RODC用来改善AD环境的其中一个方法是通过提供活动目录数据库的一份只读拷贝来实现的。这意味着无论是普通用户还是管理员,都没有权限通过只读域控制器对活动目录数据库进行修改。
就像从一个可写域控制器(DC)读取信息一样,同样地,你可以通过连接到RODC来读取几乎所有的信息。但是,如果没有通过远程桌面(Remote ">Desktop)连接到可写DC,你就不能进行任何的写操作。或者说,你只可以使用MMC的插件、脚本或命令行工具连接到一个可写DC来更新活动目录。
域控制器安全性提高的另一个方法是只读域控制器并不以可写域控制器一样的方式参与活动目录复制。在Windows Server的早期版本中,多主复制(multi-master replication)表示任何一位管理员都可以连接到森林中的任意域控制器来进行添加、修改和删除操作。而且,这些改变会被复制到其余的活动目录环境中。
Windows Server 2008的只读域控制器使用一个完全不同的复制模型来克服这一点不足。RODC会接收活动目录中DC的改变,但RODC本身并不会复制任何信息到其它DC中。这相当于在安全性中新加入了一层,因此,即使某些恶意用户能够通过RODC修改活动目录数据库,这些修改并不会传播到其余的域和森林中。
分支机构RODC的密码保护
管理远程服务器时,在不安全地区配置DC可能的最大危险是活动目录密码方面的潜在的风险。由于Windows 2000 Server和Windows Server 2003中的AD域控制器为每一个用户和计算机账户储存密码,因此,一旦Windows 2000或Windows 2003的域控制器受到威胁或被盗用,管理员就需要重新设置每一个账号密码(有时还不止一次)。许多机构不愿意忍受配置远程办公室DC时存在的安全风险,于是接受了一种简单的折衷方式,那就是允许远程用户通过广域网(WAN)进行验证。通过在这些办公室中配置RODC,机构不用再在潜在的不安全地区配置可写域控制器,这样就避免了机构暴露于固有的安全风险,也能减少远程用户的验证次数。
只读域控制器另一个安全性能的提高表现在:当活动目录数据库从可写域控制器复制到只读域控制器(RODC)时,除了用户密码之外的用户账户信息都被复制。这意味着你的服务器安全性能大大提高了,因为你可以配置一张表来记录哪些用户和组的密码只允许复制到RODC,哪些可以复制到该域中所有的RODC。这大大降低了远程配置DC的有关风险,因为它将有可能受到威胁的密码数量缩减到了最少。
最后,RODC允许"管理角色分离"。RODC不会让所有的远程管理员都能访问活动目录数据库,而是允许你分配用户一个RODC本地管理员的权限,而且不用将该用户配置为域管理员。这一点是你只能在RODC上完成配置的,因为对一个完全可写的DC来说,服务器本地管理员和有活动目录管理权限的用户之间并没有区别。然而,RODC的管理角色分离允许将RODC的基本管理任务分配给远程桌面技术支持人员,因此有希望减少中心管理员的管理负担。远程桌面技术支持人员进行基本的RODC维护工作,举例来说,如停止和开始服务,对活动目录的非法访问进行重起操作。
值得注意的是,配置RODC的好处只有在活动目录管理员进行某些操作的时候才会显现出来。
举例来说,最佳实践是管理员不应该像域管理员或企业级管理员那样使用升级证书来登陆RODC,因为那样做会放弃掉RODC密码控制议定提供的大部分安全性。这可能要求对现有活动目录管理员进行额外培训,因为任何RODC的管理都必须通过命令行、远程脚本或远程MMC控制台等远程管理方法来实现。
此外,如果你的中心管理员需要登陆一个RODC控制台时(这种情况比较少见,大范围操作系统故障时有可能会发生),必须使用仅对RODC来说是本地管理员的账号,而不是使用在域范围内享有管理员权限的证书。这需要你的AD管理员为环境中每一个RODC管理单独的登陆或智慧卡,这在大规模应用时将会变成管理员头疼的一个问题。
关于如何管理Windows Server 2008的RODC,有一件事是显而易见的。那就是它虽然为如何管理IT基础设施带来了新的挑战,但也有助于维护域控制器的安全和安全管理分散于分公司环境中的远程服务器。