Criando usuários em um RODC

Navegue suas respostas
2

Atualmente, tenho um laboratório em execução que contém um RWDC, um RODC e um PC cliente. Ambos os controladores de domínio estão executando o W2K8 R2.

O RODC atualmente funciona como LAN Router, Servidor VPN, Servidor IIS e Certificado Autoridade. O RWDC está executando somente o ADDS. O problema que estou tendo é que, embora o segundo Controlador de Domínio seja um RODC, ainda posso criar contas de usuário por meio de 'Usuários e Computadores do Active Directory' no RODC.

A conta que estou usando para criar esses usuários é a conta de administrador do domínio. Eu li on-line que o fato de que eu ainda posso criar objetos AD está relacionado ao sistema de referência DNS. Não tenho certeza do que isso significa ou significa.

Alguém pode esclarecer a situação?

    
por ses 08.10.2013 / 20:56

2 respostas

8

Você pode abrir Usuários e Computadores do AD em um RODC, e ele ainda será direcionado para um controlador de domínio gravável ... e você poderá criar contas de usuário remotamente.

Olhe para o topo do painel esquerdo no ADUC, e ele deve dizer qual CD você está alvejando no momento com o console ADUC.

Se você ainda estiver convencido de que está criando contas no RODC, não criou um RODC. Você realmente não pode criar contas de usuário em um RODC.

Os dois principais benefícios de segurança de um RODC:

  1. A política de replicação de senhas refinada. Nem todos os usuários do domínio devem ter suas senhas armazenadas em um RODC. A ideia é que, se alguém tiver comprometido ou mesmo retirado fisicamente o RODC do escritório, ele não terá acesso a todas as senhas do seu domínio. Apenas um subconjunto que você controla.

  2. Você pode tornar um administrador local de um RODC sem torná-lo um administrador de domínio. Considerando que, com um DC gravável, os administradores do DC precisam ser administradores de domínio. Isso é útil quando você deseja delegar tarefas administrativas da máquina, como backups, correções, etc., a um técnico em uma filial remota que você não quer necessariamente ser um administrador de domínio.

por 08.10.2013 / 20:59
1

Na verdade, o seu problema pode ter sido o fato de você não estar conectado ao servidor de teste do VM Ware RODC. Os objetos ainda estavam sendo adicionados porque você ainda estava conectado ao DC gravável. Assista ao vídeo a seguir e vá direto para a marca de 23 minutos ...

link

(isso resolveu meu problema)

  • Greg P
por 14.06.2015 / 11:21

Tags

SPF: Diferença entre v = spf1 inclui: _spf.google.com ~ all e v = spf1 include: spf.google.com ~ all O Windows 2008 Server R2 - perfil de domínio original não será exibido após a recuperação do nome de usuário