Windows Server 2008提供了一種新類型的只讀域控制器功能，用于管理分支機(jī)構(gòu)。RODC主要適用于分支機(jī)構(gòu)的用戶較少、沒有專業(yè)的IT技術(shù)人員支持以及物理安全性較差、連接到中心站點(diǎn)的網(wǎng)絡(luò)帶寬相對較低的環(huán)境中。分支機(jī)構(gòu)的用戶只要登錄到RODC中，即可完成用戶身份驗(yàn)證，并可以訪問網(wǎng)絡(luò)中的資源。不過，如果需要創(chuàng)建新用戶或者更新用戶權(quán)限，必須在域控制器中完成，然后同步到只讀域控制器中。

3.1 基礎(chǔ)知識

只讀域控制器全稱Read Only Domain Controllers，簡稱RODC，是Windows Server 2008提供的新域控制器類型。從字面即可理解，RODC首先是域控制器，然后使用的Active Directory數(shù)據(jù)庫是只讀的，是網(wǎng)絡(luò)中可讀寫域控制器的只讀副本。

3.1.1 RODC特性

1. 只讀域控制器

RODC是可讀寫域控制器的一個副本域控制器，只能將可讀寫域控制器Active Directory數(shù)據(jù)庫設(shè)置的允許緩存到RODC賬戶同步到RODC使用的Active Directory數(shù)據(jù)庫中，注意只是Active Directory數(shù)據(jù)庫的部分內(nèi)容非完整Active Directory數(shù)據(jù)庫。管理員無法對RODC使用的Active Directory數(shù)據(jù)庫進(jìn)行更改，如果RODC需要更改Active Directory數(shù)據(jù)庫中的數(shù)據(jù)，更改的數(shù)據(jù)首先在可讀寫域控制器上更改完成，然后復(fù)制到RODC中。RODC支持從可讀寫域控制器到RODC的單項(xiàng)數(shù)據(jù)復(fù)制。可讀寫域控制器不會從RODC主動“拉”數(shù)據(jù)。RODC可以緩存授權(quán)的目標(biāo)組和用戶的密碼。

2. 密碼存儲

默認(rèn)情況下，RODC中不存儲普通域用戶、計算機(jī)密碼。在不能保證域控制器安全性的情況下，即使RODC遺失，也不會影響到Active Directory的安全。

通過密碼緩存策略可以定制緩存到RODC中的域用戶以及計算機(jī)密碼。密碼緩存策略在可讀寫域控制器中設(shè)置。默認(rèn)情況下，RODC只存儲自己的計算機(jī)賬戶和一個用于RODC使用的Kerberos票據(jù)授權(quán)（KRBTGT）賬戶，此賬戶被可讀寫DC用來驗(yàn)證RODC身份。如果在RODC上啟用密碼緩存，只會影響緩存到本地計算機(jī)和用戶賬戶。

3. 單向復(fù)制

可讀寫域控制器之間是雙向復(fù)制，RODC和可讀寫域控制器之間復(fù)制為單向，RODC通過分布式文件系統(tǒng)（DFRS）從可讀寫域控制器復(fù)制數(shù)據(jù)，只能從讀寫域控制器“拉”數(shù)據(jù)，而不能向讀寫域控制器“推”數(shù)據(jù)。

4. 只讀DNS

在RODC上可以部署DNS服務(wù)，RODC可以復(fù)制DNS所使用的所有應(yīng)用程序目錄分區(qū)（Application Directory Partition）中的數(shù)據(jù)，包括ForestDNSZones和DomainDNSZones，RODC支持客戶端DNS請求，并完成DNS解析功能。在RODC上的DNS不支持客戶端直接進(jìn)行更新DNS紀(jì)錄，因此RODC不會在所擁有的活動目錄集成區(qū)域里面注冊任何名稱記錄。

5. 管理RODC

在可讀寫域控制器中，服務(wù)器本地管理員和域管理員相同，都可以管理域控制器。RODC允許一個普通的域用戶成為RODC的本地管理員，設(shè)置的域用戶可以在RODC所在的區(qū)域執(zhí)行管理任務(wù)，此用戶在域中或者任何可讀寫的域控制器上沒有管理權(quán)利，僅管理區(qū)域分支機(jī)構(gòu)的權(quán)限，不會影響Active Directory整體安全性。

6. RODC域控制器管理員角色

RODC域控制器登錄用戶分為兩種類型，分別為域控制器管理員和RODC域控制器管理員。

● 登錄用戶是RODC域控制器管理員，除了維護(hù)Active Directory數(shù)據(jù)庫之外的其他管理職能，例如停止、啟動AD DS域服務(wù)，可以執(zhí)行其他正常的管理操作。

● 登錄用戶是域控制器管理員，域控制器管理員雖然是整個域的管理員但是連接到RODCAdmins域控制器之后，管理權(quán)限和RODC域控制器管理員權(quán)限相同，同樣不能維護(hù)Active Directory數(shù)據(jù)庫相關(guān)的任務(wù)。

7. Read-only Domain Controllers組

RODC域控制器部署成功后，默認(rèn)添加到“Read-only Domain Controllers”組中，該組中的是Windows Server 2008專用的存儲只讀域控制器的專用組。改組隸屬于“Denied RODC Password Replication Group”組，默認(rèn)該組中的成員不能緩存到RODC域控制器中。

3.1.2 密碼復(fù)制策略

密碼復(fù)制策略決定可寫域控制器中的用戶可以緩存到RODC中。密碼復(fù)制策略列出了允許緩存的賬戶以及明確拒絕緩存的賬戶。允許緩存的用戶和計算機(jī)賬戶列表并不表示RODC一定緩存這些賬戶的密碼。例如，管理員可以事先指定RODC緩存的任何賬戶。這樣即使和中心站點(diǎn)的廣域網(wǎng)鏈接脫機(jī)，RODC也可以對已經(jīng)緩存的賬戶進(jìn)行身份驗(yàn)證。

1. 密碼復(fù)制策略允許列表和拒絕列表

Windows Server 2008中的AD DS域服務(wù)中引入了兩個新的內(nèi)置組，分別是“Allowed RODC Password Replication Group”和“Denied RODC Password Replication Group”，如圖3-1所示。這兩個組是RODC密碼復(fù)制策略的默認(rèn)允許列表和拒絕列表。拒絕列表的優(yōu)先權(quán)高于允許列表。

默認(rèn)情況下，“Allowed RODC Password Replication Group”不包含任何成員，如果將域用戶添加到該組中，將被自動緩存到RODCAdmins域控制器中，在實(shí)際應(yīng)用中，建議管理員創(chuàng)建新的安全組并將域用戶添加到該組中，如圖3-2所示。

“Denied RODC Password Replication Group”包含下列成員：企業(yè)域控制器，企業(yè)只讀域控制器，組策略創(chuàng)建者所有者，Domain Admins，證書發(fā)行者，Enterprise Admins，Schema Admins，Krbtgt賬戶，如圖3-3所示。

每個RODC的允許列表和拒絕列表屬性，以及域范圍“Denied RODC Password Replication Group”和“Allowed RODC Password Replication Group”的組合為管理員方便的密碼緩存模式。密碼復(fù)制策略支持以下3個緩存模式：

● 不緩存任何賬戶。此模式提供最安全的配置，沒有密碼被緩存到RODC，除RODC計算機(jī)賬戶及其特殊krbtgt賬戶之外。此模式的優(yōu)點(diǎn)是需要很少或者不需要對默認(rèn)設(shè)置進(jìn)行額外的管理配置。用戶可以選擇將自己的安全敏感用戶組添加到默認(rèn)的拒絕用戶列表中。這樣可以防止這些用戶組意外包含在允許的用戶列表中，而且還可以防止之后將其密碼緩存在RODC上。

● 緩存大多數(shù)賬戶。此模式提供最簡單的管理模式并且允許脫機(jī)操作。所有RODC的“允許列表”可以添加大部分用戶或者組。“拒絕列表”不允許安全敏感的用戶組，例如Domain Admins。但是，大多數(shù)用戶都可以根據(jù)需要緩存其密碼。此配置最適合于RODC的物理安全沒有危險的環(huán)境。

● 緩存很少賬戶。此模式限制可以緩存的賬戶。管理員為特定物理位置RODC進(jìn)行嚴(yán)格定義，即每個RODC都有其允許緩存的一組不同的用戶和計算機(jī)賬戶。此模式的優(yōu)點(diǎn)是萬一出現(xiàn)廣域網(wǎng)鏈路故障，緩存用戶將從RODC中直接登錄。同時，密碼泄露的也得到有效控制。

2. 緩存密碼過期

RODC緩存密碼之后，密碼將保留在RODC的Active Directory數(shù)據(jù)庫中，如果出現(xiàn)下列條件之一，緩存的密碼將過期：

● 用戶更改密碼。在此情況下，不從緩存中清除密碼，但該密碼不再有效。

● 相關(guān)的RODC的密碼復(fù)制策略發(fā)生變化，將不再緩存用戶的密碼。

3.1.3 部署前提

1. 域控制器需求

同一個域中，至少有一個運(yùn)行Windows Server 2008 R2的可讀寫域控制器作為RODC的復(fù)制伙伴。如果域內(nèi)沒有運(yùn)行Windows Server 2008 R2的可讀寫域控制器，將不能部署RODC。該可讀寫域控制器必須包含“PDC操作主機(jī)”角色。

2. 功能級別

Windows Server 2008 R2的AD DS域服務(wù)的林功能級別至少是Windows Server 2003功能級別，建議使用Windows Server 2008功能級別。如果當(dāng)前的功能級別是Windows Server 2003以下級別，必須提升林和域功能級別。

3.1.4 準(zhǔn)備用戶和組

在部署RODC域控制器之前，域管理員可以利用組的方式規(guī)劃緩存到RODC域控制器中的用戶，以及指派RODC域控制器的管理員權(quán)限。本例中指派域用戶“王淑江”為RODC的域控制器管理員，域用戶“劉曉輝”和域用戶“王春海”為緩存到RODC域控制器中的用戶。域用戶“王淑江”添加到“RODCAdmins”組中（如圖3-4 所示），域用戶“劉曉輝”和域用戶“王春海”添加到“RODCUsers”組中（如圖3-5所示。）。

3.2 部署只讀域控制器

安裝只讀域控制器之前，欲部署RODC的計算機(jī)可以加入域成為成員服務(wù)器，也可以是獨(dú)立服務(wù)器。無論是否加入域，都可以通過“服務(wù)器管理器”部署RODC，也可以直接運(yùn)行“Dcpromo.exe”部署RODC。本例以“Dcpromo.exe”命令行方式安裝RODC。

3.2.1 部署只讀域控制器

在部署RODC之前，必須先將服務(wù)器的DNS設(shè)置為域控制器的IP地址。本例中，服務(wù)器為獨(dú)立服務(wù)器，運(yùn)行“Dcpromo.exe”命令來安裝RODC。

第1步，運(yùn)行“Dcpromo.exe”命令，自動安裝Active Directory需要的文件。完成后啟動“歡迎使用Active Directory域服務(wù)安裝向?qū)А睂υ捒颉＿@里選擇“使用高級模式安裝”選項(xiàng)，如圖3-6所示。

第2步，單擊“下一步”按鈕，顯示如圖3-7所示的“操作系統(tǒng)兼容性”對話框。

第4步，單擊“下一步”按鈕，顯示如圖3-8所示的“選擇某一部署配置”對話框。選擇“現(xiàn)有林”→“向現(xiàn)有域添加域控制器”選項(xiàng)。

第5步，單擊“下一步”按鈕，顯示如圖3-9所示的“網(wǎng)絡(luò)憑據(jù)”對話框。由于當(dāng)前服務(wù)器沒有加入域，所以“我的當(dāng)前登錄憑據(jù)（域\用戶名）”選項(xiàng)為不可選狀態(tài)。

第6步，單擊“設(shè)置”按鈕，顯示如圖3-10所示“網(wǎng)絡(luò)憑據(jù)”對話框。鍵入域管理員賬戶和密碼。單擊“確定”按鈕，添加備用憑據(jù)。

第7步，單擊“下一步”按鈕，顯示如圖3-11所示的“選擇域”對話框。安裝向?qū)ё詣硬檎襜ook.com域的林根域。

第8步，單擊“下一步”按鈕，顯示如圖3-12所示的“請選擇一個站點(diǎn)”對話框。為RODC選擇一個站點(diǎn)，在本例中使用的是默認(rèn)站點(diǎn)且只有一個站點(diǎn)。

第9步，單擊“下一步”按鈕，顯示如圖3-13所示的“其他域控制器選項(xiàng)”對話框。本例中安裝DNS服務(wù)器、全局編錄服務(wù)器，以及只讀域控制器。

第10步，單擊“下一步”按鈕，顯示如圖3-14所示的“指定密碼復(fù)制策略”對話框，設(shè)置允許域控制器緩存到RODC域控制器中的賬戶。在“組、用戶和計算機(jī)”列表中，可以添加或者刪除用戶、組或計算機(jī)賬戶。密碼復(fù)制策略決定用戶或者計算機(jī)的憑據(jù)是否可以從可讀寫域控制器復(fù)制到RODC域控制器。如果策略允許，可讀寫域控制器將域用戶緩存到RODC中。本例中允許“RODCUsers”組中的用戶緩存到RODCAdmins域控制器中。

第11步，單擊“添加”按鈕，顯示如圖3-15所示的“添加組、用戶和計算機(jī)”對話框。設(shè)置可以緩存到RODC域控制器中的用戶、組和計算機(jī)。選擇“允許該賬戶的密碼復(fù)制到此RODC中”選項(xiàng)。

第12步，單擊“確定”按鈕，顯示“選擇用戶、計算機(jī)或組”對話框。單擊“高級”按鈕，再單擊“立即查找”按鈕，查找當(dāng)前域中可用的用戶、計算機(jī)或組。在“搜索結(jié)果”列表框中，選擇“RODCUsers”組，如圖3-16所示。

第13步，連續(xù)單擊“確定”按鈕，返回到“指定密碼復(fù)制策略”對話框，如圖3-17所示。

第14步，單擊“下一步”按鈕，顯示如圖3-18所示的“用于RODC安裝和關(guān)聯(lián)的委派”對話框。設(shè)置管理RODC域控制器的管理賬戶。單擊“設(shè)置”按鈕，選擇“RODCAdmins”組。

第15步，單擊“下一步”按鈕，顯示如圖3-19所示的“從介質(zhì)安裝”對話框。設(shè)置緩存賬戶的方法，提供兩種緩存類型：通過域控制器復(fù)制數(shù)據(jù)和通過介質(zhì)（共享或者光盤）復(fù)制。這里選擇“通過網(wǎng)絡(luò)從域控制器復(fù)制數(shù)據(jù)”選項(xiàng)。

第16步，單擊“下一步”按鈕，顯示“源域控制器”對話框。設(shè)置緩存賬戶的源域控制器，通常源域控制器是域中的第一臺域控制器。可以讓向?qū)ё詣舆x擇一個域控制器，也可由管理員手動指定。這里選擇“使用此特定的域控制器”選項(xiàng)，并選擇源域控制器，如圖3-20所示。

第17步，單擊“下一步”按鈕，顯示如圖3-21所示的“數(shù)據(jù)庫、日志文件和SYSVOL的位置”對話框。建議將數(shù)據(jù)庫、日志文件和SYSVOL文件夾分別存儲在不同的物理磁盤中。

第18步，單擊“下一步”按鈕，顯示如圖3-22所示的“目錄服務(wù)還原模式的Adminstrator密碼”對話框。目錄服務(wù)還原密碼必須使用符合強(qiáng)密碼策略標(biāo)準(zhǔn)的密碼。

第19步，單擊“下一步”按鈕，顯示如圖3-23所示的“摘要”對話框，顯示RODC的配置信息。

第20步，單擊“下一步”按鈕，開始安裝RODC，如圖3-24所示。

第21步，安裝完成，顯示如圖3-25所示的“完成Active Directory域服務(wù)安裝向?qū)А睂υ捒颉?/p>

第21步，單擊“完成”按鈕，關(guān)閉安裝向?qū)В@示如圖3-26所示的提示框，提示管理員需要重新啟動計算機(jī)。

第22步，單擊“立即重新啟動”按鈕，重新啟動計算機(jī)，RODC域控制器安裝成功。

3.2.2 驗(yàn)證RODC

RODC安裝完成后，可以在域控制器和新安裝的RODC控制器上驗(yàn)證是否成功安裝。在域控制器上可以通過域控制器的類型驗(yàn)證，在RODC服務(wù)器上可以通過修改、創(chuàng)建Active Directory數(shù)據(jù)庫的返回狀態(tài)確認(rèn)。

1. 域控制器狀態(tài)

由于RODC是一種只讀的控制器，在RODC部署完成后有明顯的標(biāo)識，域控制器類型標(biāo)識為“只讀”。

第1步，在域控制器上，打開“Active Directory用戶和計算機(jī)”窗口，選擇“book.com”→“Domain Controllers”選項(xiàng)，在右側(cè)的窗口中，顯示可以使用的域控制器列表，域控制器“RODC”的“DC類型”為“只讀，GC”，說明RODC域控制器安裝成功，如圖3-27所示。

2. RODC域控制器狀態(tài)

在RODC域控制器中，Active Directory數(shù)據(jù)庫處于只讀狀態(tài)，RODC管理員不能創(chuàng)建任何對象和修改任何屬性，通過這種方法也可以判斷當(dāng)前運(yùn)行的控制器是否為RODC域控制器。

第1步，以RODCAdmins域控制器管理員身份（RODCAminds組中的用戶）登錄只讀域控制器，打開“Active Directory用戶和計算機(jī)”窗口，右擊“book.com”，在彈出的快捷菜單中沒有“新建”命令，如圖3-28所示。

第2步，選擇“委派控制”選項(xiàng)，顯示如圖3-29所示的“控制委派向?qū)А睂υ捒颍崾緵]有寫入對象的權(quán)限。

第3步，選擇“提升域功能級別”選項(xiàng)，顯示如圖3-30所示的“提升域功能級別”對話框，提示“您沒有足夠的權(quán)限提升此域功能級別”。

第4步，選擇“操作主機(jī)”選項(xiàng)，顯示如圖3-31所示的“操作主機(jī)”對話框，“更改”按鈕為灰色，處于不可編輯狀態(tài)，無法更改操作主機(jī)到目標(biāo)服務(wù)器。

3. DNS驗(yàn)證

第1步，以域管理員身份登錄到RODC中，打開“DNS管理器”窗口，選擇“RODC”→“正向查找區(qū)域”→“book.com”選項(xiàng)，如圖3-32所示。

第2步，右擊“book.com”，在彈出的快捷菜單中選擇“屬性”命令，顯示如圖3-33 所示的“book.com屬性”對話框，所有按鈕顯示為灰色。

4. “Read-only Domain Controllers”組驗(yàn)證

RODC域控制器部署完成后，將被添加到“Read-only Domain Controllers”組中，改組是只讀域控制器專用組，即該組中的成員是只讀域控制器，如圖3-34所示。

3.3 緩存用戶

RODC控制器中的Active Directory數(shù)據(jù)庫為只讀模式，不存儲Active Directory數(shù)據(jù)庫用戶密碼。管理員可以根據(jù)企業(yè)的實(shí)際需要，為部署在分支機(jī)構(gòu)的RODC域控制器中緩存所在的管理區(qū)域中的用戶密碼。密碼復(fù)制策略可以在安裝RODC的過程中設(shè)置，也可以在安裝完成后在域控制器中設(shè)置。

3.3.1 查看緩存信息

在域控制器中，可以查看RODC的緩存用戶信息，包括緩存目標(biāo)組和已經(jīng)緩存到RODC中的用戶。

第1步，在域控制器中，打開“Active Directory用戶和計算機(jī)”窗口。選擇“book.com”→“Domain Controllers”選項(xiàng)，如圖3-35所示。

第2步，在右側(cè)窗口的域控制器列表中，右擊“RODC”域控制器，在彈出的快捷菜單中選擇“屬性”命令，顯示如圖3-36所示的“RODC屬性”對話框。

第3步，切換到“密碼復(fù)制策略”選項(xiàng)卡，顯示如圖3-37所示對話框。

第4步，單擊“高級”按鈕，打開“以下項(xiàng)目的高級密碼復(fù)制策略RODC”對話框。切換到“策略使用率”選項(xiàng)卡，如圖3-38所示。

● 在“顯示滿足下列條件的用戶和計算機(jī)”下拉列表中，選擇“其密碼已存儲在只讀域控制器中的賬戶”選項(xiàng)，除了RODC自身的計算機(jī)賬戶和Kerberos票據(jù)授權(quán)（KRBTGT）賬戶之外，默認(rèn)情況下沒有緩存任何賬戶的密碼。

● 在“顯示滿足下列條件的用戶和計算機(jī)”下拉列表中，選擇“已通過此只讀域控制器身份驗(yàn)證的賬戶”選項(xiàng)，顯示在RODC進(jìn)行身份驗(yàn)證的用戶以及計算機(jī)，通過此列表確定哪些賬戶的密碼已經(jīng)緩存到RODC域控制器中，如圖3-39所示。

第5步，單擊“關(guān)閉”按鈕，關(guān)閉該對話框。

3.3.2 緩存用戶

如果管理員已經(jīng)規(guī)劃將用戶緩存到只讀域控制器中，可以對經(jīng)過身份確認(rèn)的用戶和計算機(jī)賬戶的密碼啟用預(yù)填充密碼緩存功能。當(dāng)啟用該功能時，在分支機(jī)構(gòu)中登錄之前將用戶和計算機(jī)的密碼復(fù)制到只讀域控制器。分支機(jī)構(gòu)登錄的用戶和計算機(jī)，通過只讀域控制器對這些賬戶進(jìn)行身份驗(yàn)證，而無需通過中心的域控制器驗(yàn)證。建議啟用該功能。

第1步，在域控制器中，打開“Active Directory用戶和計算機(jī)”窗口，選擇“Domain Controllers”選項(xiàng)，右擊“RODC”只讀域控制器，在彈出的快捷菜單中選擇“屬性”命令，打開“密碼復(fù)制策略”對話框。

第2步，單擊“高級”按鈕，顯示如圖3-40 所示的“以下項(xiàng)目的高級密碼復(fù)制策略RODC”對話框。

第3步，單擊“預(yù)設(shè)密碼”按鈕，顯示如圖3-41所示的“選擇用戶或計算機(jī)”對話框。在“輸入對象名稱來選擇”文本框中鍵入需要緩存到只讀域控制器的用戶或者計算機(jī)。

第4步，單擊“確定”按鈕，顯示如圖3-42所示的“預(yù)填充密碼”對話框。選擇的用戶或者計算機(jī)將顯示在“賬戶名稱”列表中。

第5步，單擊“是”按鈕，顯示如圖3-43所示的“已成功預(yù)填充密碼”對話框。

第6步，單擊“確定”按鈕，將選擇的用戶和計算機(jī)緩存到只讀域控制器中，如圖3-44所示。

3.4 委派RODC管理權(quán)限

使用“Active Directory安裝向?qū)А辈渴餜ODC域控制器的過程中，管理員可以設(shè)置非域管理員作為RODC域控制器的管理員，如果在向?qū)н^程中沒有配置RODC域控制器的管理員，在RODC域控制器部署完成后，可以在RODC域控制器中委派RODC域控制器管理員權(quán)限。委派權(quán)限只能在命令行模式（dsmgmt.exe）下完成。

3.4.1 委派RODC管理權(quán)限

以域管理員身份登錄到RODC域控制器，委派普通域用戶“l(fā)hn”為RODC域控制器的管理員。域用戶“l(fā)hn”是“domain users”組成員。

第1步，登錄到RODC域控制器，打開命令行提示符窗口，鍵入如下命令：

      Dsmgmt

按Enter鍵，顯示“dsmgmt”命令行提示符。

在“dsmgmt”命令行提示符，鍵入如下命令：

      local roles

按Enter鍵，顯示“本地角色”提示符，如圖3-45所示。

第2步，在“本地角色”命令行提示符，鍵入如下命令：

      List roles

按Enter鍵，命令成功執(zhí)行，顯示RODC域控制器支持的角色列表，如圖3-46所示。

第3步，在“本地角色”命令行提示符，鍵入如下命令：

      Add book\lhn administrators

按Enter鍵，將域用戶“book\lhn”添加到本地管理員組中，如圖3-47所示。

第4步，在“本地角色”命令行提示符，鍵入如下命令：

      show role administrators

按Enter鍵，顯示RODC域控制器中，具備管理員權(quán)限的用戶，如圖3-48所示。

3.4.2 RODC管理員驗(yàn)證

默認(rèn)情況下，普通域用戶不能登錄到任何域控制器中，經(jīng)過委派的普通域用戶即可管理RODC域控制器，完成域控制器管理角色的分離。

1. 普通域用戶登錄

域用戶“Test”是“Domain Users”組中成員，不具備RODC域控制器管理員的權(quán)限，該用戶不能登錄RODC域控制器。

第1步，在Windows Server 2008 R2的登錄窗口中，以域用戶“Test”身份登錄，如圖3-49所示。

第2步，單擊“→”按鈕或者按Enter鍵，提示無法登錄，如圖3-50所示。

2. 授權(quán)域用戶登錄

域用戶“l(fā)hn”已經(jīng)被委派具備RODC域控制器管理員的權(quán)限，因此該用戶雖然是“Domain Users”組中的成員，但是可以登錄到RODC域控制器中，并實(shí)施管理職能。

第1步，在Windows Server 2008的登錄窗口中，以域用戶“l(fā)hn”身份登錄，如圖3-51所示。

第2步，單擊“已進(jìn)入”按鈕或者按Enter鍵，成功登錄Windows Server 2008的RODC域控制器，如圖3-52所示。