Use*_*ser 2 active-directory windows-server-2008-r2
我目前正在运行一个包含 RWDC、RODC 和客户端 PC 的实验室。两个域控制器都运行 W2K8 R2。
RODC 目前用作LAN 路由器、VPN 服务器、IIS 服务器和证书颁发机构。RWDC 仅运行 ADDS。我遇到的问题是,虽然第二个域控制器是 RODC,但我仍然可以通过 RODC 上的“Active Directory 用户和计算机”创建用户帐户。
我用来创建这些用户的帐户是域管理员帐户。我在网上读到,我仍然可以创建 AD 对象这一事实与 DNS 引用系统有关。不确定那是什么或意味着什么。
任何人都可以对这种情况有所了解吗?
你可以在 RODC 上打开 AD 用户和计算机,它仍然会指向一个可写的域控制器......你可以远程创建用户帐户。
查看 ADUC 左窗格的顶部,它应该会告诉您当前使用 ADUC 控制台定位的 DC。
如果您仍然确信您正在 RODC 上创建帐户,那么您没有创建 RODC。您确实无法在 RODC 上创建用户帐户。
RODC 的两个主要安全优势:
细粒度的密码复制策略。并非域的所有用户都应将其密码存储在 RODC 上。这个想法是,如果有人破坏或什至将 RODC 搬出办公室,他们将无法访问您域的所有密码。只是您控制的一个子集。
您可以将 RODC 设为本地管理员,而无需将其设为域管理员。而对于常规的可写 DC,DC 的管理员必须是域管理员。当您想将机器的管理任务(例如备份、修补等)委派给远程分支机构的技术人员时,这很方便,而您不一定希望成为域管理员。
| 归档时间: |
|
| 查看次数: |
3067 次 |
| 最近记录: |