委派RODC管理员

将某个普通域用户(或组)委派为RODC管理员:

委派完成后,其用户就可以直接在RODC上登陆,执行管理员操作。

默认委派的RODC管理员密码是不会被缓存在RODC上的,当RODC与RWDC之间的网络不可用时,委派的管理员就无法再登录RODC。通过如下方式可以进行缓存,如下将用户abc密码从DC01缓存到ADDC02(RODC)上:

1)密码复制策略-添加-允许该账户的密码复制到RODC(用户abc隶属于rusers组,该组为RODC委派的管理员组)

2-1)密码复制策略-高级-预设密码:添加用户(或计算机,不可以添加组)

      预设密码:RODC在账户尝试登录之前 复制和缓存账户的密码

2-2)使用命令行方式预设密码:

repadmin /rodcpwdrepl addc02 dc01 cn=abc,ou=hypervcs,dc=testt,dc=com

 

查看结果:

注意:必须在密码复制策略中包含相应的用户、计算机和服务账户,这样RODC才能在本地满足身份验证和服务票据请求

  

之后在RODC连接不到RWDC的情况下,可以使用用户abc在RODC上直接登录(等待时间较长)。

 Windows Server 中没有用于清除 RODC 上给定用户的缓存密码的机制。如果 RODC 被泄露,请重置当前缓存的密码,然后重建 RODC。通过以下方式可以清除ODC 上给定用户的缓存密码:

 1)添加 拒绝复制的账户

 2)重置该账户密码

 3)查看“密码已存储在此制度域控制器中的账户”,相应的账户已不存在,且在RODC无法联系到RWDC的情况下,无法再登录到RODC。

     注意:如果删除 “拒绝复制的账户”,然后使用该账户再重新登陆,则该账户密码依然会重新被缓存。

 

为RODC服务器配置本地管理员:

cmd下运行 dsmgmt.exe

        local roles  

       add testt\abc administrators

posted on 2013-12-15 14:31  momingliu11  阅读(2257)  评论(0编辑  收藏  举报