Windows Server 2008 Active Directory 域服务新增功能

核心提示： RODC 甚至可能不出现在 DS 复制拓扑中，由于 RODC 类似正常的成员服务器，Windows Server 2008 Active Directory 域服务新增功能(7)，而不象域控制器，知识一致性检查器（KCC，它执行要求有域管理访问权限的所有任务，包括创建计算机帐户、向站点指派

RODC 甚至可能不出现在 DS 复制拓扑中。由于 RODC 类似正常的成员服务器，而不象域控制器，知识一致性检查器（KCC，该进程在每个 DC 上负责计算 DS 复制拓扑）不会从 RODC 构建连接对象。完全 DC 或 RODC 都不会试图从 RODC 进行复制。另一方面，RODC 将创建一个代表源自完全 DC 入站复制协定的连接对象，但是此连接对象仅存在于 RODC 副本中，其他 DC 没有该连接对象的副本。从复制的角度，RODC 像目录对象的 Roach Motel。对象向内复制，但不向外复制。

RODC 上的管理角色分离

由本地服务器管理员管理分支机构 DC 是很寻常的现象，这些管理员做每项工作，从在域控制器上运行备份，到整理键盘。但是，授予远程站点管理员在域控制器进行常规维护所必需的权限会有安全风险，站点管理员有可能提升其在域中的权限。RODC 通过提供两种管理角色分离来防止此种威胁。

第一种是域管理员可以使用 DCPROMO，以正常方式提升 RODC，或者使用两个步骤的过程，实际的提升流程安全地委派给分支站点管理员，而不授予任何域管理权限。域管理员使用 Active Directory 用户和计算机 MMC 管理单元预先在域中创建 RODC 计算机帐户，如图 5 中所示。

图 5 预先创建 RODC 计算机帐户

选择“预创建只读域控制器帐户”会运行精简型 DCPROMO，它执行要求有域管理访问权限的所有任务，包括创建计算机帐户、向站点指派 RODC、指定 DC 的角色、指定密码复制策略并定义需要权限来在 RODC 上完成 DCPROMO 操作的用户或组。委派的管理员或组存储在 RODC 计算机对象的 managedBy 属性中。