（二）密码复制策略允许列表和拒绝列表

　 为了支持 RODC 操作，在 Windows Server 2008 Active Directory 域中引入了两个新的内置组。它们是"允许的 RODC 密码复制组"和"拒绝的 RODC 密码复制组"。

　 这两个组可以帮助实施 RODC 密码复制策略的默认允许列表和拒绝列表。默认情况下，这两个组分别被添加到前面提到的 msDS-Reveal-OnDemandGroup 和 msDS-NeverRevealGroup Active Directory 属性中。

　 默认情况下，"允许的 RODC 密码复制组"不包含任何成员。而默认情况下，"允许列表"属性只包含"允许的 RODC 密码复制组"。

　 默认情况下，"拒绝的 RODC 密码复制组"包含下列成员：

　 企业域控制器

　 企业只读域控制器

　 组策略创建者所有者

　 Domain Admins

　 证书发行者

　 Enterprise Admins

　 Schema Admins

　 域范围 krbtgt 帐户

　 默认情况下，拒绝列表属性包含下列安全主体，它们全部为内置组：

　 拒绝的 RODC 密码复制组

　 Account Operators

　 Server Operators

　 Backup Operators

　 管理员

　 每个 RODC 的允许列表和拒绝列表属性以及域范围"拒绝的 RODC 密码复制组"和"允许的 RODC 密码复制组"的组合为管理员提供了极大的灵活性。他们可以精确地决定将哪些帐户缓存在特定 RODC 上。

　 下表概述了密码复制策略的三个可能的管理模型。（图1）