В. Что собой представляет контроллер домена, доступный только для чтения (RODC)?

О.

  • База данных AD Domain Services (AD DS) только для чтения. Приложения, которым нужен доступ только для чтения базы данных, могут использовать RODC; но все изменения необходимо выполнять на DC с возможностью чтения и записи (RWDC), а затем реплицировать на RODC.
  • Односторонняя репликация. Из RODC нельзя распространить ложные данные по остальному домену, даже если изменение сделано на RODC. Таким образом снижается опасность атаки против всей системы и сложность структуры репликации.
  • Конфигурация с набором фильтрованных атрибутов. Набор фильтрованных атрибутов не реплицируется ни на один RODC в лесе. Если RODC скомпрометирован и набор изменен, то в отличие от Windows Server 2003 DC, Server 2008 RWDC не реплицирует значения. Если возможно, лучше установить функциональный уровень леса Server 2008, запретив использование серверов Server 2003 в лесе, где они могут испортить данные. Кроме того, важно отметить, что нельзя добавлять критические системные атрибуты в набор фильтрованных атрибутов RODC.
  • Ограниченное кэширование учетных данных. RODC не хранит учетные данные пользователя или компьютера (за исключением учетной записи компьютера RODC). Получая запрос проверки подлинности, RODC передает его в RWDC. Затем RODC запрашивает копию учетных данных, чтобы в будущем самостоятельно обслуживать запрос. Если политика репликации пароля допускает кэширование учетных данных, то они будут записаны в кэш, и RODC сможет обслуживать запросы на регистрацию (пока учетные данные не изменятся).
  • Отделение возможностей администратора. RODC может назначать пользователей администраторами сервера, не предоставляя им прав в домене или на других DC.
  • DNS только для чтения. RODC DNS не позволяет обновлять клиентов и не регистрирует записи ресурсов имени службы.
  • Двухэтапная установка RODC. Первый этап установки выполняется администратором с учетными данными. Он создает учетную запись AD DS для RODC со всей информацией распределенной базы данных AD, в том числе именем учетной записи DC и местонахождением сайта. Затем администратор может указать пользователей и группы, которые могут выполнить второй этап установки, обычно удаленно. На втором этапе AD DS устанавливается на RODC, и учетная запись AD DS привязывается к серверу.

RODC может реплицировать данные только с Windows Server 2008 RWDC, поэтому репликация из контроллеров домена Windows Server 2003 и других Windows Server 2008 RODC невозможна.