【IT168 专稿】只读域控制器（RODC）是Windows Server 2008操作系统中新型的域控制器。RODC使分支办公室配置域控制器更加安全，这些分支办公室要求有快速、可靠、强健的证明服务。

    RODC主要为分支办公室中而配置。通常情况下，分支办公室中的用户数量不多，所以物理安全可能比较低，连接到网络中心站点的带宽情况不十分理想，本地IT知识了解甚少。物理安全不足是考虑配置RODC的最常见原因。但是，公司可以为特殊管理需要选择配置RODC。

    分支办公室给网络管理员带来的问题，使网络管理员必须向用户提供连接在低速WAN链接的Active目录域服务。如果没有本地域控制器，由于WAN链接的局限性，登陆、处理组群政策、评估网络服务则有可能延误。另外，如果没有本地IT人员在场进行支持，该分支办公室中的物理安全得不到保证，配置与维护分支办公室中的域控制器可能难度较大。RODC拥有如下功能，解决了上述问题：

    • 只读Active目录数据库
    • 单向复制
    • 身份缓存
    • 管理员角色分离
    • 新的MMC snap-in功能

    只读活动目录数据库

    除了帐户密码，RODC拥有可写域控制所拥有的全部活动目录对象及属性，但是，不能对存储在RODC上的复制进行更改。这防止在分支办公室进行的更改破坏林。要求访问域的读取路径的本地应用可以获得该路径。要求写入路径的轻量级目录访问协议（Lightweight Directory Application Protocol， LDAP）应用接收LDAP referral响应，LDAP referral响应指导这些应用至可写域控制器，可写域控制器一般位于集线器网络中。

    单向复制

    由于更改不能直接写入RODC，所以RODC不会发生更改。因此，作为复制参与者的可写域控制器不必更改RODC，这减少了网络集线器中的桥头服务器的工作量，也减少了监控复制。RODC单向复制适用于AD DS以及Distributed File System (DFS)复制。RODC为AD DS以及DFS复制更改进行入站复制。由于分支办公室依赖于WAN链接，才能连接到中央服务器，因此，这也是Windows Server 2008优化分支办公室与集线器网站之间带宽使用的另一种办法。

    身份缓存

    身份缓存是用户或计算机身份的存储。身份是密码中很小一部分，密码与security principals（用户及计算机帐户）有关。默认的RODC不存储用户或计算机身份，但是RODC的计算机帐户和每个RODC都拥有的特殊Kerberos Ticket-Granting-Ticket (krbtgt)帐户例外。

    RODC作为密钥分发中心（KDC）为分支办公室刊登。相比KDC在可写域控制器上签发或加密Ticket-Granting Ticket (TGT)请求，RODC签发或加密Ticket-Granting Ticket (TGT)请求时，使用不同的krbtgt帐户与密码。

    成功鉴别帐户后，RODC尝试联系集线器网站中的可写域控制器，要求得到所需身份的复制。可写域控制器识别来自RODC的这一要求，并为RODC参考密码复制政策。

    密码复制政策决定是否可以从可写域控制器中向RODC复制用户或计算机的身份。如果密码复制政策允许，可写域控制器向RODC复制环存在RODC上的用户或计算机身份。

    完成在RODC上的身份缓存后，RODC可以直接对用户登录要求进行服务直到身份改变。RODC的Krbtgt帐户完成TGT签发后，RODC识别已缓存的身份复制。如果另一个域控制器已经签发TGT，则RODC会将请求转给可写域控制器。

    通过将身份缓存限制在RODC已认证的用户，由损害RODC引起的身份暴露也得到限制。因为通常情况下域用户的一小部分子集将身份缓存在任何制定的RODC中，如果RODC受到损害，只有这些缓存在此的身份可能也受到损害。

    使身份缓存处于不能使用状态可能进一步限制损害，但是可能引起将全部认证请求转发给可写域控制器，后者常常与较慢的WAN连接相连。管理员可以更改默认密码复制政策，以便允许用户身份缓存在RODC中。

    RODC配置后，将成为复制参与者的密码复制政策必须配置在可写域控制器中。密码复制政策可作为访问控制列表（ACL）工作，决定RODC是否应该得到允许以缓存密码。RODC得到经认证的用户或计算机登录请求后，将引用密码复制政策以便决定用户密码是否应该缓存。相同帐户此后登录的许可可以效率更高。

    密码复制政策列出了得到缓存允许的帐户以及明确否认缓存许可的帐户。可以缓存的用户以及计算机用户列表并不意味着RODC一定为这些帐户进行密码缓存。例如，管理员可以预先指定RODC需要缓存的任何帐户，这样，（一旦这些帐户的身份得到缓存），即使连接到集线器网站的WAN处于脱机状态，RODC就可以对这些帐户进行鉴别。

    管理员角色分离

    本地RODC的管理员角色可以指派给任何域用户，无须准许该用户拥有该域或其他域控制器的用户权利，这样可以准许本地分支用户登录RODC并执行服务器的维护工作，如驱动升级。但是分支办公室中的用户不能登陆任何其他域控制器，也不能在该域上执行任何其他管理任务。这样，分支办公室中的用户可以获得有效管理该分支办公室中RODC的能力，无须损害其他域的安全。管理角色分离提供了灵活的管理模式，同时增强安全，特别是该分支办公室中需要部分本地控制或维护，但是中央网络以及服务器必须得到保护。

    MMC snap-in功能

    Windows Server 2008中的活动目录网站以及服务snap-in包括工具栏和Action menu中的查找命令。查找命令帮助查找带有域控制器的网站，能够在分支办公室的域控制器与网络集线器之间发现并修理故障复制问题。

    为帮助管理RODCs，域控制器Properties sheet带有密码复制政策标签。管理员可以点击标签上的Advanced键，查看：

    • 密码已经发给RODC
    • 密码当前存在RODC上
    • 帐户已经得到RODC鉴别，包括当前在安全组中拒绝的帐户，安全组允许或拒绝复制---管理员可以查看谁在使用RODC并决定是否允许或拒绝密码复制。