【IT168 专稿】前文我们介绍了RODC的基本安装（点击），与可写域控制器相比 RODC 需要较少的管理，这也是它在Windows Server2008中的一个重要优势。它仅需要入站复制，并且不能将错误信息写入 Active Directory 数据库。

　　RODC的管理主要涉及到密码复制策略、密码复制策略管理、管理员角色分隔三项。本文主要介绍其三：管理员角色分隔。

　　（一） RODC基本功能

　　RODC 解决了可能是由于分支机构位置引起的一些问题，这些位置没有域控制器，或者具有可写域控制器但没有物理安全、网络带宽和本地专家的支持。RODC 的下列特性有助于解决这些问题：

　　A、只读 Active Directory 数据库

　　除了帐户密码之外，RODC 还拥有所有 Active Directory 域服务 (AD DS) 对象以及可写域控制器所拥有的属性。但是，客户端无法直接将更改写入 RODC。请求对目录进行读取访问的本地应用程序可获取访问权限，但中心站点中的可写域控制器要引用执行写操作的轻型目录访问协议 (LDAP) 应用程序。

　　B、RODC 筛选的属性集

　　将 AD DS 用作数据存储的某些应用程序可能具有类似凭据的数据（如密码、凭据或加密密钥），您不希望将这些数据存储在 RODC 上以防 RODC 被盗或受到威胁。对于这种类型的应用程序，可以采取以下步骤来帮助防止此类属性的不必要暴露：

　　将属性添加到 RODC 筛选的属性集以防止其被复制到林中的 RODC。

　　将属性标记为机密，这样便无法读取 Authenticated Users 组成员的数据（包括任何 RODC）。

　　C、将属性添加到 RODC 筛选的属性集

　　RODC 筛选的属性集是一组动态的属性，这些属性不会被复制到林中的任何 RODC。您可以在运行 Windows Server 2008 的架构主机上配置 RODC 筛选的属性集。当阻止这些属性复制到 RODC 时，不得不必要地暴露该数据以防 RODC 被盗或受到威胁。

　　威胁 RODC 的恶意用户可以尝试采用这种方式对其进行配置，以试图复制在 RODC 筛选的属性集中定义的属性。如果 RODC 尝试从运行 Windows Server 2008 的域控制器复制这些属性，则复制请求会被拒绝。但是，如果 RODC 尝试从运行 Windows Server 2003 的域控制器复制这些属性，则复制请求可能会成功。

　　因此，出于安全考虑，如果您计划配置 RODC 筛选的属性集，请确保林功能级别为 Windows Server 2008。当林功能级别为 Windows Server 2008 时，无法以这种方式使用受到威胁的 RODC，因为林中不允许运行 Windows Server 2003 的域控制器。

　　不得将系统关键属性添加到 RODC 筛选的属性集。如果 AD DS、本地安全机构 (LSA)、安全帐户管理器 (SAM) 以及任何特定于 Microsoft 的安全服务提供程序（如 Kerberos 身份验证协议）需要某个属性才能正常工作，则该属性就是系统关键属性。在 Beta 3 之后的 Windows Server 2008 版本中，系统关键属性具有一个 schemaFlagsEx 属性值（schemaFlagsEx 属性值 & 0x1 = TRUE）。

　　当你将属性添加到 RODC 筛选的属性集时，确保架构主机正在运行 Windows Server 2008，以便验证这些属性不是系统关键属性。如果您在架构主机正在运行 Windows Server 2008 时尝试将系统关键属性添加到 RODC 筛选的属性集，则服务器返回一个 LDAP 错误 "unwillingToPerform" (0x35)。Windows Server 2003 操作系统系统不使用 RODC 筛选的属性集。如果您在架构主机正在运行 Windows Server 2003 时将系统关键属性添加到 RODC 筛选的属性集，则该操作看起来已成功，但实际上该属性并没有添加到属性集中。

　　D、将属性标记为机密

　　此外，建议您将配置为 RODC 筛选的属性集的一部分的任何属性也标记为机密。若要将属性标记为机密，您必须删除 Authenticated Users 组对该属性的读取权限。将属性标记为机密可以为通过删除读取类似凭据的数据所需的权限而受到威胁的 RODC 提供额外的保护。

　　E、默认的 RODC 筛选的属性集

　　以下属性被配置为 RODC 筛选的属性集的一部分。默认情况下，它们标记为机密以支持 Windows Server 2008 中的凭据漫游和 BitLocker 驱动器加密。

　　ms-PKI-DPAPIMasterKeys

　　ms-PKI-AccountCredentials

　　ms-PKI-RoamingTimeStamp

　　ms-FVE-KeyPackage

　　ms-FVE-RecoveryGuid

　　ms-FVE-RecoveryInformation

　　ms-FVE-RecoveryPassword

　　ms-FVE-VolumeGuid

　　ms-TPM-OwnerInformation

　　F、单向复制

　　由于没有更改直接写入到 RODC，因此不是起源于本地且成为复制伙伴的可写域控制器没有必要从 RODC 拉入更改。这意味着恶意用户在分支位置可能进行的任何更改或损坏不能从 RODC 复制到林的其余部分。

　　这样还减少了中心站点中桥头服务器的工作负荷并且减少了监视复制所需的精力。

　　RODC 单向复制适用于 AD DS 和分布式文件系统复制 (DFSR)。对于 AD DS 和 DFSR 更改，RODC 执行正常的入站复制。

　　G、凭据缓存

　　凭据缓存指用户或计算机凭据的存储。凭据由与安全主体相关的一组大约 10 个密码组成。

　　默认情况下，RODC 除了本身的计算机帐户和该 RODC 的特殊 krbtgt 帐户外，不存储用户凭据或计算机凭据。为了允许 RODC 满足本地身份验证和服务票证请求，您必须明确允许将任何其他凭据缓存在该 RODC 上，包括相应的用户、计算机和服务帐户。

　　当允许列表中只包含来自分支的用户时，RODC 无法满足本地服务票证的请求，因此它依赖于对可写域控制器的访问来实现。在广域网 (WAN) 脱机的情况下，该条件可能会导致服务中断。

　　RODC 作为分支机构的密钥发行中心 (KDC) 播发。当 RODC 对票证授予票证 (TGT) 请求进行签名或加密时，它使用与可写域控制器上的 KDC 使用的帐户和密码不同的 krbtgt 帐户和密码。这样就在不同分支机构的 KDC 之间提供了加密隔离，从而可防止不安全的 RODC 向位于其他分支机构或中心站点的资源颁发服务票证。

　　在帐户成功经过身份验证后，RODC 会尝试联系中心站点中运行 Windows Server 2008 的可写域控制器并从中获取用户凭据或计算机凭据。中心站点可以是安全部署了运行 Windows Server 2008 的可写域控制器的任何 Active Directory 站点。

　　密码复制策略 (PRP) 会在可写域控制器上强制执行，用于确定是否可以将用户凭据或计算机凭据从可写域控制器复制到 RODC。如果密码复制策略允许复制，RODC 会从可写域控制器中复制凭据，然后缓存凭据。在 RODC 缓存凭据之后，RODC 就可以直接服务该用户或计算机的登录请求，直到凭据更改。

　　通过将凭据缓存限制为仅通过 RODC 身份验证且密码复制策略允许其缓存凭据的用户和计算机的同时，也限制了因 RODC 被盗而使凭据泄露的可能性。这是因为通常在任何给定的 RODC 上只缓存一小部分域用户和计算机的凭据。因此，如果出现 RODC 被盗的情况，只有经过缓存的那些凭据可能会泄露。

　　H、管理员角色分隔

　　管理员角色分隔指定可以委派任何域用户或安全组成为 RODC 的本地管理员，而无需授予该用户或组该域或其他域控制器的任何权限。相应地，委派的管理员可以登录 RODC 以在服务器上执行维护工作（如升级驱动程序）。但是委派的管理员将不能登录任何其他域控制器或在域中执行其他任何管理任务。这样就可以委派包含分支用户的安全组而不是 Domain Admins 组的成员来有效地管理分支机构中的 RODC，而不会危及域中其他域控制器的安全。

　　I、只读域名系统

　　可以在 RODC 上安装域名系统 (DNS) 服务器服务。RODC 能够复制 DNS 使用的所有应用程序目录分区，包括 ForestDNSZones 和 DomainDNSZones。如果在 RODC 上安装了 DNS 服务器，则客户端可以像查询其他任何 DNS 服务器一样查询它获得名称解析。

　　但是，RODC 上的 DNS 服务器不直接支持客户端更新。当客户端尝试根据 RODC 更新其 DNS 记录时，服务器会返回一个引用。然后客户端尝试根据引用中提供的 DNS 服务器进行更新。在后台 RODC 上的 DNS 服务器将尝试从进行更新的 DNS 服务器复制更新的记录。此复制请求仅适用于单个对象（DNS 记录）。在此特殊的 replicate-single-object 请求过程中不会复制更改区域或域数据的完整列表。