ads ng- 10個 都是 帶來 deny 有效 權限 安裝

只讀域控制器Read-Only Domain Controller簡稱RODC。RODC是Windows Server 2008之後引入的一活動目錄特性，與其他域控制器一樣包含AD數據庫，但RODC默認不保存域用戶賬戶密碼，並且RODC中包含的數據庫也是只讀的；只能單向從其他可讀寫域控制器請求信息，但無法將更改信息同步到其他可寫域控。RODC一般多用於企業分支機構（辦事處、分公司、駐外站點等），考慮到人員數量及帶寬運營成本等，只讀域控制器可簡化區域無技術人員維護工作及人員投入成本，便於管理，提高本地辦公效率，同時可改善當地網絡環境的安全性。

架構圖：

RODC優點：

1.只讀Active Directory活動目錄數據庫，可降低因物理安全因素帶來的網絡安全威脅；

2.降低了網絡之間復制負載，更有效的訪問網絡資源；

3.憑據緩存。可加速分支用戶登錄驗證速度，降低系統在遭到破壞時受影響用戶範圍等(憑據緩存是用戶或者計算機憑據的儲存器。憑據是由和安全主體關聯的一小組大約接近10個密碼的集合所組成。在默認情況下RODC不儲存用戶或者計算機憑據。例外的情況是RODC自身的計算機賬戶以及每臺RODC所有的特殊的krbtgt賬戶。你在RODC上必須顯示允許其它任何憑據緩存。

)；

4.管理員角色權限分隔。可降低因分支管理員權限過大對整個活動目錄的威脅；

5.只讀DNS。可選擇性安裝DNS服務，安裝並同步DNS信息後可加快分支機構上網的響應時間，但不會做動態更新，所有更新都是可讀寫域控制器DNS單向同步到RODC DNS服務器。

RODC缺點：

1.默認RODC不存儲用戶密碼，如可讀寫域控出現問題，用戶驗證會出現異常錯誤。

2.RODC對可讀寫域控依賴性太強，如同步的可讀寫域控出現問題將直接影響RODC使用。

部署RODC的先決條件：

1.至少環境中需要一臺Windows server 2008域控制器；

2.林功能級別需要是Windows server 2003或以上級別；

3.PDC(PDC Emulator)角色必須允許在Windows server 2008上;

4.整個環境中需要存在正常可讀寫的域控制器；

角色	主機名	IP地址
主域控	Major.azureyun.local	192.168.156.1
只讀域控（RODC）	BRODC.azureyun.local	192.168.156.3

一：部署只讀域控制器：

1.設置主機名及靜態IP地址，指定主域控地址為首選DNS服務器地址：

2.通過命令行加域並重啟該服務器：

netdom join %computername% /d:azureyun.local /userd:azureyun.local\administrator /passwordd:abc.123!

3.如果有需要，記得關閉防火墻：

4.添加域服務角色過程省略，直接開始正文，選擇"將域控制器添加到現有域"，下一步繼續：

5.勾選"域名系統(DNS)服務器""全局編錄(GC)""只讀域控制器(RODC)"並輸入目錄還原模式密碼，單擊下一步繼續：

6.選擇是否將密碼復制到RODC的賬戶，建議不同步域管理員組、系統、服務架構等組密碼復制，這裏可自行設置，選擇下一步繼續：

7.選擇從哪裏同步復制：

8.指定AD DS數據庫、日誌文件和SYSVOL的日誌存放位置：

9.確認已配置信息，點擊下一步繼續：

這裏我們也可以通過Powershell命令安裝RODC，命令如下：

#安裝azureyun.local 只讀域控RODC腳本
Import-Module ADDSDeployment
Install-ADDSDomainController `
-AllowPasswordReplicationAccountName @("AZUREYUN\Allowed RODC Password Replication Group") `
-NoGlobalCatalog:$false `
-CriticalReplicationOnly:$false `
-DatabasePath "C:\Windows\NTDS" `
-DenyPasswordReplicationAccountName @("BUILTIN\Administrators", "BUILTIN\Server Operators", "BUILTIN\Backup Operators", "BUILTIN\Account Operators", "AZUREYUN\Denied RODC Password Replication Group") `
-DomainName "azureyun.local" `
-InstallDns:$true `
-LogPath "C:\Windows\NTDS" `
-NoRebootOnCompletion:$false `
-ReadOnlyReplica:$true `
-SiteName "Default-First-Site-Name" `
-SysvolPath "C:\Windows\SYSVOL" `
-Force:$true

10.先決條件檢查無問題時，點擊"安裝"繼續：

11.RODC域控制器配置成功，點擊關閉完成配置：

12.根據提示重啟服務器完成配置：

二、驗證RODC：

1.查看Active Directory用戶和計算機下Domain Controllers有關BRODC的DC類型為"只讀,GC"：

2.查看Active Directory用戶和計算機有關域控制器相關信息：

2.1. Active Directory用戶和計算機下右鍵"更改域控制器"：

2.2.選擇更改目錄服務器，此時選擇此域控制器或AD LDS實例 為RODC：

2.3.提醒選定只讀域控制器，這裏默認選擇"確定"繼續：

3.此時我們發現快捷菜單欄有關新建用戶、新建組、新建組織單位等都是灰色無法點擊：

4.此時我們發現右鍵屬性包括所有任務欄都沒有新建用戶、組織單位等按鈕：

5.此時我們想通過右鍵委派權限的時候：

會提示我們沒有權限寫入此對象的安全信息：

6.此時我們想提升域功能級別的時候，發現我們沒有權限提升：

7.在操作主機RID、PDC、基礎結構選項均無法點擊"更改"按鈕，無法更改。

7.通過dsquery server命令查看站點信息如下：

RODC域控制器部署完成。

Windows Server 2016-部署RODC只讀域控制器