Назад | Перейти на главную страницу

Создание пользователей на RODC

В настоящее время у меня работает лаборатория, содержащая RWDC, RODC и клиентский компьютер. Оба контроллера домена работают под управлением W2K8 R2.

В настоящее время RODC функционирует как Маршрутизатор LAN, сервер VPN, сервер IIS и сертификат Власть. RWDC работает только с ADDS. Проблема, с которой я столкнулся, заключается в том, что, хотя второй контроллер домена является RODC, я все еще могу создавать учетные записи пользователей через "Пользователи и компьютеры Active Directory" на контроллере домена только для чтения.

Учетная запись, которую я использую для создания этих пользователей, - это учетная запись администратора домена. Я читал в Интернете, что тот факт, что я все еще могу создавать объекты AD, связан с системой ссылок DNS. Не уверен, что это значит или означает.

Может ли кто-нибудь пролить свет на ситуацию?

Вы можете открыть AD Users and Computers на RODC, и он по-прежнему будет указывать на доступный для записи контроллер домена ... и вы можете создавать учетные записи пользователей удаленно.

Посмотрите на верхнюю часть левой панели в ADUC, и вы увидите, на какой DC вы в настоящее время нацеливаетесь с помощью консоли ADUC.

Если вы все еще уверены, что создаете учетные записи на RODC, значит, вы не создавали RODC. Вы действительно не можете создавать учетные записи пользователей на RODC.

Два основных преимущества безопасности RODC:

  1. Тонкая политика репликации паролей. Не все пользователи домена должны хранить свои пароли на контроллере домена только для чтения. Идея состоит в том, что если кто-то скомпрометирует или даже физически выведет RODC из офиса, у них не будет доступа к все пароли вашего домена. Только подмножество, которое вы контролируете.

  2. Вы можете назначить локальным администратором RODC, не делая их также администратором домена. Принимая во внимание, что с обычным DC с возможностью записи, администраторы DC должны быть администраторами домена. Это удобно, когда вы хотите делегировать административные задачи машины, такие как резервное копирование, установка исправлений и т. Д., Техническому специалисту в удаленном филиале, который не обязательно должен быть администратором домена.

На самом деле ваша проблема могла заключаться в том, что вы не были подключены к вашему тест-серверу RODC VM Ware. Объекты все еще добавлялись, потому что вы все еще были подключены к DC с возможностью записи. Посмотрите следующее видео и сразу перейдите к отметке 23 минуты ...

https://www.youtube.com/watch?v=2WIonSq88d8

(это решило мою проблему)

  • Грег П.