目录
1、技术要求
2、预置 RODC 账户
3、安装 RODC Server
4、安装后确认
5、使用 Smart Card 登录 RODC
6、RODC 被盗后,删除该 RODC
7、防止在与 Writable DC 断开的情况下,不能登录到 RODC
参考链接
1、技术要求
1)尽量采用 Forest Functional Level 为 Windows Server 2008 或以上,防止 RODC 从 Windows Server 2003 域控制器中复制已被筛选的属性集。
2)为保护 RODC,除了筛选属性集以外,还可以将部分属性标注为 Confidential。
3)RODC 放置一般原则:
- 禁用 Bridge all site links
- RODCs 放置在尾部、周边站点
- Windows Server 2008 或以上 Writable DC 放置在 Hub Site
- 同一站点,不能同时放置 2 台 RODC,或和其它 Writable DCs 同时放置在同一站点(但可以临时放置)
(作为安全起见,不应将 RODC 或其它 Writable DCs 同时放置在同一站点。因为,放置 RODC 的站点是非安全站点,该站点中的 Writable DCs 可能遭遇 AD 数据盗窃或丢失的安全事件。但作为替换 Writable DCs 的临时过渡方案,在按企业安全规范指示的情况下,在一定时间内可暂时与其他 Writable DCs 共存。)
4)无法清除已缓存到 RODC 中的密码。此时,建议重设已缓存到 RODC 的所有账户的密码。
5)当分支站点中的 RODC 不能连接到中心站点的 Writable DC 时,分支站点将出现以下状况:
- 不能修改密码
- 不能加域操作
- 计算机不能重命名
- 没有缓存到 RODC 的账户不能登录或验证
- 不能更新组策略