Isso não é possível. Se você ingressar em um domínio, o domínio poderá entrar com usuários no seu computador e aplicar os GPOs a ele. Os GPOs podem fazer com que o software seja instalado a partir da rede e modificar entradas de registro arbitrárias.
O uso de um RODC no enclave protegerá o domínio do seu enclave, mas não protegerá o enclave de seu domínio. No entanto, você pode usar o contrário para aumentar a segurança e fazer com que todos os seus computadores gerenciados se comuniquem apenas com os RODCs e permitir que apenas outros DCs acessem os DCs graváveis.
Se você tiver computadores confidenciais que deseja proteger de um comprometimento em seu domínio, considere criar um domínio separado (em uma floresta separada) para esses hosts e gerenciá-los separadamente; isso é muito comum quando enclaves seguros são necessários. Você também pode considerar não juntá-los a um domínio, especialmente se houver muito poucos deles.
Analisando seus comentários, não sei ao certo qual é seu modelo de ameaça.
O que exatamente você faz dependerá muito do seu modelo de ameaça. No entanto, normalmente membros do domínio e usuários arbitrários não têm execução de código em controladores de domínio. Se você estiver preocupado com as falhas, o patching é uma boa política e, em ambos os casos, o uso de um RODC pode ajudar a limitar o impacto, já que os RODCs não podem alterar nada no domínio.
Se você estiver preocupado com o fato de os usuários executarem comandos remotamente ou fazerem login no controlador de domínio (o que não lhes daria direitos para fazer coisas como implantar software no domínio sem que eles também usem algum tipo de exploração de escalonamento de privilégios ou semelhante), pode impedir que eles façam login nos DCs pela política de grupo.
As configurações para isso estão no GPO que se aplica aos DCs, em Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment ... se é isso que você está tentando fazer.
Usuários (e outras entidades de segurança) estão vinculados ao domínio ou à máquina, mas não a ambos. Você não pode realmente fazer coisas como negar direitos de administrador de domínio com base no computador do qual eles estão se conectando no AD. Mas, o que você pode fazer é restringir o acesso à rede para os DCs que não são RODCs, e isso provavelmente deve ser suficiente (dependendo do seu modelo de ameaça) para impedir ações administrativas de estações de trabalho de usuários aleatórios. Se você quiser impedir que os usuários usem os RODCs como pontos dinâmicos (é isso que você quer fazer?), Eu suponho que você poderia negar todos os direitos de login, mas isso tornaria a administração um pouco difícil. as portas de replicação do DS em um firewall entre o RODC e outros DCs.
As portas que você deve abrir são aquelas identificadas na documentação da implantação do RODC; consulte a seção "Portas de comunicação necessárias" no link . Mas, infelizmente, o RPC deve ser permitido, e é assim que o psexec funciona. Isso só permitirá que você proíba o login por itens como o RDP.
Para completar e evitar que o psexec seja usado com credenciais roubadas, você sempre pode banir os administradores de domínio do logon de trabalho em lote através do GPO mencionado acima nos controladores de domínio graváveis. Isso reduzirá levemente a capacidade de gerenciamento, mas é uma decisão que você pode tomar. Há um documento muito bom sobre essa e outras dicas para a segurança da conta de administrador de domínio no link . Usar o acesso delegado, no qual as contas administrativas recebem direitos administrativos específicos por meio da delegação, em vez do administrador geral do domínio, também pode ser uma opção para você.