Запуск домена контроллера только для чтения Windows Server 2008
Одним из самых заманчивых нововведений в Windows Server 2008 стал контроллер домена только для чтения (Read-Only Domain Controller, RODC). RODC — это контроллер домена, развёрнутый после традиционного контроллера, который содержит схему, конфигурацию, домен, раздел каталога приложений и частичный набор атрибутов схем баз данных Active Directory в режиме доступа только для чтения.
Предназначения RODC: обработка входящих запросов с удалённых сайтов, решение проблемных ситуаций в небезопасной среде, устранение причин некачественной связи с главными сайтами и другие сценарии, при которых требуется наличие контроллера домена.
Планирование ввода в эксплуатацию RODC
Есть два ключевых момента внедрения RODC. Во-первых, необходимо решить, будет ли произведена установка ядра на операционную систему RODC, а во-вторых, продумать политику репликации кэширования паролей для RODC. Политика определяет, каким пользователям и объектам разрешено кэшировать свои пароли локально на контроллере домена.
RODC разработан таким образом, что только локальные пользователи и компьютеры офиса филиала с ненадёжным соединением узлов сети могут кэшировать пароли на RODC.
Другой вариант конфигурации допускает возможность запрещать отдельным группам (например, группе администраторов домена) или учётным записям с повышенными привилегиями кэширование своих паролей на RODC. В других статьях дана дополнительная информация о политиках репликации паролей при помощи RODC.
