我目前正在运行一个实验室,其中包含一个 RWDC、一个 RODC 和一台客户端 PC。两个域控制器都运行 W2K8 R2。
RODC 目前充当LAN 路由器、VPN 服务器、IIS 服务器和证书权限。RWDC 仅运行 ADDS。我遇到的问题是,尽管第二个域控制器是 RODC,但我仍然可以通过以下方式创建用户帐户“Active Directory 用户和计算机”在 RODC 上。
我用来创建这些用户的帐户是域管理员帐户。我在网上看到,我仍然可以创建 AD 对象这一事实与 DNS 引用系统有关。但不确定这是什么意思。
有人可以解释一下情况吗?
答案1
您可以在 RODC 上打开 AD 用户和计算机,它仍然会指向可写域控制器……并且您可以远程创建用户帐户。
查看 ADUC 左窗格的顶部,它会告诉您当前使用 ADUC 控制台瞄准的 DC 是什么。
如果您仍然确信自己是在 RODC 上创建帐户,那么您并没有创建 RODC。您确实无法在 RODC 上创建用户帐户。
RODC 的两个主要安全优势:
细粒度密码复制策略。并非所有域用户都应将密码存储在 RODC 上。其理念是,如果有人入侵甚至物理上将 RODC 带出办公室,他们将无法访问全部您的域密码。只有您控制的一部分。
您可以让 RODC 成为本地管理员,而无需让他们成为域管理员。而对于常规可写 DC,DC 的管理员必须是域管理员。当您想要将计算机的管理任务(例如备份、修补等)委托给远程分支机构的技术人员(您不一定希望他们成为域管理员)时,这非常方便。
答案2
实际上,您的问题可能是您没有连接到 VM Ware RODC 测试服务器。由于您仍连接到可写 DC,因此仍在添加对象。观看以下视频并直接跳到 23 分钟标记...
https://www.youtube.com/watch?v=2WIonSq88d8
(这解决了我的问题)
- 格雷格·P