（三）操作中的密码复制策略

　　当 RODC 请求复制用户密码时，该 RODC 联系的可写 Windows Server 2008 域控制器允许或拒绝该请求。为了允许或拒绝请求，该可写域控制器会检查发出请求的 RODC 的"允许列表"和"拒绝列表"的值。

　　如果被 RODC 请求密码的帐户位于该 RODC 的"允许列表"（而不是"拒绝列表"）集中，则会允许该请求。

　　下图显示了此操作的过程。（图2）

　　"拒绝列表"优先于"允许列表"。

　　缓存密码过期

　　RODC 在为用户缓存密码之后，密码将保留在 Active Directory 数据库中，直到出现下列条件之一：

　　用户更改密码。在此情况下，不从缓存中清除密码，但该密码不再有效。

　　相关的 RODC 的密码复制策略发生了变化，因此不再缓存用户的密码。此外，用户通过使用 RODC 颁发的 TGT 尝试访问不可缓存资源时也不再缓存用户密码。

　　清除缓存的密码

　　安全清除缓存在 RODC 上的给定用户密码的机制是重置密码。如果 RODC 受到威胁，请重置当前缓存的密码并重建 RODC。