在RODC上创建用户

Question

我目前有一个正在运行的实验室，它包含一个RWDC、一个RODC和一个客户机PC。两个域控制器都在运行W2K8 R2。

RODC目前的功能是局域网路由器、VPN服务器、IIS服务器和证书颁发机构。RWDC只运行ADDS。我遇到的问题是，虽然第二个域控制器是RODC，但我仍然可以通过RODC上的“Active用户和计算机”创建用户帐户。

我用来创建这些用户的帐户是域管理帐户。我在网上读到，我仍然可以创建AD对象，这与DNS推荐系统有关。但不确定那是什么或什么意思。

有人能说明一下情况吗？

Answer 1

您可以在RODC上打开AD用户和计算机，它仍将指向可写域控制器.您可以远程创建用户帐户。

查看ADUC中左侧窗格的顶部，它将告诉您当前使用ADUC控制台的目标是什么DC。

如果您仍然确信您正在RODC上创建帐户，那么您没有创建RODC。您确实不能在RODC上创建用户帐户。

RODC的两个主要安全好处是：

1. 细粒度密码复制策略。不是所有域的用户都应该将他们的密码存储在RODC上。这样做的想法是，如果有人泄露或甚至物理地将RODC从办公室解除，他们将无法访问您的所有域密码。只有你控制的子集。
2. 您可以使一个RODC的本地管理员，而不让他们也是一个域管理。而对于常规的可写DC，DC的管理员必须是域管理员。当您希望将机器的管理任务(如备份、修补等)委托给远程分支机构的技术人员时，这是非常方便的，因为您不一定希望成为域管理员。

Answer 2

实际上，您的问题可能是您没有连接到VM Ware RODC测试服务器。对象仍然被添加，因为您仍然连接到可写DC。看下面的视频，直接走到23分钟.

https://www.youtube.com/watch?v=2WIonSq88d8

(这解决了我的问题)

• 格雷格·P