在 RODC 上创建用户

Use*_*ser 2 active-directory windows-server-2008-r2

我目前正在运行一个包含 RWDC、RODC 和客户端 PC 的实验室。两个域控制器都运行 W2K8 R2。

RODC 目前用作LAN 路由器、VPN 服务器、IIS 服务器和证书颁发机构。RWDC 仅运行 ADDS。我遇到的问题是,虽然第二个域控制器是 RODC,但我仍然可以通过 RODC 上的“Active Directory 用户和计算机”创建用户帐户。

我用来创建这些用户的帐户是域管理员帐户。我在网上读到,我仍然可以创建 AD 对象这一事实与 DNS 引用系统有关。不确定那是什么或意味着什么。

任何人都可以对这种情况有所了解吗?

Rya*_*ies 8

你可以在 RODC 上打开 AD 用户和计算机,它仍然会指向一个可写的域控制器......你可以远程创建用户帐户。

查看 ADUC 左窗格的顶部,它应该会告诉您当前使用 ADUC 控制台定位的 DC。

如果您仍然确信您正在 RODC 上创建帐户,那么您没有创建 RODC。您确实无法在 RODC 上创建用户帐户。

RODC 的两个主要安全优势:

  1. 细粒度的密码复制策略。并非域的所有用户都应将其密码存储在 RODC 上。这个想法是,如果有人破坏或什至将 RODC 搬出办公室,他们将无法访问您域的所有密码。只是您控制的一个子集。

  2. 您可以将 RODC 设为本地管理员,而无需将其设为域管理员。而对于常规的可写 DC,DC 的管理员必须是域管理员。当您想将机器的管理任务(例如备份、修补等)委派给远程分支机构的技术人员时,这很方便,而您不一定希望成为域管理员。