Windows Server 2016部署只讀域控制器（RODC）

只讀域控制器（rodc)部署

RODC 承載 Active Directory域服務(wù) (AD DS) 數(shù)據(jù)庫(kù)的只讀分區(qū)，也就是說(shuō)用戶或者應(yīng)用程序無(wú)法直接修改RODC的AD DS數(shù)據(jù)庫(kù)，組織可以在無(wú)法保證物理安全性的位置中輕松部署域控制器。

設(shè)計(jì) RODC 主要是為了在分支機(jī)構(gòu)環(huán)境中部署。分支機(jī)構(gòu)通常用戶相對(duì)較少，物理安全性差，連接中線站點(diǎn)的網(wǎng)絡(luò)帶寬也相對(duì)較低，并且缺乏本地 IT 知識(shí)。

部署額外域控制器其他步驟與第一篇《Windows Server 2016部署第一臺(tái)Active Drectory域控制器》相同，

首先添加完“Active Directory域服務(wù)”后點(diǎn)擊“將此服務(wù)器提升為域控制器”。

選擇"將域控制器添加到現(xiàn)有域"，輸入第一臺(tái)域控制器配置的域名“test.local”，點(diǎn)擊更改輸入有權(quán)利添加域控制的賬號(hào)與密碼，完成后單機(jī)下一步。

在域控制器選型頁(yè)面勾選”只讀域控制器（RODC)(R),并輸入目錄還原模式密碼，單擊下一步繼續(xù)

RODC選項(xiàng)頁(yè)面，在“允許將密碼復(fù)制到RODC的賬戶下”決定了憑據(jù)是否可以從可寫域控制器復(fù)制到RODC。如果策略允許，那么可寫域控制器將密碼復(fù)制到RODC上，并且RODC緩存這些憑據(jù)，這一步保持默認(rèn)點(diǎn)擊下一步。

指定從哪個(gè)域控制器復(fù)制，這里保持默認(rèn)點(diǎn)擊下一步。

指定AD DS數(shù)據(jù)庫(kù)、日志文件和susvol的位置，這里保持默認(rèn)點(diǎn)擊下一步。

查看選項(xiàng)，檢查之前的配置，有問(wèn)題的話可以點(diǎn)擊上一步進(jìn)行修改，檢查無(wú)誤后點(diǎn)擊下一步。

先決條件檢查通過(guò)后單機(jī)“安裝”，安裝完成后將自動(dòng)重新啟動(dòng)服務(wù)器。重啟完成后RODC只讀域控制器創(chuàng)建完成。

查看Active Directory用戶和計(jì)算機(jī)下Domain Controllers有關(guān)RODC的DC類型為"只讀,GC"，只讀域控制器創(chuàng)建完成。

在我們創(chuàng)建完RODC后迫不及待地去測(cè)試是否已經(jīng)不能新建\更改域賬號(hào)屬性后發(fā)現(xiàn)神奇的創(chuàng)建用戶成功了，那是因?yàn)檫€需要更改域控制器為rodc.

打開Active Directory用戶和計(jì)算機(jī)管理器，右鍵“Active Directory用戶和計(jì)算機(jī)”選擇"更改域控制器"：

此時(shí)選擇此域控制器或AD LDS實(shí)例 為配置的RODC，點(diǎn)擊確定。

提醒選定只讀域控制器，這里默認(rèn)選擇"確定"

此時(shí)我們發(fā)現(xiàn)快捷菜單欄有關(guān)新建用戶、新建組、新建組織單位等都是灰色無(wú)法點(diǎn)擊