九色国产,午夜在线视频,新黄色网址,九九色综合,天天做夜夜做久久做狠狠,天天躁夜夜躁狠狠躁2021a,久久不卡一区二区三区

  只讀數(shù)據(jù)：RODC上包含所有ADDS的對(duì)象和屬性，但是和可讀寫的DC不一樣的是，默認(rèn)情況下，RODC上不包含賬戶的密碼。在不能保證域控制器的安全性的情況下（例如分支機(jī)構(gòu)），我們通過(guò)RODC實(shí)現(xiàn)域信息的安全性。在分支機(jī)構(gòu)如果有LDAP的應(yīng)用程序需要訪問(wèn)活動(dòng)目錄并對(duì)活動(dòng)目錄對(duì)象作修改，則該LDAP應(yīng)用程序可以重定向到中央站點(diǎn)的可讀寫DC上。

   單向復(fù)制：RODC對(duì)ADDS和DFS執(zhí)行的常規(guī)的入站復(fù)制。因?yàn)槟荒苤苯釉赗ODC上進(jìn)行寫的操作，所以RODC是不支持出站復(fù)制的，所以作為RODC復(fù)制伙伴的可讀寫DC是不會(huì)從RODC接收到數(shù)據(jù)的。RODC的單向復(fù)制也同樣應(yīng)用到DFS復(fù)制。

   憑據(jù)緩存:在RODC上存儲(chǔ)用戶和計(jì)算機(jī)的憑據(jù)稱之為credential caching（憑據(jù)緩存）。默認(rèn)情況下，RODC上只存儲(chǔ)它自己的計(jì)算機(jī)賬戶和一個(gè)用于這臺(tái)RODC的特殊的Kerberos 票據(jù)授權(quán)票 (KRBTGT)賬戶，此賬戶是被可讀寫DC用來(lái)驗(yàn)證RODC身份的。如果您需要在RODC上存儲(chǔ)用戶憑據(jù)或者計(jì)算機(jī)憑據(jù)的話，你需要在RODC上允許這些憑據(jù)被緩存。如果您在RODC上激活了憑據(jù)緩存，它只會(huì)影響組織中計(jì)算機(jī)和與用戶賬戶的比較小的子集，這是因?yàn)镽ODC一般是總是放置在比較小的分支機(jī)構(gòu)，所以您允許憑據(jù)緩存的計(jì)算機(jī)和用戶賬戶應(yīng)該都不多。這樣即使您的RODC被偷了，您只會(huì)丟失那些緩存在RODC上的憑據(jù)。其實(shí)在后面會(huì)說(shuō)到，在RODC被偷走之后，您可以馬上在可讀寫DC上將RODC的計(jì)算機(jī)賬戶刪除，在刪除時(shí)可以對(duì)緩存在該RODC上的憑據(jù)進(jìn)行密碼重設(shè)，這樣丟失掉的這些憑據(jù)就沒(méi)有任何作用了。

   只讀DNS:您可以在RODC上安裝DNS服務(wù)。RODC可以復(fù)制DNS所使用的所有應(yīng)用程序目錄分區(qū)（Application Directory Partition），包括ForestDNSZones和DomainDNSZones。如果您在RODC上安裝了DNS，則客戶端可以請(qǐng)求RODC進(jìn)行名稱解析。但是，在RODC上的DNS是不支持客戶端直接進(jìn)行更新DNS紀(jì)錄的，因此RODC不會(huì)在它所擁有的活動(dòng)目錄集成區(qū)域里面注冊(cè)任何NS紀(jì)錄。當(dāng)客戶端找RODC進(jìn)行DNS紀(jì)錄更新時(shí)，RODC將返回一個(gè)指針。然后客戶端計(jì)算機(jī)將聯(lián)系指針?biāo)赶虻腄NS服務(wù)器更新DNS紀(jì)錄。在后臺(tái)，在RODC上的DNS服務(wù)器將嘗試從執(zhí)行更新的DNS服務(wù)器上復(fù)制更新的紀(jì)錄。為了提高復(fù)制效率，RODC只會(huì)請(qǐng)求更新的紀(jì)錄。

  管理角色分離：您可以使用該特征來(lái)允許一個(gè)普通的域用戶成為RODC的本地管理員。這樣此用戶可以對(duì)分支機(jī)構(gòu)的RODC進(jìn)行管理操作，例如安裝安全更新或者驅(qū)動(dòng)程序。這個(gè)特征好處在于此用用在域中或者任何可讀寫的域控制器上沒(méi)有用戶權(quán)利。而在以前都是可讀寫DC，DC的本地管理員和域管理員是沒(méi)有區(qū)別的。這使得分支機(jī)構(gòu)用戶可以有效的管理RODC而不會(huì)影響整個(gè)域的安全性。

  活動(dòng)目錄復(fù)制考慮。RODC可以從Windows Sever 2003域控制器復(fù)制架構(gòu)分區(qū)和配置分區(qū)的數(shù)據(jù)，但是RODC只能從來(lái)自同一域的Windows Server 2008的可讀寫域控制器復(fù)制域分區(qū)的數(shù)據(jù)更新。因此，您至少應(yīng)該在中央站點(diǎn)安裝一臺(tái)Windows Server 2008的域控制器用于RODC復(fù)制。

  持有PDC角色的Windows Server 2008域控制器。作為PDC操作主控角色的域控制器一定要是Windows Server 2008，這樣才可以識(shí)別新的RODC所使用的特殊的Kerberos 票據(jù)授權(quán)票 (KRBTGT)賬戶。

   與其它域控制器一起部署。您可以在沒(méi)有任何域控制器的站點(diǎn)部署RODC。但是您也可以在擁有以下域控制器的站點(diǎn)部署RODC:

   來(lái)自于同一域或者不同域的Windows Server 2003域控制器

   來(lái)自于同一域或者不同域的Windows Server 2008域控制器

   來(lái)自不同域的RODC（注：不可以有來(lái)自于同一域的RODC）

   降低中央站點(diǎn)域控制器的負(fù)載。在安裝RODC時(shí)您可以指定RODC和位于中央站點(diǎn)的特定的橋頭服務(wù)器進(jìn)行單向復(fù)制，這樣降低了網(wǎng)絡(luò)流量和用于復(fù)制的服務(wù)器資源使用。

   RODC做GC(全局編錄)。您可以將RODC設(shè)置為GC，但是不能使RODC持有操作主控角色。

   森林的功能級(jí)別需要為Windows Server 2003或以上。這樣一個(gè)可以支持LVR復(fù)制以減少更新的丟失。LVR復(fù)制使得可以復(fù)制特定的值而不是復(fù)制包含一組值得屬性。第二個(gè)可以支持強(qiáng)制委派（constrained delegation）。在RODC的場(chǎng)景中，有一個(gè)特殊的Kerberos 票據(jù)授權(quán)票 (KRBTGT)賬戶用于驗(yàn)證可讀寫DC和RODC之間的連接。該帳戶在RODC上就擁有強(qiáng)制委派權(quán)限。

  至少一臺(tái)Windows Server 2008的DC。

  如果只有一臺(tái)Windows Server 2008 DC，此DC應(yīng)該為PDC角色。

  應(yīng)該在同一域中實(shí)現(xiàn)多臺(tái)Windows Server 2008 DC,來(lái)實(shí)現(xiàn)RODC復(fù)制的負(fù)載平衡。

  一個(gè)域，一個(gè)站點(diǎn)只能擁有一臺(tái)RODC。

1、不緩存賬戶。這個(gè)是默認(rèn)設(shè)置。

   優(yōu)點(diǎn)：

   最高的安全性

   快速的策略處理

   缺點(diǎn)：

   任何人都不可以離線訪問(wèn)

   在另外一個(gè)站點(diǎn)一定要有一臺(tái)可讀寫DC用于登陸

2、  緩存大部分賬戶

   優(yōu)點(diǎn)：

   很容易進(jìn)行密碼管理。我們只需要關(guān)注在管理RODC的安全而不是密碼的安全。

   缺點(diǎn)：

   對(duì)于RODC來(lái)說(shuō)，緩存的大部分的密碼將是潛在的安全威脅。

3、 緩存少數(shù)特定的分支機(jī)構(gòu)賬戶

   優(yōu)點(diǎn)：

   保護(hù)了密碼安全

   實(shí)現(xiàn)了用戶離線訪問(wèn)

   缺點(diǎn)：

   您需要把每個(gè)計(jì)算機(jī)賬戶和用戶賬戶映射到每個(gè)分支機(jī)構(gòu)，在RODC的屬性中可以查看哪些賬戶通過(guò)RODC進(jìn)行身份驗(yàn)證，以此來(lái)決定有哪些賬戶是需要為該分支機(jī)構(gòu)的，需要進(jìn)行緩存。這是一個(gè)需要管理員交互式操作的過(guò)程，所以帶來(lái)一定的管理成本增加。

 

實(shí)驗(yàn)環(huán)境：hbycrsj.com安裝好一臺(tái)可讀寫的DC：R2DC01和一臺(tái)安裝好windows 2008 r2獨(dú)立服務(wù)器r2rodc

 

實(shí)驗(yàn)要求：將r2rodc安裝為一臺(tái)RODC

 

實(shí)驗(yàn)步驟

確保林功能級(jí)別為 Windows Server 2003 或更高版本的步驟
1.打開(kāi)“Active Directory 域和信任關(guān)系”。

2.在控制臺(tái)樹(shù)中，右鍵單擊林的名稱，然后單擊“屬性”。

3.在“林功能級(jí)別”下，驗(yàn)證值是 Windows Server 2003 還是 Windows Server 2008。

4.如果有必要提升林功能級(jí)別，請(qǐng)?jiān)诳刂婆_(tái)樹(shù)中，右鍵單擊“Active Directory 域和信任關(guān)系”，然后單擊“提升林功能級(jí)別”。

5.在“選擇一個(gè)可用的林功能級(jí)別”中，單擊 Windows Server 2003，然后單擊“提升”。

 

運(yùn)行 adprep /rodcprep
此步驟更新林中所有 DNS 應(yīng)用程序目錄分區(qū)上的權(quán)限。這允許它們被也是 DNS 服務(wù)器的所有 RODC 成功復(fù)制。若要運(yùn)行 adprep /rodcprep，您必須是 Enterprise Admins 組的成員。

運(yùn)行 adprep /rodcprep 的步驟
1.以 Enterprise Admins 組成員的身份登錄到域控制器。

2.將 Windows Server 2008 安裝 DVD 中 \sources\adprep 文件夾的內(nèi)容復(fù)制到架構(gòu)主機(jī)。

3.打開(kāi)命令提示符，將目錄更改為 adprep 文件夾，鍵入以下命令，然后按 Enter：

adprep /rodcprep

 

運(yùn)行dcpromo進(jìn)行RODC安裝

以下是幾個(gè)重要的截圖：（其它選擇參加前面Windows Server 2008 R2之一活動(dòng)目錄服務(wù)部署)

以下導(dǎo)出的安裝腳本：

; DCPROMO unattend file (automatically generated by dcpromo)
; Usage:
;   dcpromo.exe /unattend:C:\unattend.txt
;
; You may need to fill in password fields prior to using the unattend file.
; If you leave the values for "Password" and/or "DNSDelegationPassword"
; as "*", then you will be asked for credentials at runtime.
;
[DCInstall]
; Read-Only Replica DC promotion
ReplicaOrNewDomain=ReadOnlyReplica
ReplicaDomainDNSName=HBYCRSJ.COM
; RODC Password Replication Policy
PasswordReplicationDenied="BUILTIN\Administrators"
PasswordReplicationDenied="BUILTIN\Server Operators"
PasswordReplicationDenied="BUILTIN\Backup Operators"
PasswordReplicationDenied="BUILTIN\Account Operators"
PasswordReplicationDenied="HBYCRSJ\Denied RODC Password Replication Group"
PasswordReplicationAllowed="HBYCRSJ\Allowed RODC Password Replication Group"
SiteName=Default-First-Site-Name
InstallDNS=Yes
ConfirmGc=Yes
CreateDNSDelegation=No
UserDomain=HBYCRSJ.COM
UserName=HBYCRSJ.COM\BILL.XU
Password=*
ReplicationSourceDC=R2DC01.HBYCRSJ.COM
DatabasePath="C:\Windows\NTDS"
LogPath="C:\Windows\NTDS"
SYSVOLPath="C:\Windows\SYSVOL"
; Set SafeModeAdminPassword to the correct value prior to using the unattend file
SafeModeAdminPassword=
; Run-time flags (optional)
; CriticalReplicationOnly=Yes
; RebootOnCompletion=Yes

管理RODC

1、在AD用戶和計(jì)算機(jī)管理控制臺(tái)中，建立一全局組TESTRODC_G和加入這個(gè)組用戶RODCUser

2、在AD用戶和計(jì)算機(jī)管理控制臺(tái)中，選擇Domain Controllers，右擊RODC，選擇屬性，進(jìn)行如下操作

（將TestRODC_G增加到允許緩存組）

下面的操作用來(lái)查看用戶緩存情況

預(yù)設(shè)用戶緩存操作

查看用戶策略結(jié)果：

以下操作在R2RODC上完成

將RODCUSER增加到RODCUSER本地管理員組

關(guān)閉r2dc01注銷R2RODC,以RODCUSER登錄

本站僅提供存儲(chǔ)服務(wù)，所有內(nèi)容均由用戶發(fā)布，如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請(qǐng)點(diǎn)擊舉報(bào)。