只读域控制器(rodc)部署
RODC 承载 Active Directory域服务 (AD DS) 数据库的只读分区,也就是说用户或者应用程序无法直接修改RODC的AD DS数据库,组织可以在无法保证物理安全性的位置中轻松部署域控制器。
设计 RODC 主要是为了在分支机构环境中部署。分支机构通常用户相对较少,物理安全性差,连接中线站点的网络带宽也相对较低,并且缺乏本地 IT 知识。
部署额外域控制器其他步骤与第一篇《Windows Server 2016部署第一台Active Drectory域控制器》相同,
首先添加完“Active Directory域服务”后点击“将此服务器提升为域控制器”。
在域控制器选型页面勾选”只读域控制器(RODC)(R),
RODC选项页面,在“允许将密码复制到RODC的账户下”决定了
指定从哪个域控制器复制,这里保持默认点击下一步。
指定AD DS数据库、日志文件和susvol的位置,这里保持默认点击下一步。
查看选项,检查之前的配置,有问题的话可以点击上一步进行修改,检查无误后点击下一步。
先决条件检查通过后单机“安装”,
在我们创建完RODC后迫不及待地去测试是否已经不能新建\更改域账号属性后发现神奇的创建用户成功了,那是因为还需要更改域控制器为rodc.
