只读域控制器(rodc)部署
RODC 承载 Active Directory域服务 (AD DS) 数据库的只读分区,也就是说用户或者应用程序无法直接修改RODC的AD DS数据库,组织可以在无法保证物理安全性的位置中轻松部署域控制器。
设计 RODC 主要是为了在分支机构环境中部署。分支机构通常用户相对较少,物理安全性差,连接中线站点的网络带宽也相对较低,并且缺乏本地 IT 知识。
部署额外域控制器其他步骤与第一篇《Windows Server 2016部署第一台Active Drectory域控制器》相同,
首先添加完“Active Directory域服务”后点击“将此服务器提升为域控制器”。
选择"将域控制器添加到现有域",输入第一台域控制器配置的域名“test.local”,点击更改输入有权利添加域控制的账号与密码,完成后单机下一步。
在域控制器选型页面勾选”只读域控制器(RODC)(R),并输入目录还原模式密码,单击下一步继续
RODC选项页面,在“允许将密码复制到RODC的账户下”决定了凭据是否可以从可写域控制器复制到RODC。如果策略允许,那么可写域控制器将密码复制到RODC上,并且RODC缓存这些凭据,这一步保持默认点击下一步。
指定从哪个域控制器复制,这里保持默认点击下一步。
指定AD DS数据库、日志文件和susvol的位置,这里保持默认点击下一步。
查看选项,检查之前的配置,有问题的话可以点击上一步进行修改,检查无误后点击下一步。
先决条件检查通过后单机“安装”,安装完成后将自动重新启动服务器。重启完成后RODC只读域控制器创建完成。
查看Active Directory用户和计算机下Domain Controllers有关RODC的DC类型为"只读,GC",只读域控制器创建完成。
在我们创建完RODC后迫不及待地去测试是否已经不能新建\更改域账号属性后发现神奇的创建用户成功了,那是因为还需要更改域控制器为rodc.
打开Active Directory用户和计算机管理器,右键“Active Directory用户和计算机”选择"更改域控制器":
此时选择此域控制器或AD LDS实例 为配置的RODC,点击确定。
提醒选定只读域控制器,这里默认选择"确定"
此时我们发现快捷菜单栏有关新建用户、新建组、新建组织单位等都是灰色无法点击
