【IT168 专稿】前文我们介绍了RODC的基本安装（点击），与可写域控制器相比 RODC 需要较少的管理，这也是它在Windows Server2008中的一个重要优势。它仅需要入站复制，并且不能将错误信息写入 Active Directory 数据库。

　　RODC的管理主要涉及到密码复制策略、密码复制策略管理、管理员角色分隔三项。本文主要介绍其一：密码复制策略。

　　密码复制策略

　　在最初部署 RODC 时，必须在作为复制伙伴的可写入域控制器上配置密码复制策略。

　　密码复制策略相当于一个访问控制列表 (ACL)。它确定是否允许 RODC 缓存密码。在 RODC 收到经过身份验证的用户或计算机登录请求时，它将参考密码复制策略来确定是否应缓存该帐户的密码。然后，同一帐户便可以更有效地执行后续登录。

　　密码复制策略列出了允许缓存的帐户以及明确拒绝缓存的帐户。允许缓存的用户和计算机帐户列表并不表示 RODC 一定缓存了这些帐户的密码。例如，管理员可以事先指定 RODC 将缓存的任何帐户。这样即使指向中心站点的 WAN 链接脱机，RODC 也可以对这些帐户进行身份验证。

　　首先，您应该为密码复制策略定义管理模型。然后，定期查看或手动更新此密码复制策略。如果 RODC 被盗，则您必须重置其密码已缓存在 RODC 上的所有用户和计算机的密码。

　　（一）为 RODC 密码复制选择管理模型

　　业务要求、组织要求和管理要求都影响您为 RODC 密码复制策略选择合适管理模型的方式。这些要求包括 WAN 连接的安全性、易管理性以及可靠性和可用性。

　　RODC 密码复制策略是由包含安全主体（用户、计算机和组）的四个多值 AD DS 属性决定的。每个 RODC 计算机帐户都具有这四个属性：

　　msDS-Reveal-OnDemandGroup，通常也称为"允许列表"

　　msDS-NeverRevealGroup，通常也称为"拒绝列表"

　　msDS-RevealedList，通常也称为"显示列表"

　　msDS-AuthenticatedToAccountList，通常也称为"身份验证列表"

　　RODC 可以随时复制"允许列表"中帐户的密码，无论该帐户是否尝试登录 RODC 都是如此。用户登录触发该操作仅仅是为了管理方便。

　　这意味着密码复制策略是 RODC 的安全边界。每个 RODC 可以有不同的密码复制策略。但是，如果未修改密码复制策略，则域中所有 RODC 的有效策略都相同。

　 （二）密码复制策略允许列表和拒绝列表

　 为了支持 RODC 操作，在 Windows Server 2008 Active Directory 域中引入了两个新的内置组。它们是"允许的 RODC 密码复制组"和"拒绝的 RODC 密码复制组"。

　 这两个组可以帮助实施 RODC 密码复制策略的默认允许列表和拒绝列表。默认情况下，这两个组分别被添加到前面提到的 msDS-Reveal-OnDemandGroup 和 msDS-NeverRevealGroup Active Directory 属性中。

　 默认情况下，"允许的 RODC 密码复制组"不包含任何成员。而默认情况下，"允许列表"属性只包含"允许的 RODC 密码复制组"。

　 默认情况下，"拒绝的 RODC 密码复制组"包含下列成员：

　 企业域控制器

　 企业只读域控制器

　 组策略创建者所有者

　 Domain Admins

　 证书发行者

　 Enterprise Admins

　 Schema Admins

　 域范围 krbtgt 帐户

　 默认情况下，拒绝列表属性包含下列安全主体，它们全部为内置组：

　 拒绝的 RODC 密码复制组

　 Account Operators

　 Server Operators

　 Backup Operators

　 管理员

　 每个 RODC 的允许列表和拒绝列表属性以及域范围"拒绝的 RODC 密码复制组"和"允许的 RODC 密码复制组"的组合为管理员提供了极大的灵活性。他们可以精确地决定将哪些帐户缓存在特定 RODC 上。

　 下表概述了密码复制策略的三个可能的管理模型。（图1）

　　（三）操作中的密码复制策略

　　当 RODC 请求复制用户密码时，该 RODC 联系的可写 Windows Server 2008 域控制器允许或拒绝该请求。为了允许或拒绝请求，该可写域控制器会检查发出请求的 RODC 的"允许列表"和"拒绝列表"的值。

　　如果被 RODC 请求密码的帐户位于该 RODC 的"允许列表"（而不是"拒绝列表"）集中，则会允许该请求。

　　下图显示了此操作的过程。（图2）

　　"拒绝列表"优先于"允许列表"。

　　缓存密码过期

　　RODC 在为用户缓存密码之后，密码将保留在 Active Directory 数据库中，直到出现下列条件之一：

　　用户更改密码。在此情况下，不从缓存中清除密码，但该密码不再有效。

　　相关的 RODC 的密码复制策略发生了变化，因此不再缓存用户的密码。此外，用户通过使用 RODC 颁发的 TGT 尝试访问不可缓存资源时也不再缓存用户密码。

　　清除缓存的密码

　　安全清除缓存在 RODC 上的给定用户密码的机制是重置密码。如果 RODC 受到威胁，请重置当前缓存的密码并重建 RODC。