可写域控制器创建服务票证并将其发送回 RODC。

　　然后 RODC 将服务票证转发给 BOB_WS。

　　Bob 便可以开始在 BOB_WS 上工作。

　　RODC 将服务票证发送回 BOB_WS 之后，还请求可写域控制器将 BOB_WS 凭据复制到其 Active Directory 数据库的副本。

　　当上游域控制器收到将 BOB_WS 帐户凭据复制到 RODC 的请求时，将检查密码复制策略，看是否允许 RODC 缓存 BOB_WS 帐户的凭据。

　　如果可以缓存凭据，则可写域控制器允许将 BOB_WS 帐户凭据复制到 RODC。

　　在可写域控制器发送 RODC 请求的凭据的同时，可写域控制器将 BOB_WS 帐户的可分辨名称写入 RODC 计算机帐户的 msDS-RevealedList 属性。这将创建一条 BOB_WS 的凭据现在已缓存在 RODC 上的记录。

　　RODC 将 BOB_WS 计算机的凭据存储在 Active Directory 数据库中其计算机帐户的相应属性中。

　　此时：Bob 已登录 BOB_WS 工作站，并且他可以请求服务票证以访问服务器上的资源，方法与他为其自己的工作站请求服务票证的方法一样。

　　如果 Bob 访问的任何计算机允许将凭据缓存在 RODC 上，则在计算机处理服务票证请求时 RODC 将缓存凭据。

　　RODC 缓存 BOB_WS 计算机帐户的凭据。

　　可写域控制器创建一条其已将 BOB_WS 计算机帐户的凭据显示给 RODC 的记录。

　　当 Bob 下次尝试登录 BOB_WS 工作站时，RODC 将无需联系可写域控制器即可处理登录请求，因为它已缓存了 Bob 帐户和 BOB_WS 帐户的凭据，如下图所示。（图3）

　　RODC 作为分支机构的 KDC 播发。这意味着当 BOB_WS 搜索域控制器以对 Bob 的登录请求进行身份验证时，它可以找到 RODC 并将其用作 KDC。BOB_WS 的 Kerberos 身份验证包准备 TGT 请求并将其发送给 RODC。

　　RODC 收到来自 BOB_WS 的 TGT 请求。由于 RODC 已经知道 Bob 帐户的密码，因此它可以为 Bob 创建 TGT。RODC 在创建 TGT 时使用其自己的 krbtgt 帐户。

　　RODC 将 TGT 发送回 BOB_WS，BOB_WS 将 TGT 存储在与 Bob 的登录会话关联的票证缓存中。

　　为了能够在 BOB_WS 上工作，Bob 需要服务票证来获得访问权限。BOB_WS 上的身份验证包创建服务票证请求并将其发送给 RODC。BOB_WS 上的身份验证包准备 TGT 请求并将其发送给 RODC。

　　RODC 收到来自 BOB_WS 的服务票证请求，并且由于它已经知道 BOB_WS 计算机帐户的密码，因此它可以为 Bob 创建服务票证以访问 BOB_WS。RODC 在创建 TGT 时使用其自己的 krbtgt 帐户。

　　RODC 将服务票证发送回 BOB_WS，BOB_WS 将服务票证存储在与 Bob 的登录会话关联的票证缓存中。

　　Bob 便可以开始在 BOB_WS 上工作。