只读域控制器(RODC)的安装

ActiveDirectory域控制器安装⼿册Active Directory域控制器安装指南1.1Active Directory介绍1.1.1功能介绍Active Directory提供了⼀种⽅式，⽤于管理组成组织⽹络的标识和关系。

Active Directory与Windows Server 2008 R2的集成，为我们带来了开箱即⽤的功能，通过这些功能我们可以集中配置和管理系统、⽤户和应⽤程序设置。

Active Directory域服务（AD DS，Active Directory Domain Services）存储⽬录数据，管理⽤户和域之间的通信，包括⽤户登录过程、⾝份验证，以及⽬录搜索。

此外还集成其它⾓⾊，为我们带来了标识和访问控制特性和技术，这些特性提供了⼀种集中管理⾝份信息的⽅式，以及只允许合法⽤户访问设备、程序和数据的技术。

1.1.2Active Directory域服务AD DS是配置信息、⾝份验证请求和森林中所有对象信息的集中存储位置。

利⽤Active Directory，我们可以在⼀个安全集中的位置中，⾼效地管理⽤户、计算机、组、打印机、应⽤程序以及其它⽀持⽬录的对象。

*审查。

对Active Directory对象的修改可以记录下来，这样我们就可以知道这个对象做了哪些修改，以及被修改属性的历史值和当前值。

*粒度更细的密码。

密码策略可以针对域中单独的组进⾏配置。

不需要每个帐户都使⽤域中相同的密码策略了。

*只读的域控制器。

当域控制器的安全⽆法得到保障时，我们可以部署⼀台只有只读版本Active Directory数据库的域控制器，例如在分⽀办公室，这种环境下域控制器的物理安全都是个问题，⼜如承载了其他⾓⾊的域控制器，其他⽤户也需要登录和管理这台服务器。

只读域控制器（RODC，Read-Only Domain Controllers）的使⽤，可以防⽌在分⽀机构对它潜在的意外修改，然后通过复制导致AD森林数据的损坏。

安装域控制器更新日期： 01/21/2005安装域控制器域控制器为网络用户和计算机提供了 Active Directory 目录服务，它存储并复制目录数据，并管理用户与域的交互，包括用户登录进程、身份验证和目录搜索。

每个域至少必须包含一个域控制器。

可以通过在任何成员服务器或独立服务器（除了那些具有限制性许可协议的服务器）上安装 Active Directory 来安装域控制器。

当您将第一个域控制器安装到组织中时，您就创建了第一个域（也称根域）和第一个林。

可以在现有的域中添加附加的域控制器来提供容错功能、提高服务的可用性以及平衡现有域控制器的负载。

还可以安装域控制器来创建一个新的子域或新的域树。

当您想要与一个或多个域共享连续的名称空间的域时，请创建新的子域。

意思是，新域的名称中包含父域的完整名称。

例如， 可以是 的一个子域。

仅当您想要的域的域名系统 (DNS) 名称空间与该林中的其他域无关时，才创建一个新的域树。

也就是说，新域树的根域（及其所有子域）的名称不包含父域的完整名称。

一个林中可以包含一个或多个域树。

在安装域控制器之前，需要考虑与 Windows 2000 以前版本兼容的安全级别，并标识域的 DNS 名称。

有关详细信息，请参阅清单：在现有的域中创建其他域控制器。

安装域控制器时，最常执行的任务是在新的林中创建新域、在现有的域树中创建新的子域、在现有的林中创建新的域树和在现有的域中安装域控制器。

有关安装域控制器时需要做的重要决策的信息，请参阅使用 Active Directory 安装向导。

在新的林中创建新域1.打开 Active Directory 安装向导。

2.单击“域控制器类型”页面上的“新域的域控制器”，然后单击“下一步”。

3.在“创建一个新域”页面上，单击“在新林中的域”，然后单击“下一步”。

4.在“新的域名”页面上，键入新域的 DNS 全名，然后单击“下一步”。

5.验证“NetBIOS域名”页面上的 NetBIOS 名称，然后单击“下一步”。

引用：/zh-cn/library/cc754629(WS.10).aspx部署RODC 的步骤更新时间: 2009年5月应用到: Windows Server 2008本部分包含有关部署RODC 的信息。

除了列出可选任务之外，本部分还首先列出了必须执行的高级任务。

该列表后面有详细的信息，包括有关管理凭据的信息以及执行其中一些任务所需的过程。

若要部署 RODC，必须完成以下高级任务：∙确保林功能级别为 Windows Server 2003 或更高版本∙运行 adprep /rodcprep如果您新建的林只有运行 Windows Server 2008 的域控制器，则没有必要执行此步骤。

∙安装运行Windows Server 2008 的可写域控制器∙可选：将 RODC 安装在完整安装的 Windows Server 2008 上-或者-∙可选：将 RODC 安装在服务器核心安装上∙可选：委派 RODC 安装∙可选：从介质安装 RODC∙可选：删除运行Windows Server 2008 的域控制器确保林功能级别为Windows Server 2003 或更高版本管理凭据任何域用户都可以验证当前的林功能级别是否是Windows Server 2003 或更高版本。

若要提升林功能级别，您必须是目录林根级域中 Domain Admins 组的成员或者Enterprise Admins 组的成员。

确保林功能级别为 Windows Server 2003 或更高版本的步骤1.打开“Active Directory 域和信任关系”。

2.在控制台树中，右键单击林的名称，然后单击“属性”。

3.在“林功能级别”下，验证值是Window s Server 2003 还是Windows Server 2008。

4.如果有必要提升林功能级别，请在控制台树中，右键单击“Active Directory 域和信任关系”，然后单击“提升林功能级别”。

4.1.6 只读域控制器4.1.6 只读域控制器（1）只读域控制器（RODC）是Windows Server 2008操作系统中的一种新型域控制器，使用户可以在无法确保物理安全性的位置中，轻松部署域控制器。

RODC承载Active Directory服务数据库的只读分区。

在可读写域控制器上执行的所有修改，将被自动复制到只读域控制器中保存。

RODC仅支持从可读写域控制器到RODC的单项数据复制，可读写域控制器不会从RODC主动"拉"数据，RODC可以缓存授权的目标组和用户的密码。

1. RODC的优点RODC虽然是一个只读的域控制器，但本质上还是域控制器，具备域控制器的功能和优点，同时具有以下特点。

只读Active Directory数据库。

RODC上包含所有域对象和属性，与可读写域控制器不同的是，只能读取可读写域控制器中的数据，无法对RODC的Active Directory数据库进行更改。

RODC默认情况下，RODC中不存储账户的密码。

在不能保证域控制器安全性的情况下，可以通过RODC保证分支机构域安全性。

单向复制。

可读写域控制器之间的复制是双向的，而RODC和可读写域控制器之间的复制是单向的，RODC通过分布式文件系统（DFS）从可读写域控制器复制数据。

密码缓存。

默认情况下，RODC上只存储本地的计算机账户和一个用于RODC特殊的Kerberos票据授权（KRBTGT）账户，此账户被可读写域控制器用来验证RODC身份。

在可读写域控制器上启用密码缓存功能，即可在RODC上缓存所有域用户账户。

如果在RODC上启用密码缓存，只会影响缓存到本地计算机和用户账户。

只读DNS。

在RODC上可以安装DNS服务，RODC可以复制DNS使用的所有应用程序目录分区中的数据，包括ForestDNSZones和DomainDNSZones，支持客户端请求RODC进行名称解析。

在RODC上的DNS不支持客户端直接更新DNS记录，因此RODC不会在其拥有的活动目录集成区域内注册任何NS（Name Server）记录。

域升级与在现有域环境中安装域控制器若现有网络环境为windows server 2003林，要将windows server 2008域控制加入到此环境，以下是可能的情况：将现有的windows server 2003林升级。

在现有的windows server 2003林中添加一个windows server 2008域。

在现有的windows server 2003林中添加一台windows server 2008域控制器。

1、将现有windows server 2003林升级：通过将windows server 2003域控制器升级为windows server 2008域控器的方式，来将域升级为windows server 2008域，但是必须事先在windows server 2003域内执行准备工作，否则在升级时会出现下图所示的错误，而且无法继续执行升级的工作。

（本文是以升级安装windows server 2008 R2为例）推荐步骤：1）找出林内的架构主机与每一个域内的结构主机，林内第1台域控制器默认就是该林的架构主机，而域内第1台域控制器默认就是该域的结构主机，你可以使用以下方法找出这两台主机。

架构主机：先在运行中输个”regsvr32 schmmgmt.dll”，单击确定。

然后在运行中输入MMC，在MMC控制台中添加“Active Directory架构”，右击Active Directory架构，选择“操作主机”，从图中可知目前扮演架构主机的域控制器是哪台主机了。

结构主机：在管理工具中打开“Active Directory用户和计算机”，右击域名，选择“操作主机”在打开的窗口中选择“结构”标签，从图中可以知道结构主机是哪台主机了。

2）建议先通过备份工具（如ntbackup）来备份硬盘数据，包括系统状态数据。

3）到架构主机上使用enterprise admins或schema admins的成员登录。

ADDS概述统一管理用户、计算机、网络资源授权（Authorization）ADDS 由物理组件和逻辑组件物理组件：1、数据存储：NTDS.DITA、AD数据库：AD对象B、日志文件：ADDB改变数据C、S/SVOL文件夹：组策略相关的数据2、域控制器3、全局编录服务器（GC）：提供信息资源的查找，GC数据库存储在DC中4、只读域控制器（RODC）：DC不一定是GC，但是GC一定是DCExchange中的通讯簿是从GC中来a)只读不可写b)只做入站复制，不做出战复制c)只能在2008和2008 R2中实现d)域功能级别必须在2003或者以上才能实施RODCe)认证缓存f)RODC不做任何用户名和密码的身份验证但是通过认证缓存保存用户信息到RODC中g)角色分离逻辑组件：1、分区2、架构：ADSI编辑器3、域4、域树由一个或多个域组成5、林6、站点进行数据库的复制7、组织单元（OUS）应用组策略AD架构：在一个林中架构是唯一的AD是一种网络架构，来进行统一管理，和工作组对立A域信任B域1.B可以访问A资源2.A是信任域，B是受信任域3.A是资源域，B是账户域4.A传出信任，B传入信任5.A外传，B内传信任的传递性（只能从上到下）信任的类型：1、父子信任2、林信任3、根域信任4、快捷方式信任5、外部信任6、领域信任（和非Windows系统之间的信任）UPN就是电子邮件账户在林中是唯一的站点：一、域控制器安装方法：1.在服务器管理器上面添加角色ADDS————〉运行dcpromo2.直接在开始运行里面输入dcpromo有标准模式和高级模式（创建子域、额外域控、第二个域树时使用dcpromo /adv）两种模式二、应答文件Cmd——〉dcpromo /unattend：”C:\应答文件”三、验证安装1、services2、检查DNS3、事件查看器4、DCdiag /v5、net share查看netlogon和sysvol有没有共享备份ADDS数据库信息1、netsutil2、activate instance ntds3、ifm4、create full（RODC）C：\NDTS离线加域命令：DJOIN条件：1、必须是ws2008R2的DC+win7的Client2、创建的计算机名称和即将要加域的计算机名称必须一致修改域控的计算机名称Netdom来实现修改域控制器的计算机名称dom computername （oldname）/add：newnamedom computername （oldname）/makeprimary：newname3.重启域控dom computername （newname）/remove：oldname5.做相关DNS名称的修改RODC的安装方式有2种1、委派安装----创建预安装RODC，然后再server执行安装在cmd中运行dcpromo.Exe /UseExistingAccount：attach2、直接在server上安装创建子域创建林中第二个域树为这个域树选择适当的DNS架构1、能够通过DNS找到林中的域命名主机2、不同的DNSA、使用条件转发B、辅助区域作用：保证让一个域内的用户和计算机能够找到另外一个域内的用户和计算机（包括DC）创建林中的第二个域树，一定得是用高级安装创建模式Dcpromo /adv修改GC是在ADDS的站点和服务中修改2008 R2中有活动目录管理中心Client来管理ADUC操作主机一共有五种：林级别：架构主机域命名主机架构主机和域命名主机每个林内只有一台域级别：PDC模拟器RID主机基础结构主机PDC主DCBDC辅DCFSMO操作主机操作主机Netdom query fsmo架构主机（Schema）Regsvr32 schmmgmt.dll——〉MMC——〉添加删除管理单元——〉添加AD架构、域命名主机作用：添加删除域查找域命名主机：右键AD域和信任关系——〉域命名主机RID主机颁发RID主机给域内所有DC查找RID主机：管理工具——〉活动目录——〉ADUC——〉右键域名操作主机——〉RID主机PDC仿真器主机为2000之前的旧客户机更新密码最小化用户的密码跟新延迟同步域中域控制器的时间基础结构主机角色查找：管理工具——〉活动目录——〉ADUC——〉右键域名操作主机——〉基础结构主机转移DC角色有两种方式：1、图形化界面2、命令行界面传送角色Ntdsutil——〉roles——〉connections——〉connections to server ——〉quit ——〉transfer夺取角色：命令行：Ntdsutil——〉roles——〉connections——〉connections to server ——〉quit ——〉Seize PDC如何将WS2003的DC迁移到WS2008R21、备份系统NTbackup2、考虑应用服务3、功能级别要2003或者以上4、扩展AD架构成为2008R2（需要插入WS2008R2的光盘）5、扩展步骤：1）cmd命令进入光盘的盘符然后cd \support\adprep然后运行adprep /forestprep（准备林）如果win2003是32位系统运行adprep32 /forestprep2）之后按C+Enter继续3）adprep /domainprep（准备域）《如果2003是32位系统则adprep后都要加32》4）adprep /rodcprep（准备RODC）6、将WS2008R2的工作组计算机变成额外域控运行dcpromo7、等待2台DC的所有信息都同步8、角色转移（将2003DC的角色转移到2008R2上）——〉将2008R2的域控变成主域控9、微软建议最好保证03DC和08R2DC一起运行一个月左右的时间10、将2003DC降级—dcpromoDcpromo /forceremoval 强制降级11、修改DNS1）DNS地址保留原有的2）DNS地址使用最新的配置域名服务支持活动目录服务LADP是对象信息查找ADDS对象的类型1、用户账户2、计算机账户3、组账户4、InetOrgPerson5、组织单位6、打印机7、共享文件夹用户登录域计算机的方式：1、UPN登录，整个林内这个名称是唯一的。

安装域控制器的过程就是安装Active Directory 的过程。

删除域控制器的过程就是删除Active Directory 的过程。

操作要点：“开始| 管理工具| 配置您的服务器向导”，在“服务器角色”中选择“域控制器(Active Directory)”，如果该计算机不是域控制器，则启动“Active Directory 安装向导”后会安装域控制器；如果该计算机已经是域控制器，则会删除域控制器。

操作详解：一、安装域控制器的条件：1、已安装了Windows Server 2003 操作系统；2、服务器上至少要有一个NTFS 分区；3、一个DNS 域名；如果网络中有多个域，各个域名不能重复；4、一个DNS 服务器；负责域名的解析，用于定位域控制器的位置，多个域控制器可共用一个DNS 服务器。

二、域规划：建立域控制器时应该先进行规划，明确该域控制器所管理的域，还需要明确各域之间的关系，这样才不会造成混乱。

在安装活动目录过程中，有两步的选择最重要，如下图：在建立域控制器时，有以下几种情形：1、建立网络中的第一个域选项1：新域的域控制器；选项2：在新林中的域。

2、建立现有域的一个子域选项1：新域的域控制器；选项2：在现有域树中的子域。

这种方式建立的域与现有的某个域自动建立“父子”信任关系。

该域的域名与它的父域必须是邻接的。

3、在现有域林中建立一个新的域树选项1：新域的域控制器；选项2：在现有林中的域树。

这种方式建立的域与现有的某个域树的根域自动建立“树根”信任关系。

该域也成为一棵新域树的根域。

4、在现有域中添加额外的域控制器选项1：现有域的额外域控制器。

这种方式建立的域控制器与该域中已有的域控制器是平等的，当一个域控制器的内容发生变化时，它会自动复制到其它域控制器上。

值得注意的是，如果在额外域控制器上有本地帐户，这些帐户将全部被删除，该域控制器的帐户将和已有的域控制器上的帐户相同。

5、与现有域完全无关的新域选项1：新域的域控制器；选项2：在新林中的域。

引用：/zh-cn/library/cc770370(WS.10).aspxWindows Server 2003 域RODC 放置的考虑事项更新时间: 2009年5月应用到: Windows Server 2008RODC 必须从运行 Windows Server 2008 的域控制器复制域数据。

因此，对于决定将 RODC 放置在哪里，复制是其中最重要的考虑事项。

本部分提供有关将 RODC 放置到站点（在该站点中它们可以保持必要的复制连接）中的指南。

然后讨论除了与客户端操作系统有关的考虑事项之外需要记住的有关RODC 放置的其他要点。

在本指南中Active Directory 复制注意事项其他 RODC 放置注意事项Active Directory 复制注意事项更新时间: 2009年5月应用到: Windows Server 2008运行 Windows Server 2008 的域控制器可以复制下表中列出的 Active Directory 数据库分区。

尽管 RODC 可以从运行Windows Server 2003 的域控制器复制数据，但是它只能从同一域中运行Windows Server 2008 的域控制器复制域分区的更新。

RODC 不能作为任何其他域控制器的源域控制器，因为它们不能执行出站复制。

应用程序目录分区包括ForestDNSZones和DomainDNSZones。

运行 Windows Server 2008 的可写域控制器和运行 Windows Server 2003 的域控制器可以执行所有可用分区的入站和出站复制。

因此，它们不需要考虑RODC所需考虑的位置相同的注意事项。

由于 RODC 只能从运行Windows Server 2008 的可写域控制器复制域分区，因此每个域控制器的放置都十分重要并且需要认真计划。

RODC 和运行Windows Server 2008 的可写域控制器的放置可能会受到站点拓扑和网络约束的影响。

部署只读域控制器（RODC）一、简介只读域控制器是Windows Server 2008系统中的一种新类型的域控制器，借助RODC，企业可以在物理安全性无法得到保障的地方部署域控制器。

在RODC上保存了一份AD DS的只读分区。

RODC主要设计用于部署在远程或分支机构环境中。

二、 RODC的作用RODC提供了一种在要求快速、可靠的身份验证服务但不能确保可写域控制器物理安全性的位置更安全地部署域控制器的方法；某些应用程序只能安装在域控制器上，应用程序使用者经常需要以交互方式登录到域控制器对应用程序进行配置和管理，这会增加域控制器的安全风险，而部署RODC，就可以增加这方面的安全性。

三、注意事项RODC不能担任操作主机角色，也不能作为复制拓扑中的桥头堡服务器；可以在Windows Server 2008 Server Core上部署RODC以提高安全性；如果要部署RODC，在域中至少要有一台运行Windows Server 2008的可写域控制器；如果要部署RODC，域功能级别和林功能级别都必须是Windows Server 2003或更高版本；四、 RODC提供的新特性只读AD DS数据库RODC上保存了可写域控制器上除帐号密码外的所有对象和属性的只读副本，所有对AD DS 数据库的更改都只能在可写域控制器上进行，然后再复制给RODC;需要对目录进行读取的应用程序可以获取访问权限。

请求写入访问的轻型目录应用程序协议（LDAP）应用程序将接收LDAP引用响应，该响应将其定向到可写域控制器。

单向复制因为任何AD数据库的更改都不会写入RODC，所以可写域控制器就不需要从RODC上复制任何信息。

RODC只执行正常的入站复制。

凭据缓存默认情况下，RODC上除了RODC的计算机帐户和特殊账户krbtgt之外，不存储用户或计算机凭据。

但可以设置密码复制策略将部分用户凭据和计算机凭据从可写域控制器复制到RODC并在RODC上缓存起来，从而直接服务登录请求。

一、RODC的特征l只读数据：RODC上包含所有ADDS的对象和属性，但是和可读写的DC不一样的是，默认情况下，RODC上不包含账户的密码。

在不能保证域控制器的安全性的情况下（例如分支机构），我们通过RODC实现域信息的安全性。

在分支机构如果有LDAP的应用程序需要访问活动目录并对活动目录对象作修改，则该LDAP应用程序可以重定向到中央站点的可读写DC上。

l单向复制：RODC对ADDS和DFS执行的常规的入站复制。

因为您不能直接在RODC上进行写的操作，所以RODC是不支持出站复制的，所以作为RODC复制伙伴的可读写DC是不会从RODC接收到数据的。

RODC的单向复制也同样应用到DFS复制。

l凭据缓存:在RODC上存储用户和计算机的凭据称之为credential caching（凭据缓存）。

默认情况下，RODC上只存储它自己的计算机账户和一个用于这台RODC的特殊的Kerberos 票据授权票(KRBTGT)账户，此账户是被可读写DC用来验证RODC身份的。

如果您需要在RODC上存储用户凭据或者计算机凭据的话，你需要在RODC上允许这些凭据被缓存。

如果您在RODC上激活了凭据缓存，它只会影响组织中计算机和与用户账户的比较小的子集，这是因为RODC一般是总是放置在比较小的分支机构，所以您允许凭据缓存的计算机和用户账户应该都不多。

这样即使您的RODC被偷了，您只会丢失那些缓存在RODC上的凭据。

其实在后面会说到，在RODC被偷走之后，您可以马上在可读写DC上将RODC的计算机账户删除，在删除时可以对缓存在该RODC上的凭据进行密码重设，这样丢失掉的这些凭据就没有任何作用了。

l只读DNS:您可以在RODC上安装DNS服务。

RODC可以复制DNS所使用的所有应用程序目录分区（Application Directory Partition），包括ForestDNSZones和DomainDNSZones。

部署只读域控制器（RODC）一、简介只读域控制器是Windows Server 2008系统中的一种新类型的域控制器，借助RODC，企业可以在物理安全性无法得到保障的地方部署域控制器。

在RODC上保存了一份AD DS 的只读分区。

RODC主要设计用于部署在远程或分支机构环境中。

二、RODC的作用RODC提供了一种在要求快速、可靠的身份验证服务但不能确保可写域控制器物理安全性的位置更安全地部署域控制器的方法；某些应用程序只能安装在域控制器上，应用程序使用者经常需要以交互方式登录到域控制器对应用程序进行配置和管理，这会增加域控制器的安全风险，而部署RODC，就可以增加这方面的安全性。

三、注意事项RODC不能担任操作主机角色，也不能作为复制拓扑中的桥头堡服务器；可以在Windows Server 2008 Server Core上部署RODC以提高安全性；如果要部署RODC，在域中至少要有一台运行Windows Server 2008的可写域控制器；如果要部署RODC，域功能级别和林功能级别都必须是Windows Server 2003或更高版本；四、RODC提供的新特性只读AD DS数据库RODC上保存了可写域控制器上除帐号密码外的所有对象和属性的只读副本，所有对AD DS数据库的更改都只能在可写域控制器上进行，然后再复制给RODC;需要对目录进行读取的应用程序可以获取访问权限。

请求写入访问的轻型目录应用程序协议（LDAP）应用程序将接收LDAP引用响应，该响应将其定向到可写域控制器。

单向复制因为任何AD数据库的更改都不会写入RODC，所以可写域控制器就不需要从RODC 上复制任何信息。

RODC只执行正常的入站复制。

凭据缓存默认情况下，RODC上除了RODC的计算机帐户和特殊账户krbtgt之外，不存储用户或计算机凭据。

但可以设置密码复制策略将部分用户凭据和计算机凭据从可写域控制器复制到RODC并在RODC上缓存起来，从而直接服务登录请求。

活动目录在Win 2008改进只读域控制器只读域控制器(RODC)是在Windows Server 2008操作系统中一种新的域控制器。

有了只读域控制器，组织能够容易地的物理安全得不到保证的地区部署域控制器。

一台RODC包含了活动目录数据库的只读部分。

在Windows Server 2008发布以前，如果用户不得不跨广域网连接域控制器进行身份验证的话，那也就没有其它更好的选择。

在许多案例中，这不是有效的解决方法。

分支机构通常无法为一台可写的域控制器提供的足够的物理安全。

而且，当分支机构连接到枢纽站点时，它们的网络带宽通常比较差。

这将导致登录时间变长。

这也会阻碍网络资源的访问。

从Windows Server 2008开始，组织能够部署RODC来处理这些问题。

作为部署的结果，用户能够获得以下好处：●改进的安全性●快速登录●更有效的访问网络资源RODC可以做什么?在考虑部署RODC时，物理安全的不足是最为寻常的理由。

RODC给那些需要快速可靠的身份验证，同时对可写域控制器而言物理安全无法得到确保的地方部署域控制器提供了新的方法。

然而你的组织也可以为了特殊的管理需要选择部署RODC。

比如，业务程序(line-of-business，LOB)只能被安装到域控制器上并才能得以成功运行。

或者，域控制器是分支机构仅有的服务器，而不得不运行服务器应用。

在这些例子中，业务程序所有者必须经常交互式登录到域控制器或者使用终端服务来配置和管理程序。

这种环境引起了在可写域控制器上不被接受的安全风险。

RODC为在这些场景中部署域控制器提供了更安全的机械结构。

你能够将登录到RODC的权利转让给没有管理权限的域用户同时最小化给互动目录森林带来的安全风险。

你也可以在其它场景中部署RODC，比如在外延网(EXTRANETS)中本地储存的所有域密码被认为是主要威胁。

还有其它要特别考虑的吗?为了部署RODC，域中必须至少有一台运行Windows Server 2008的可写域控制器。