三、RODC及身份验证

    只读域控制器（RODC）是在Windows Server 2008操作系统中一种新的域控制器类型。有了只读域控制器，组织能够容易地的物理安全得不到保证的地区部署域控制器。一台RODC包含了活动目录数据库的只读部分。

    RODC可以做什么？

    在考虑部署RODC时，物理安全的不足是最为寻常的理由。RODC给那些需要快速可靠的身份验证，同时对可写域控制器而言物理安全无法得到确保的地方部署域控制器提供了新的方法。

    然而你的组织也可以为了特殊的管理需要选择部署RODC。比如，业务线应用程序（line-of-business，LOB）只能被安装到域控制器上并才能得以成功运行。或者，域控制器是分支机构仅有的服务器，而不得不运行服务器应用。
 
    在这些例子中，业务线应用程序所有者必须经常交互式登录到域控制器或者使用终端服务来配置和管理程序。这种环境引起了在可写域控制器上不被接受的安全风险。

    RODC为在这些场景中部署域控制器提供了更安全的机械结构。你能够将登录到RODC的权利转让给没有管理权限的域用户同时最小化给活动目录森林带来的安全风险。

    你也可以在其它场景中部署RODC，比如在外延网（extranets）中本地储存的所有域密码被认为是主要威胁。

    这项特性提供了什么新功能？

    RODC处理了在分支机构中的普遍问题。这些地方也许没有域控制器。或者他们有可写的域控制器但是没有足够的物理安全，网络带宽以及专门的技术人员来提供支持。下面的RODC的功能缓解了这些问题：

    • 只读活动目录数据库
    • 单向复制
    • 凭据缓存
    • 管理员角色分离
    • 只读DNS

    只读活动目录数据库

    请求获得目录读取权限的本地程序能够获得访问许可。当使用轻型目录访问协议（LDAP）的程序请求写入权限时将会收到“referral”应答。通常情况下这些应答将写入请求引导到在枢纽站点中可写的域控制器。

    RODC已筛选属性集

    作为安全性的预防措施，如果你想配置RODC已筛选属性集请确保林功能级是Windows Server 2008。如果森林的功能级是Windows Server 2008，那么受到威胁的RODC将不能被如此利用，因为运行Windows Server 2003的域控制器在森林中是不被允许的。

    单向复制

    RODC的单向复制同时应用于AD DS及分布式文件系统（DFS）的复制。RODC为AD DS及DFS执行正常的入站复制。

    凭据缓存

    凭据缓存是用户或者计算机凭据的储存器。凭据是由和安全主体关联的一小组大约接近10个密码的集合所组成。在默认情况下RODC不储存用户或者计算机凭据。例外的情况是RODC自身的计算机账户以及每台RODC所有的特殊的krbtgt账户。你在RODC上必须显示允许其它任何凭据缓存。
　　
    管理员角色分割
 
    你能委派RODC的本地管理权限至任何域用户而不用使该用户获得域或者域控制器的用户权限。这使分支机构的用户能够登录至RODC并执行诸如升级驱动程序之类的维护工作。然而分支结构用户无法登录到其它任何域控制器或者在域中执行其它管理工作。因此分支结构用户能够委派有效的权利来管理分支机构的RODC而不会威胁到域内其它部分的安全。

    只读DNS

    你能在RODC上安装DNS服务。RODC能够复制DNS使用的所有程序目录分区，包括ForestDNSZones以及DomainDNSZones。如果DNS服务被安装到RODC上，用户能够像查询其它DNS服务器一样进行名称解析。