「打給賀，挖西飛飛，今天你要來點 Active Directory Security 嗎？」
以下將 Active Directory 簡稱為 AD

• 唯讀網域控制站 (Read-Only Domain Controller，RODC)
  • 該控制站內的 AD DS 資料庫 只可被讀取，不可被修改
  • 使用者或應用程式無法直接修改 RODC 的 AD DS 資料庫
• 該控制站資料庫如何被修改？
  • 需要透過其他可寫式網域控制站複寫過去
• 誰要使用 RODC
  • 設計給分公司的網路使用，規模較小 使用者較少
  • 主要設計給缺發 IT 網管人員，該架構可避免被破壞影響到 AD DS 運作
• RODC AD DS 資料庫儲存什麼
  • 儲存 AD DS 網域內的物件與屬性
    • 除了使用者的帳號密碼
    • 應用程式 ---讀取物件---> AD DS 資料庫物件 (RODC 快速取得)
    • 驗證帳號密碼 ---轉送到--> 可寫式網域控制站 進行驗證
• 單向複寫
  • 可寫式網域控制站 更新 ---> 複寫到 RODC
    • 利用 DFC 分散式檔案系統 將 SYSVOL 資料夾 ---單向複寫---> RODC
      • SYSVOL 儲存群組原則的相關設定
• 認證快取 Credential Caching
  • 為了加快驗證帳號密碼速度，可以將使用者密碼儲存在 RODC 認證快取區
  • 透過密碼複寫原則 Password Replication Policy 選擇被快取的帳號
  • 是常被攻擊的目標
• 系統管理員的角色與隔離
  • 可將 RODC 的管理工作委派給使用者，該使用者與系統管理員角色會隔離，因此她可從 RODC 進行登入，但無法執行其他網域管理工作。
• 唯獨網域名稱系統 Read-Only DNS
  • RODC 也可安裝 DNS 伺服器
  • 複寫伺服器應用程式目錄分割區
  • 使用者 -- DNS 查詢服務 --> DNS 伺服器(安裝在 RODC 內)
  • 不支援動態更新，使用者更新紀錄的要求會被轉介到其他 DNS 伺服器，使用者轉向給其他 DNS 伺服器查詢後，也會自動更新 RODC DNS 紀錄