲只讀域控制器的專用組。改組隸屬于“Denied RODC Password Replication Group”組，默認該組中的成員不能緩存到RODC域控制器中。

3.1.2 密碼復制策略

密碼復制策略決定可寫域控制器中的用戶可以緩存到RODC中。密碼復制策略列出了允許緩存的賬戶以及明確拒絕緩存的賬戶。允許緩存的用戶和計算機賬戶列表并不表示RODC一定緩存這些賬戶的密碼。例如，管理員可以事先指定RODC緩存的任何賬戶。這樣即使和中心站點的廣域網鏈接脫機，RODC也可以對已經緩存的賬戶進行身份驗證。

1. 密碼復制策略允許列表和拒絕列表

Windows Server 2008中的AD DS域服務中引入了兩個新的內置組，分別是“Allowed RODC Password Replication Group”和“Denied RODC Password Replication Group”，如圖3-1所示。這兩個組是RODC密碼復制策略的默認允許列表和拒絕列表。拒絕列表的優先權高于允許列表。

默認情況下，“Allowed RODC Password Replication Group”不包含任何成員，如果將域用戶添加到該組中，將被自動緩存到RODCAdmins域控制器中，在實際應用中，建議管理員創建新的安全組并將域用戶添加到該組中，如圖3-2所示。

“Denied RODC Password Replication Group”包含下列成員：企業域控制器，企業只讀域控制器，組策略創建者所有者，Domain Admins，證書發行者，Enterprise Admins，Schema Admins，Krbtgt賬戶，如圖3-3所示。

每個RODC的允許列表和拒絕列表屬性，以及域范圍“Denied RODC Password Replication Group”和“Allowed RODC Password Replication Group”的組合為管理員方便的密碼緩存模式。密碼復制策略支持以下3個緩存模式：

● 不緩存任何賬戶。此模式提供最安全的配置，沒有密碼被緩存到RODC，除RODC計算機賬戶及其特殊krbtgt賬戶之外。此模式的優點是需要很少或者不需要對默認設置進行額外的管理配置。用戶可以選擇將自己的安全敏感用戶組添加到默認的拒絕用戶列表中。這樣可以防止這些用戶組意外包含在允許的用戶列表中，而且還可以防止之后將其密碼緩存在RODC上。

● 緩存大多數賬戶。此模式提供最簡單的管理模式并且允許脫機操作。所有RODC的“允許列表”可以添加大部分用戶或者組。“拒絕列表”不允許安全敏感的用戶組，例如Domain Admins。但是，大多數用戶都可以根據需要緩存其密碼。此配置最適合于RODC的物理安全沒有危險的環境。

● 緩存很少賬戶。此模式限制可以緩存的賬戶。管理員為特定物理位置RODC進行嚴格定義，即每個RODC都有其允許緩存的一組不同的用戶和計算機賬戶。此模式的優點是萬一出現廣域網鏈路故障，緩存用戶將從RODC中直接登錄。同時，密碼泄露的也得到有效控制。

2. 緩存密碼過期

RODC緩存密碼之后，密碼將保留在RODC的Active Directory數據庫中，如果出現下列條件之一，緩存的密碼將過期：

● 用戶更改密碼。在此情況下，不從緩存中清除密碼，但該密碼不再有效。

● 相關的RODC的密碼復制策略發生變化，將不再緩存用戶的密碼。

3.1.3 部署前提

1. 域控制器需求

同一個域中，至少有一個運行Windows Server 2008 R2的可讀寫域控制器作為RODC的復制伙伴。如果域內沒有運行Windows Server 2008 R2的可讀寫域控制器，將不能部署RODC。該可讀寫域控制器必須包含“PDC操作主機”角色。

2. 功能級別

Windows Server 2008 R2的AD DS域服務的林功能級別至少是Windows Server 2003功能級別，建議使用Windows Server 2008功能級別。如果當前的功能級別是Windows Server 2003以下級別，必須提升林和域功能級別。

3.1.4 準備用戶和組

在部署RODC域控制器之前，域管理員可以利用組的方式規劃緩存到RODC域控制器中的用戶，以及指派RODC域控制器的管理員權限。本例中指派域用戶“王淑江”為RODC的域控制器管理員，域用戶“劉曉輝”和域用戶“王春海”為緩存到RODC域控制器中的用戶。域用戶“王淑江”添加到“RODCAdmins”組中（如圖3-4 所示），域用戶“劉曉輝”和域用戶“王春海”添加到“RODCUsers”組中（如圖3-5所示。）。

3.2 部署只讀域控制器

安裝只讀域控制器之前，欲部署RODC的計算機可以加入域成為成員服務器，也可以是獨立服務器。無論是否加入域，都可以通過“服務器管理器”部署RODC，也可以直接運行“Dcpromo.exe”部署RODC。本例以“Dcpromo.exe”命令行方式安裝RODC。

3.2.1 部署只讀域控制器

在部署RODC之前，必須先將服務器的DNS設置為域控制器的IP地址。本例中，服務器為獨立服務器，運行“Dcpromo.exe”命令來安裝RODC。

第1步，運行“Dcpromo.exe”命令，自動安裝Active Directory需要的文件。完成后啟動“歡迎使用Active Directory域服務安裝向導”對話框。這里選擇“使用高級模式安裝”選項，如圖3-6所示。

第2步，單擊“下一步”按鈕，顯示如圖3-7所示的“操作系統兼容性”對話框。

第4步，單擊“下一步”按鈕，顯示如圖3-8所示的“選擇某一部署配置”對話框。選擇“現有林”→“向現有域添加域控制器”選項。

第5步，單擊“下一步”按鈕，顯示如圖3-9所示的“網絡憑據”對話框。由于當前服務器沒有加入域，所以“我的當前登錄憑據（域\用戶名）”選項為不可選狀態。

第6步，單擊“設置”按鈕，顯示如圖3-10所示“網絡憑據”對話框。鍵入域管理員賬戶和密碼。單擊“確定”按鈕，添加備用憑據。

第7步，單擊“下一步”按鈕，顯示如圖3-11所示的“選擇域”對話框。安裝向導自動查找book.com域的林根域。

第8步，單擊“下一步”按鈕，顯示如圖3-12所示的“請選擇一個站點”對話框。為RODC選擇一個站點，在本例中使用的是默認站點且只有一個站點。

第9步，單擊“下一步”按鈕，顯示如圖3-13所示的“其他域控制器選項”對話框。本例中安裝DNS服務器、全局編錄服務器，以及只讀域控制器。

第10步，單擊“下一步”按鈕，顯示如圖3-14所示的“指定密碼復制策略”對話框，設置允許域控制器緩存到RODC域控制器中的賬戶。在“組、用戶和計算機”列表中，可以添加或者刪除用戶、組或計算機賬戶。密碼復制策略決定用戶或者計算機的憑據是否可以從可讀寫域控制器復制到RODC域控制器。如果策略允許，可讀寫域控制器將域用戶緩存到RODC中。本例中允許“RODCUsers”組中的用戶緩存到RODCAdmins域控制器中。

第11步，單擊“添加”按鈕，顯示如圖3-15所示的“添加組、用戶和計算機”對話框。設置可以緩存到RODC域控制器中的用戶、組和計算機。選擇“允許該賬戶的密碼復制到此RODC中”選項。

第12步，單擊“確定”按鈕，顯示“選擇用戶、計算機或組”對話框。單擊“高級”按鈕，再單擊“立即查找”按鈕，查找當前域中可用的用戶、計算機或組。在“搜索結果”列表框中，選擇“RODCUsers”組，如圖3-16所示。

第13步，連續單擊“確定”按鈕，返回到“指定密碼復制策略”對話框，如圖3-17所示。

第14步，單擊“下一步”按鈕，顯示如圖3-18所示的“用于RODC安裝和關聯的委派”對話框。設置管理RODC域控制器的管理賬戶。單擊“設置”按鈕，選擇“RODCAdmins”組。

第15步，單擊“下一步”按鈕，顯示如圖3-19所示的“從介質安裝”對話框。設置緩存賬戶的方法，提供兩種緩存類型：通過域控制器復制數據和通過介質（共享或者光盤）復制。這里選擇“通過網絡從域控制器復制數據”選項。

第16步，單擊“下一步”按鈕，顯示“源域控制器”對話框。設置緩存賬戶的源域控制器，通常源域控制器是域中的第一臺域控制器。可以讓向導自動選擇一個域控制器，也可由管理員手動指定。這里選擇“使用此特定的域控制器”選項，并選擇源域控制器，如圖3-20所示。

第17步，單擊“下一步”按鈕，顯示如圖3-21所示的“數據庫、日志文件和SYSVOL的位置”對話框。建議將數據庫、日志文件和SYSVOL文件夾分別存儲在不同的物理磁盤中。

第18步，單擊“下一步”按鈕，顯示如圖3-22所示的“目錄服務還原模式的Adminstrator密碼”對話框。目錄服務還原密碼必須使用符合強密碼策略標準的密碼。

第19步，單擊“下一步”按鈕，顯示如圖3-23所示的“摘要”對話框，顯示RODC的配置信息。

第20步，單擊“下一步”按鈕，開始安裝RODC，如圖3-24所示。

第21步，安裝完成，顯示如圖3-25所示的“完成Active Directory域服務安裝向導”對話框。

第21步，單擊“完成”按鈕，關閉安裝向導，顯示如圖3-26所示的提示框，提示管理員需要重新啟動計算機。

第22步，單擊“立即重新啟動”按鈕，重新啟動計算機，RODC域控制器安裝成功。

3.2.2 驗證RODC

RODC安裝完成后，可以在域控制器和新安裝的RODC控制器上驗證是否成功安裝。在域控制器上可以通過域控制器的類型驗證，在RODC服務器上可以通過修改、創建Active Directory數據庫的返回狀態確認。

1. 域控制器狀態

由于RODC是一種只讀的控制器，在RODC部署完成后有明顯的標識，域控制器類型標識為“只讀”。

第1步，在域控制器上，打開“Active Directory用戶和計算機”窗口，選擇“book.com”→“Domain Controllers”選項，在右側的窗口中，顯示可以使用的域控制器列表，域控制器“RODC”的“DC類型”為“只讀，GC”，說明RODC域控制器安裝成功，如圖3-27所示。

2. RODC域控制器狀態

在RODC域控制器中，Active Directory數據庫處于只讀狀態，RODC管理員不能創建任何對象和修改任何屬性，通過這種方法也可以判斷當前運行的控制器是否為RODC域控制器。

第1步，以RODCAdmins域控制器管理員身份（RODCAminds組中的用戶）登錄只讀域控制器，打開“Active Directory用戶和計算機”窗口，右擊“book.com”，在彈出的快捷菜單中沒有“新建”命令，如圖3-28所示。

第2步，選擇“委派控制”選項，顯示如圖3-29所示的“控制委派向導”對話框，提示沒有寫入對象的權限。

第3步，選擇“提升域功能級別”選項，顯示如圖3-30所示的“提升域功能級別”對話框，提示“您沒有足夠的權限提升此域功能級別”。

第4步，選擇“操作主機”選項，顯示如圖3-31所示的“操作主機”對話框，“更改”按鈕為灰色，處于不可編輯狀態，無法更改操作主機到目標服務器。

3. DNS驗證

第1步，以域管理員身份登錄到RODC中，打開“DNS管理器”窗口，選擇“RODC”→“正向查找區域”→“book.com”選項，如圖3-32所示。

第2步，右擊“book.com”，在彈出的快捷菜單中選擇“屬性”命令，顯示如圖3-33 所示的“book.com屬性”對話框，所有按鈕顯示為灰色。

4. “Read-only Domain Controllers”組驗證

RODC域控制器部署完成后，將被添加到“Read-only Domain Controllers”組中，改組是只讀域控制器專用組，即該組中的成員是只讀域控制器，如圖3-34所示。

3.3 緩存用戶

RODC控制器中的Active Directory數據庫為只讀模式，不存儲Active Directory數據庫用戶密碼。管理員可以根據企業的實際需要，為部署在分支機構的RODC域控制器中緩存所在的管理區域中的用戶密碼。密碼復制策略可以在安裝RODC的過程中設置，也可以在安裝完成后在域控制器中設置。

3.3.1 查看緩存信息

在域控制器中，可以查看RODC的緩存用戶信息，包括緩存目標組和已經緩存到RODC中的用戶。

第1步，在域控制器中，打開“Active Directory用戶和計算機”窗口。選擇“book.com”→“Domain Controllers”選項，如圖3-35所示。

第2步，在右側窗口的域控制器列表中，右擊“RODC”域控制器，在彈出的快捷菜單中選擇“屬性”命令，顯示如圖3-36所示的“RODC屬性”對話框。

第3步，切換到“密碼復制策略”選項卡，顯示如圖3-37所示對話框。

第4步，單擊“高級”按鈕，打開“以下項目的高級密碼復制策略RODC”對話框。切換到“策略使用率”選項卡，如圖3-38所示。

● 在“顯示滿足下列條件的用戶和計算機”下拉列表中，選擇“其密碼已存儲在只讀域控制器中的賬戶”選項，除了RODC自身的計算機賬戶和Kerberos票據授權（KRBTGT）賬戶之外，默認情況下沒有緩存任何賬戶的密碼。

● 在“顯示滿足下列條件的用戶和計算機”下拉列表中，選擇“已通過此只讀域控制器身份驗證的賬戶”選項，顯示在RODC進行身份驗證的用戶以及計算機，通過此列表確定哪些賬戶的密碼已經緩存到RODC域控制器中，如圖3-39所示。

第5步，單擊“關閉”按鈕，關閉該對話框。

3.3.2 緩存用戶

如果管理員已經規劃將用戶緩存到只讀域控制器中，可以對經過身份確認的用戶和計算機賬戶的密碼啟用預填充密碼緩存功能。當啟用該功能時，在分支機構中登錄之前將用戶和計算機的密碼復制到只讀域控制器。分支機構登錄的用戶和計算機，通過只讀域控制器對這些賬戶進行身份驗證，而無需通過中心的域控制器驗證。建議啟用該功能。

第1步，在域控制器中，打開“Active Directory用戶和計算機”窗口，選擇“Domain Controllers”選項，右擊“RODC”只讀域控制器，在彈出的快捷菜單中選擇“屬性”命令，打開“密碼復制策略”對話框。

第2步，單擊“高級”按鈕，顯示如圖3-40 所示的“以下項目的高級密碼復制策略RODC”對話框。

第3步，單擊“預設密碼”按鈕，顯示如圖3-41所示的“選擇用戶或計算機”對話框。在“輸入對象名稱來選擇”文本框中鍵入需要緩存到只讀域控制器的用戶或者計算機。

第4步，單擊“確定”按鈕，顯示如圖3-42所示的“預填充密碼”對話框。選擇的用戶或者計算機將顯示在“賬戶名稱”列表中。

第5步，單擊“是”按鈕，顯示如圖3-43所示的“已成功預填充密碼”對話框。

第6步，單擊“確定”按鈕，將選擇的用戶和計算機緩存到只讀域控制器中，如圖3-44所示。

3.4 委派RODC管理權限

使用“Active Directory安裝向導”部署RODC域控制器的過程中，管理員可以設置非域管理員作為RODC域控制器的管理員，如果在向導過程中沒有配置RODC域控制器的管理員，在RODC域控制器部署完成后，可以在RODC域控制器中委派RODC域控制器管理員權限。委派權限只能在命令行模式（dsmgmt.exe）下完成。

3.4.1 委派RODC管理權限

以域管理員身份登錄到RODC域控制器，委派普通域用戶“lhn”為RODC域控制器的管理員。域用戶“lhn”是“domain users”組成員。

第1步，登錄到RODC域控制器，打開命令行提示符窗口，鍵入如下命令：

      Dsmgmt

按Enter鍵，顯示“dsmgmt”命令行提示符。

在“dsmgmt”命令行提示符，鍵入如下命令：

      local roles

按Enter鍵，顯示“本地角色”提示符，如圖3-45所示。

第2步，在“本地角色”命令行提示符，鍵入如下命令：

      List roles

按Enter鍵，命令成功執行，顯示RODC域控制器支持的角色列表，如圖3-46所示。

第3步，在“本地角色”命令行提示符，鍵入如下命令：

      Add book\lhn administrators

按Enter鍵，將域用戶“book\lhn”添加到本地管理員組中，如圖3-47所示。

第4步，在“本地角色”命令行提示符，鍵入如下命令：

      show role administrators

按Enter鍵，顯示RODC域控制器中，具備管理員權限的用戶，如圖3-48所示。

3.4.2 RODC管理員驗證

默認情況下，普通域用戶不能登錄到任何域控制器中，經過委派的普通域用戶即可管理RODC域控制器，完成域控制器管理角色的分離。

1. 普通域用戶登錄

域用戶“Test”是“Domain Users”組中成員，不具備RODC域控制器管理員的權限，該用戶不能登錄RODC域控制器。

第1步，在Windows Server 2008 R2的登錄窗口中，以域用戶“Test”身份登錄，如圖3-49所示。

第2步，單擊“→”按鈕或者按Enter鍵，提示無法登錄，如圖3-50所示。

2. 授權域用戶登錄

域用戶“lhn”已經被委派具備RODC域控制器管理員的權限，因此該用戶雖然是“Domain Users”組中的成員，但是可以登錄到RODC域控制器中，并實施管理職能。

第1步，在Windows Server 2008的登錄窗口中，以域用戶“lhn”身份登錄，如圖3-51所示。

第2步，單擊“已進入”按鈕或者按Enter鍵，成功登錄Windows Server 2008的RODC域控制器，如圖3-52所示。