在同一个站点中实施 RODC(其中还存在 RWDC)是否有助于增强安全性?向站点用户指出 RODC 而不是 RWDC。
谢谢。
答案1
我不会考虑在同一个站点中实现 RODC,以便用户主要访问只读 DC,因为所有写入操作都将发送到 RWDC。据我所知,它最适合在以下情况下使用:
- DC 部署在身体上不安全。(例如,在分支机构桌子下面的塔式 PC 上。)
- 非 IT 用户将拥有对 DC 的终端服务访问权限(希望是有充分理由的......)
答案2
是的,它很有用...当您必须关闭 RWDC 进行维护时,在同一站点上拥有 RODC 很有用。
答案3
一种不太常见但仍然有用的部署是当您的应用服务器位于 DMZ 中并且需要读取内部 Active Directory 服务时。有几种不同的安全模型,但其中一种涉及通过在 DMZ 中放置 RODC 将您的林扩展到 DMZ。
答案4
将 RWDC 放置在具有 RODC 的站点中会使 RODC 的安全功能失效。请阅读以下内容:https://technet.microsoft.com/en-us/library/ee522995(v=ws.10).aspx#bkmk_placinganrwdcinasitewithanrodc