（三）查看谁的帐户已通过 RODC 的身份验证

　　应定期检查谁的帐户已通过 RODC 的身份验证。此信息可以帮助您计划要对现有密码复制策略进行的更新。例如，查看哪些用户和计算机帐户已通过 RODC 的身份验证，这样可以提前将这些帐户添加到"允许列表"。

　　管理凭据

　　任何域用户都可以查看哪些用户和计算机帐户已通过 RODC 的身份验证。

　　查看已通过 RODC 身份验证的帐户的步骤

　　1、依次单击"开始"、"管理工具"和"Active Directory 用户和计算机"。

　　2、确保 Active Directory 用户和计算机指向运行 Windows Server 2008 的可写域控制器，然后单击"域控制器"。

　　3、在细节窗格中，右键单击 RODC 计算机帐户，然后单击"属性"。

　　4、单击"密码复制策略"选项卡。

　　5、单击"高级"。

　　6、在下拉列表中，单击"已通过此只读域控制器身份验证的帐户"，如下图所示。（图3）

　　预填充 RODC 的密码缓存

　　您可以使用计划对其进行身份验证的用户和计算机帐户的密码预填充 RODC 的密码缓存。当您预填充 RODC 密码缓存时，会触发 RODC 在帐户尝试在分支机构中登录之前复制和缓存用户和计算机的密码。

　　预填充密码缓存可以帮助确保用户可以登录到分支机构中的网络，即使指向数据中心的 WAN 链接脱机也是如此。例如，假设通常在数据中心工作的用户来到分支机构并且尝试使用便携机在此登录。RODC 联系数据中心的可写域控制器。如果密码复制策略允许，则 RODC 将缓存该密码。但是，如果当用户尝试登录时 WAN 链接脱机，则登录尝试失败，因为 RODC 尚未复制帐户的密码。

　　为了避免这个问题，您可以使用用户和便携机的密码预填充分支机构中 RODC 的密码缓存。这样 RODC 便无需通过 WAN 链接从 Windows Server 2008 域控制器复制密码。

　　此外，如果您在中心位置（如数据中心）构建 RODC，最好先预填充密码缓存，然后再将 RODC 传输到分支机构。通过用将在分支机构登录的用户和计算机预填充密码缓存，RODC 便可以对这些帐户进行身份验证，而无需通过 WAN 链接联系 Windows Server 2008 域控制器。

　　您可以仅预填充密码复制策略允许缓存的帐户的缓存。如果尝试预填充密码复制策略不允许缓存的帐户的密码，则该操作将会失败。

　　可以使用 Active Directory 用户和计算机或使用 Repadmin 命令行工具预填充 RODC 的密码缓存。

　　使用 Active Directory 用户和计算机预填充 RODC 的密码缓存的步骤

　　1、依次单击"开始"、"管理工具"和"Active Directory 用户和计算机"。

　　2、确保 Active Directory 用户和计算机指向运行 Windows Server 2008 的可写域控制器，然后单击"域控制器"。

　　3、在细节窗格中，右键单击 RODC 计算机帐户，然后单击"属性"。

　　4、单击"密码复制策略"选项卡。

　　5、单击"高级"。

　　6、单击"预填充密码"。

　　7、键入希望在 RODC 的缓存中预填充其密码的帐户的名称，然后单击"确定"。

　　8、询问是否要将帐户的密码发送到 RODC 时，单击"是"。

　　使用 Repadmin 命令行工具预填充 RODC 的密码缓存的步骤

　　1、登录到运行 Windows Server 2008 的可写域控制器。

　　2、单击"开始"，右键单击"命令提示符"，然后单击"以管理员身份运行"。

　　3、如果出现"用户账户控制"对话框，请确认所显示的是您想要执行的操作，然后单击"继续"。

　　4、键入以下命令，然后按 Enter：

　　repadmin /rodcpwdrepl [DSA_List] <Hub DC> <User1 Distinguished Name> [<Computer1 Distinguished Name> <User2 Distinguished Name> …]

　　在该命令中，使用下表中的值。（图4）

　　例如，以下命令用 Mike Danseglio 及其计算机 MikeDanLaptop 的密码预填充 RODC15 的密码缓存。中心域控制器名为 HUBDC12。

　　Repadmin /rodcpwdrepl RODC15 HUBDC12 CN=MikeDan,OU=DatacenterUsers,DC=contoso,DC=com CN= MikeDanLaptop,OU=DatacenterComputers,DC=contoso,DC=com