我是否需要使用 Samba Active Directory 在主域控制器上“拒绝 RODC 密码复制”

我们在 Ubuntu 14.04.5 LT 上使用 Samba Active Directory 2:4.7.6

我们只有一个域控制器，并且它不是远程的（它位于受控的、非 WAN 访问的子网内）。

但是，自 Windows AD 2008 以来，所有权威用户（“企业管理员”、“域管理员”、“证书发布者”等）都默认属于该组“拒绝 RODC 密码复制“。

我有两个问题：

1. 由于这不是远程域控制器（它是主域控制器），并且无法通过 WAN 访问（它位于隔离子网中） - 我们可以安全地从“拒绝 RODC 密码复制”中删除这些用户吗？

2. （这可能需要单独发帖）。尝试登录域中的 Ubuntu 18 成员时，登录失败并显示错误...

错误：

lightdm: pam_succeed_if(lightdm:auth): requirement "user ingroup nopasswdlogin" not met by user "MyDomainAdminAccount"

这是因为配置中的行/etc/pam.d/lightdm...

auth    sufficient      pam_succeed_if.so user ingroup nopasswdlogin

我通过将此文件更改为......来纠正该问题。

#auth    sufficient      pam_succeed_if.so user ingroup nopasswdlogin
auth    sufficient      pam_succeed_if.so user ingroup [domain users]
auth    sufficient      pam_succeed_if.so user ingroup [domain admins]

...但我不知道这两个问题是否相关。

有人可以解释一下吗？