iT邦幫忙

0

AD中的RODC為什麼可以新增使用者??

最近在研究公司的AD
網路上找的資料是說RODC只能讀不能寫
但剛才試驗結果
還是可以新增使用者
也沒有設定委派功能
請問是哪裡出問題了

我是使用網域管理員登入的,不知道是不是跟權限設定有關係

2 個回答

0
raytracy
iT邦大神 1 級 ‧ 2015-05-18 00:41:36
最佳解答

你的使用方法錯誤. 我們先釐清, Create Account 之前的環境是怎樣:

假設情境:
你用 Domain admins 的帳號權限, 登入 RODC, 執行 ADUC 新增帳號.

實際環境:

  1. FSMO 指向運作中的 DC (Master DC), 該 DC 並非 Read only
  2. Domain admins 有權限可以在 Master DC 上創建帳號
  3. ADUC 執行時, 會自動指向 FSMO 所在的 Master DC, 並非本機的 DC

所以, 當您以上述假設步驟執行時, 實際上您是在 Master DC 上面創建了帳號, 而不是在 RODC 上面, 跟下面這篇所描述的情境差不多相同:
Creating users on an RODC

既然如此, 那麼 RODC 要如何使用?

RODC 是用來授權給等級較低的管理員使用的, 且該站台內只有 RODC 沒有其他的 DC.
你要挑選一個當地的 user account 或是 group 來當成管理 RODC 的管理員, 然後透過下面的步驟去委派 RODC 管理權限:
RODC Administration
接下來, 用這個委派的帳號登入, 你就會發現: 他可以管理 DC, 但是不能變更內容.

感謝回答 原來是帳號的問題!!

2
michaelwan
iT邦高手 1 級 ‧ 2015-05-15 08:26:18

選錯台網域控制站?

我要發表回答

立即登入回答