我有一个 RWDC(A)和两个 RODC(B 和 C)。我为 RWDC 中的每个分支创建一个 OU,但是 OU 及其内容将被复制到域内的所有 DC。
所以我想知道我们可以将 OU 分配给某个 RODC 吗?
答案1
控制将密码复制到只读域控制器 (RoDC) 的机制是通过密码复制策略(PRP)。密码是 Active Directory (AD) 数据库域分区中唯一有选择地复制到 RoDC 的部分。其余所有对象和属性都将被复制。
PRP 基于安全主体(组、用户等),而不是 OU(不是安全主体也没有安全标识符)。
您的要求有点不清楚,但如果您想说您需要控制这些 OU 中所有对象的复制范围,那么坦率地说,您需要的是每个站点的单独 AD 林或域。如果您出于安全隔离考虑这样做,那么单独的林确实是唯一的选择。