**只读域控制器**(Read-Only Domain Controller,RODC)的AD DS数据库只可以被读取,不可以被修改,也就是说用户或应用程序无法直接修改RODC的AD DS数据库。RODC的AD DS数据库内容只能够从其他**可读写的域控制器**复制过来。RODC主要是设计给远程分公司网络来使用的,因为一般来说远程分公司的网络规模比较小、用户人数比较少,此网络的安全措施或许并不如总公司完备,也可能缺乏IT技术人员,因此采用RODC可避免因其AD DS数据库被破坏而影响到整个AD DS环境。
- RODC 的 AD DS 数据库内容
除了账户的密码之外,RODC的AD DS数据库内会存储AD DS域内所有对象与属性。远程分公司内的应用程序要读取到AD DS数据库内的对象时,可以通过RODC来快速获取。不过因为RODC并不存储用户账户密码,因此它在验证用户名称与密码时,仍然需将它们送到总公司的可写域控制器来验证。
由于RODC的AD DS数据库是只读的,因此远程分公司的应用程序如果要修改AD DS数据库的对象或用户要修改密码,这些变更请求都会被转发到总公司的可写域控制器来处理,总公司的可写域控制器再通过AD DS数据库的复制程序将这些变动数据复制到RODC。
- 单向复制(Unidirectional Replication)
总公司的可写域控制器的AD DS数据库有变动时,此变动数据会被复制到RODC。然而因为用户或应用程序无法直接修改RODC的AD DS数据库,故总公司的可写域控制器不会向RODC索取变动数据,因而可以降低网络的负担。
除此之外,可写域控制器通过DFS分布式文件系统将SYSVOL文件夹(用来存储与组策略有关等的设置)复制给RODC时,也采用单向复制。
- 认证缓存(Credential caching)
RODC在验证用户的密码时,仍然需要将它们送到总公司的可写域控制器来验证,若希望提高验证速度,可以选择将用户的密码存储到RODC的认证缓存区,您需要通过密码复制策略(Password Replication Policy)来选择可以被RODC缓存的账户。建议不要缓存太多账户,因为分公司的安全措施可能比较差,若RODC被入侵,则存储在缓存内的认证信息可能会外泄。
- 系统管理员角色隔离(Administrator Role Separation)
您可以通过系统管理角色隔离功能来将任何一位域用户指定为RODC的本机系统管理员,他可以在RODC这台域控制器上登录并执行管理工作,例如更新驱动程序等,但他却无法登录其他域控制器,也无法执行其他域管理工作。此功能让您可以将RODC的一般管理工作分配给用户,但却不会危害到域安全。
- 只读域名系统(Read-Only Domain Name System)
您可以在RODC上架设DNS服务器,RODC会复制DNS服务器的所有应用程序目录分区。客户端可向此台扮演RODC角色的DNS服务器提供DNS查询要求。
不过RODC的DNS服务器不支持客户端动态更新,因此客户端的更新记录请求,会被此DNS服务器转发到其他DNS服务器,让客户端转向该DNS服务器进行更新,而RODC的DNS服务器也会自动从这台DNS服务器复制该更新记录。
若有收获,就点个赞吧
0 人点赞
