AD中的RODC為什麼可以新增使用者??

ad 2008 r2 rodc

wwe951110101 2015-05-14 17:57:39 ‧ 6334 瀏覽

分享至

最近在研究公司的AD
網路上找的資料是說RODC只能讀不能寫
但剛才試驗結果
還是可以新增使用者
也沒有設定委派功能
請問是哪裡出問題了

我是使用網域管理員登入的，不知道是不是跟權限設定有關係

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

2 個回答

Ray

iT邦大神 1 級 ‧ 2015-05-18 00:41:36

最佳解答

你的使用方法錯誤. 我們先釐清, Create Account 之前的環境是怎樣:

假設情境:
你用 Domain admins 的帳號權限, 登入 RODC, 執行 ADUC 新增帳號.

實際環境:

FSMO 指向運作中的 DC (Master DC), 該 DC 並非 Read only
Domain admins 有權限可以在 Master DC 上創建帳號
ADUC 執行時, 會自動指向 FSMO 所在的 Master DC, 並非本機的 DC

所以, 當您以上述假設步驟執行時, 實際上您是在 Master DC 上面創建了帳號, 而不是在 RODC 上面, 跟下面這篇所描述的情境差不多相同:
Creating users on an RODC

既然如此, 那麼 RODC 要如何使用?

RODC 是用來授權給等級較低的管理員使用的, 且該站台內只有 RODC 沒有其他的 DC.
你要挑選一個當地的 user account 或是 group 來當成管理 RODC 的管理員, 然後透過下面的步驟去委派 RODC 管理權限:
RODC Administration
接下來, 用這個委派的帳號登入, 你就會發現: 他可以管理 DC, 但是不能變更內容.