16、只读域控制器与活动目录联合服务详解

只读域控制器与活动目录联合服务详解

1. 只读域控制器（RODC）密码复制

每个只读域控制器（RODC）都与一个可写域控制器配对，用于密码复制。部署 RODC 时，需在其复制伙伴上配置密码复制策略。当复制伙伴向 RODC 发送 AD DS 数据库信息时，用户账户信息会被复制，但不包含密码信息。可配置要复制哪些用户账户的密码，这样能减少 RODC 被攻破时可能泄露的密码数量。

密码复制策略就像一个访问控制列表（ACL），指示哪些用户账户可以将其密码存储在 RODC 上。若用户账户的密码存储在 RODC 上，该用户首次登录 RODC 后，后续可直接从 RODC 登录域，无需联系可写域控制器。首次登录时，RODC 必须联系可写域控制器验证用户密码；用户更改密码时，RODC 也需再次联系可写域控制器，以便在 AD DS 数据库中记录更改后的密码。

可以指定将哪些用户的密码复制到单个 RODC 或域中的所有 RODC。例如，在单个分支机构工作的用户，可将其密码复制到该分支机构的 RODC；需要从任何分支机构访问网络的移动用户，可将其密码复制到域中的所有 RODC。

每个 RODC 持有以下两个用户账户列表：
- 允许列表 ：列出允许缓存密码的用户账户。默认情况下，此列表不包含任何用户。可手动为域中的每个 RODC 配置不同的允许列表。通常，此列表包含位于 RODC 所在分支机构的用户。
- 拒绝列表 ：列出不允许缓存密码的用户账户。默认情况下，高安全性用户账户（如 Domain Admins、Enterprise Admins 和 Schema Admins 组的成员）包含在