活動目錄在Win2008改進只讀域控制器

只讀域控制器(RODC)是在Windows Server 2008操作系統(tǒng)中一種新的域控制器。有了只讀域控制器，組織能夠容易地的物理安全得不到保證的地區(qū)部署域控制器。一臺RODC包含了活動目錄數(shù)據(jù)庫的只讀部分。
    在Windows Server 2008發(fā)布以前，如果用戶不得不跨廣域網(wǎng)連接域控制器進行身份驗證的話，那也就沒有其它更好的選擇。在許多案例中，這不是有效的解決方法。分支機構(gòu)通常無法為一臺可寫的域控制器提供的足夠的物理安全。而且，當(dāng)分支機構(gòu)連接到樞紐站點時，它們的網(wǎng)絡(luò)帶寬通常比較差。這將導(dǎo)致登錄時間變長。這也會阻礙網(wǎng)絡(luò)資源的訪問。
    從Windows Server 2008開始，組織能夠部署RODC來處理這些問題。作為部署的結(jié)果，用戶能夠獲得以下好處：
    ●改進的安全性
    ●快速登錄
    ●更有效的訪問網(wǎng)絡(luò)資源
    RODC可以做什么?
    在考慮部署RODC時，物理安全的不足是最為尋常的理由。RODC給那些需要快速可靠的身份驗證，同時對可寫域控制器而言物理安全無法得到確保的地方部署域控制器提供了新的方法。
    然而你的組織也可以為了特殊的管理需要選擇部署RODC。比如，業(yè)務(wù)程序(line-of-business，LOB)只能被安裝到域控制器上并才能得以成功運行?；蛘撸蚩刂破魇欠种C構(gòu)僅有的服務(wù)器，而不得不運行服務(wù)器應(yīng)用。
    在這些例子中，業(yè)務(wù)程序所有者必須經(jīng)常交互式登錄到域控制器或者使用終端服務(wù)來配置和管理程序。這種環(huán)境引起了在可寫域控制器上不被接受的安全風(fēng)險。
    RODC為在這些場景中部署域控制器提供了更安全的機械結(jié)構(gòu)。你能夠?qū)⒌卿浀絉ODC的權(quán)利轉(zhuǎn)讓給沒有管理權(quán)限的域用戶同時最小化給互動目錄森林帶來的安全風(fēng)險。
    你也可以在其它場景中部署RODC，比如在外延網(wǎng)(EXTRANETS)中本地儲存的所有域密碼被認(rèn)為是主要威脅。
    還有其它要特別考慮的嗎?
    為了部署RODC，域中必須至少有一臺運行Windows Server 2008的可寫域控制器。此外，活動目錄域和森林的功能級必須是Windows Server 2003或者更高。