У меня сайт с ужасной физической безопасностью и ужасным сетевым подключением. Поэтому мне нужен контроллер домена на месте (на случай, если сетевое соединение обрывается), но он также должен быть контроллером домена только для чтения по соображениям безопасности.
Машины в этом офисе имеют доступ к другим контроллерам домена чтения и записи в других частях сети. Их не блокирует брандмауэр. Я просто не хочу, чтобы кто-то мог подключить клавиатуру / мышь к нашему контроллеру домена на сайте и что-то менять.
При добавлении новых машин в домен на этом сайте нужно ли мне следить за процессом создания объекта компьютера в AD, а затем выполнять автономное присоединение к домену (https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd392267(v=ws.10))? Или я могу каким-то образом заставить машины, которые в настоящее время не являются частью домена, перейти на RWDC (настроенный на другом сайте AD) для добавления в домен обычным способом?
К сожалению, похоже, вам придется создать учетную запись компьютера, а затем реплицировать ее через свой домен AD, как то, что вы уже нашли:
Я нашел этот сценарий, который утверждает, что он тоже может это делать:
https://gallery.technet.microsoft.com/Domain-Join-through-an-9a010eb5
Большинство скриптов, которые я нахожу в галерее TechNet, работают как чемпион. Однако, поскольку у меня нет RODC, я, к сожалению, не могу протестировать. Возможно, существует способ перенаправить его на другой DC, принадлежащий другому сайту, но если у вас есть строгое соблюдение требований безопасности, это может быть плохо.
редактировать
Если бы вы собирались попытаться указать его на другой DC, я думаю, это было бы так же просто, как настроить DNS клиентов так, чтобы он указывал на RWDC. Затем либо через DHCP, либо вручную сбросьте настройки IP, особенно DNS, на RODC. Но опять же, если у вас есть согласие, вы должны выполнить это требование, это может вызвать неодобрение.