【IT168 专稿】前文我们介绍了RODC的基本安装（点击），与可写域控制器相比 RODC 需要较少的管理，这也是它在Windows Server2008中的一个重要优势。它仅需要入站复制，并且不能将错误信息写入 Active Directory 数据库。

　　RODC的管理主要涉及到密码复制策略、密码复制策略管理、管理员角色分隔三项。本文主要介绍其二：密码复制策略管理。

　　（一）为 RODC 配置密码复制策略

　　若要为 RODC 配置密码复制策略，必须是 Domain Admins 组的成员。

　　为 RODC 配置密码复制策略的步骤

　　1、依次单击"开始"、"管理工具"和"Active Directory 用户和计算机"。

　　2、确保 Active Directory 用户和计算机指向运行 Windows Server 2008 的可写域控制器，然后单击"域控制器"。

　　3、在细节窗格中，右键单击 RODC 计算机帐户，然后单击"属性"。

　　4、单击"密码复制策略"选项卡，如下图所示。（图1）

　　5、"密码复制策略"选项卡列出了默认情况下在 RODC 的"允许列表"和"拒绝列表"中定义的帐户。若要添加应该包含在"允许列表"或"拒绝列表"中的其他组，请单击"添加"。若要添加将不允许凭据缓存在 RODC 上的其他帐户，请单击"拒绝"。若要添加将允许凭据缓存在 RODC 上的其他帐户，请单击"允许"。

　　将不允许凭据缓存在 RODC 上的帐户仍然可以使用 RODC 进行域登录。但是，将不会缓存凭据以便以后使用 RODC 登录。

　　（二）查看缓存在 RODC 上的当前凭据

　　任何域用户都可以查看缓存在 RODC 上的当前凭据。

　　查看缓存在 RODC 上的当前凭据的步骤

　　1、依次单击"开始"、"管理工具"和"Active Directory 用户和计算机"。

　　2、确保 Active Directory 用户和计算机指向运行 Windows Server 2008 的可写域控制器，然后单击"域控制器"。

　　3、在细节窗格中，右键单击 RODC 计算机帐户，然后单击"属性"。

　　4、单击"密码复制策略"选项卡。

　　5、单击"高级"。

　　6、在下拉列表中，单击"其密码已存储在此只读域控制器中的帐户"，如下图所示。（图2）

　　（三）查看谁的帐户已通过 RODC 的身份验证

　　应定期检查谁的帐户已通过 RODC 的身份验证。此信息可以帮助您计划要对现有密码复制策略进行的更新。例如，查看哪些用户和计算机帐户已通过 RODC 的身份验证，这样可以提前将这些帐户添加到"允许列表"。

　　管理凭据

　　任何域用户都可以查看哪些用户和计算机帐户已通过 RODC 的身份验证。

　　查看已通过 RODC 身份验证的帐户的步骤

　　1、依次单击"开始"、"管理工具"和"Active Directory 用户和计算机"。

　　2、确保 Active Directory 用户和计算机指向运行 Windows Server 2008 的可写域控制器，然后单击"域控制器"。

　　3、在细节窗格中，右键单击 RODC 计算机帐户，然后单击"属性"。

　　4、单击"密码复制策略"选项卡。

　　5、单击"高级"。

　　6、在下拉列表中，单击"已通过此只读域控制器身份验证的帐户"，如下图所示。（图3）

　　预填充 RODC 的密码缓存

　　您可以使用计划对其进行身份验证的用户和计算机帐户的密码预填充 RODC 的密码缓存。当您预填充 RODC 密码缓存时，会触发 RODC 在帐户尝试在分支机构中登录之前复制和缓存用户和计算机的密码。

　　预填充密码缓存可以帮助确保用户可以登录到分支机构中的网络，即使指向数据中心的 WAN 链接脱机也是如此。例如，假设通常在数据中心工作的用户来到分支机构并且尝试使用便携机在此登录。RODC 联系数据中心的可写域控制器。如果密码复制策略允许，则 RODC 将缓存该密码。但是，如果当用户尝试登录时 WAN 链接脱机，则登录尝试失败，因为 RODC 尚未复制帐户的密码。

　　为了避免这个问题，您可以使用用户和便携机的密码预填充分支机构中 RODC 的密码缓存。这样 RODC 便无需通过 WAN 链接从 Windows Server 2008 域控制器复制密码。

　　此外，如果您在中心位置（如数据中心）构建 RODC，最好先预填充密码缓存，然后再将 RODC 传输到分支机构。通过用将在分支机构登录的用户和计算机预填充密码缓存，RODC 便可以对这些帐户进行身份验证，而无需通过 WAN 链接联系 Windows Server 2008 域控制器。

　　您可以仅预填充密码复制策略允许缓存的帐户的缓存。如果尝试预填充密码复制策略不允许缓存的帐户的密码，则该操作将会失败。

　　可以使用 Active Directory 用户和计算机或使用 Repadmin 命令行工具预填充 RODC 的密码缓存。

　　使用 Active Directory 用户和计算机预填充 RODC 的密码缓存的步骤

　　1、依次单击"开始"、"管理工具"和"Active Directory 用户和计算机"。

　　2、确保 Active Directory 用户和计算机指向运行 Windows Server 2008 的可写域控制器，然后单击"域控制器"。

　　3、在细节窗格中，右键单击 RODC 计算机帐户，然后单击"属性"。

　　4、单击"密码复制策略"选项卡。

　　5、单击"高级"。

　　6、单击"预填充密码"。

　　7、键入希望在 RODC 的缓存中预填充其密码的帐户的名称，然后单击"确定"。

　　8、询问是否要将帐户的密码发送到 RODC 时，单击"是"。

　　使用 Repadmin 命令行工具预填充 RODC 的密码缓存的步骤

　　1、登录到运行 Windows Server 2008 的可写域控制器。

　　2、单击"开始"，右键单击"命令提示符"，然后单击"以管理员身份运行"。

　　3、如果出现"用户账户控制"对话框，请确认所显示的是您想要执行的操作，然后单击"继续"。

　　4、键入以下命令，然后按 Enter：

　　repadmin /rodcpwdrepl [DSA_List] <Hub DC> <User1 Distinguished Name> [<Computer1 Distinguished Name> <User2 Distinguished Name> …]

　　在该命令中，使用下表中的值。（图4）

　　例如，以下命令用 Mike Danseglio 及其计算机 MikeDanLaptop 的密码预填充 RODC15 的密码缓存。中心域控制器名为 HUBDC12。

　　Repadmin /rodcpwdrepl RODC15 HUBDC12 CN=MikeDan,OU=DatacenterUsers,DC=contoso,DC=com CN= MikeDanLaptop,OU=DatacenterComputers,DC=contoso,DC=com

　　（四）重置缓存在 RODC 上的当前凭据（如果 RODC 被盗）

　　若要重置缓存在 RODC 上的当前凭据，必须是 Domain Admins 组的成员。

　　重置缓存在 RODC 上的当前凭据（如果 RODC 被盗）的步骤

　　1、依次单击"开始"、"管理工具"和"Active Directory 用户和计算机"。

　　2、确保 Active Directory 用户和计算机指向运行 Windows Server 2008 的可写域控制器，然后单击"域控制器"。

　　3、在细节窗格中，右键单击 RODC 计算机帐户，然后单击"删除"。

　　4、若要确认删除，请单击"是"。

　　5、在"删除 Active Directory 域控制器"对话框中，选中"重置此只读域控制器上缓存的用户帐户的所有密码"复选框，如下图所示。或者，您也可以选中"将此只读域控制器上缓存的帐户列表导出到此文件中"复选框以创建在删除 RODC 帐户之后必须重置其密码的用户帐户列表。删除 RODC 帐户之后，该帐户列表不可用。（图5）