Назад | Перейти на главную страницу

Развертывание RODC

Полезно ли повышать безопасность, внедряя RODC на том же сайте, который также существует? Указывая пользователю сайта RODC вместо RWDC.

Спасибо.

Я бы не стал рассматривать реализацию контроллера домена только для чтения на том же сайте только для того, чтобы пользователи в основном получали доступ к контроллеру домена только для чтения, поскольку все операции записи будут просто отправляться на RWDC. Из того, что я читал, его лучше всего использовать, когда:

  • Контроллер домена развернут где-то физически небезопасно. (например, на ПК в корпусе Tower под столом в филиале.)
  • Пользователи, не являющиеся ИТ-специалистами, будут иметь доступ терминальных служб к DC (надеюсь, по очень уважительной причине ...)

Менее распространенное, но все же полезное развертывание - это когда у вас есть серверы приложений, расположенные в DMZ, которым требуется доступ для чтения к вашим внутренним службам Active Directory. Существует несколько различных моделей безопасности, но одна из них предполагает расширение вашего леса в демилитаризованную зону путем размещения там контроллера домена только для чтения.

Видеть: Доменные службы Active Directory в сети периметра

Да, это полезно ... наличие RODC на том же сайте полезно, когда вам нужно отключить RWDC для обслуживания.

Размещение RWDC на сайте с RODC делает функции безопасности RODC бесполезными. Пожалуйста прочтите это: https://technet.microsoft.com/en-us/library/ee522995(v=ws.10).aspx#bkmk_placinganrwdcinasitewithanrodc