只讀域控制器RODC的一些知識點(diǎn)

RODC對于小型的分支機(jī)構(gòu)有莫大的使用價值，合理的使用可以減少網(wǎng)絡(luò)流量（如果rodc同時兼任GC的作用的話，復(fù)制會占用流量，但依然建議指派為GC），提高客戶端登陸速度和解析速度（如果集成 DNS的話。強(qiáng)烈建議集成）.

下面簡單的梳理下知識點(diǎn)：

1. 默認(rèn)沒有密碼在RODC上緩存。（可以指派）
   

2. 如果域中用戶沒有在遠(yuǎn)程位置登陸，那么用戶的密碼不會存儲在RODC中。（已經(jīng)指派的前提下）

3. denied rodc password replication 和 allow rodc password replication 這兩個默認(rèn)的組一旦添加用戶或者組將對整個域內(nèi)的全部的RODC生效，也就是說會復(fù)制到所有的RODC中去且拒絕有優(yōu)先權(quán)。

4. 如果不指派為GC，為了正常的用戶驗證，需要啟用 通用組成員身份緩存。

   

5. 指派某一些用戶計算機(jī)組的密碼緩存策略

   

   打開ACTIVE DIRECTORY用戶和計算機(jī)找到DOMAIN CONTROLLER OU 雙擊RODC，切換到  密碼復(fù)制策略，點(diǎn)擊 添加 按鈕，出來如上圖添加還是拒絕對話框進(jìn)行添加，如圖已經(jīng)添加信息部為允許密碼緩存。

   這種方式添加的允許拒絕列表只針對于某一臺只讀域控制器，而不是全部的RODC.
   

6.預(yù)設(shè)密碼

預(yù)設(shè)密碼的意思是將用戶或者計算機(jī)的密碼強(qiáng)制緩存到RODC中，這樣即使斷開了與可寫域控制器的聯(lián)系也能正常的驗證身份。

前提條件：用戶和計算機(jī)必須已經(jīng)加入允許列表，如上圖所示。

打開RODC屬性對話框 在 密碼復(fù)制策略中點(diǎn)擊 高級 在彈出的對話框中選擇  預(yù)設(shè)密碼 添加用戶和計算機(jī)，如圖已經(jīng)添加了一臺計算機(jī)和一名用戶