我目前正在运行一个包含RWDC,RODC和客户端PC的实验室。 两个域控制器都在运行W2K8 R2。
RODC目前用作LAN路由器,VPN服务器,IIS服务器和证书颁发机构。 RWDC只运行ADDS。 我遇到的问题是,尽pipe第二个域控制器是RODC,但我仍然可以通过RODC上的“Active Directory用户和计算机”创build用户帐户。
我用来创build这些用户的帐户是域pipe理员帐户。 我在网上读到,我仍然可以创buildAD对象的事实与DNS转介系统有关。 不知道这是什么,或意味。
任何人都可以点亮一些情况?
您可以在RODC上打开AD用户和计算机,它仍然会被指向可写的域控制器…并且您可以远程创build用户帐户。
查看ADUC左侧窗格的顶部,它应该告诉您目前使用ADUC控制台的目标DC。
如果您仍然相信您正在RODC上创build帐户,那么您并没有创buildRODC。 您真的不能在RODC上创build用户帐户。
RODC的两大安全优势:
细粒度的密码复制策略。 并不是域的所有用户都应该将其密码存储在RODC上。 这个想法是,如果有人妥协,甚至将RODC移出办公室,他们将无法访问您的域名的所有密码。 只有你控制的一个子集。
您可以创build一个RODC的本地pipe理员,而不必让他们成为域pipe理员。 鉴于使用正常的可写DC,DC的pipe理员必须是域pipe理员。 如果要将机器的pipe理任务(例如备份,修补等)委派给远程分支机构的技术人员,您不一定希望成为域pipe理员,这非常方便。
实际上,您的问题可能是您没有连接到您的VM Ware RODCtesting服务器。 对象仍然被添加,因为你仍然连接到可写DC。 观看下面的video,直接进入23分钟的标记…
https://www.youtube.com/watch?v=2WIonSq88d8
(这解决了我的问题)