14RODC管理任务.docx
《14RODC管理任务.docx》由会员分享,可在线阅读,更多相关《14RODC管理任务.docx(9页珍藏版)》请在冰豆网上搜索。
14RODC管理任务
RODC管理任务
一、启用密码复制策略
只读域控制器密码缓存设置完成后,管理员可以通过手动复制方式立即同步ActiveDirectory数据库,也可以通过DFS分布式服务通过复制计划自动同步。
依次打开“Start”—“AdministrativeTools”—“ActiveDirectorySitesandServices”,在相应站点(默认为Default-First-Site-Name)中展开只读域控制器,单击“NTDSSettings”,在右边窗格中将会显示站点链接,在该链接上右键,选择“ReplicateNow”,启动域间同步,同步完成后弹出“ReplicateNow”对话框,单击“OK”即可。
二、设置缓存用户或组
依次选择“Start”—“AdministrativeTools”—“ActiveDirectoryUsersandComputers”,点击“DomainControllers”容器,在右边窗格中右击只读域控制器,点击“Properties”,选择“PasswordReplicationPolicy”页,点击“Add”按钮,显示“AddGroups,UsersandComputers”对话框,选择“AllowpasswordsfortheaccounttoreplicatetothisRODC”,单击“OK”按钮,显示“SelectUsers,Computers,orGroups”对话框,输入准备复制到RODC的用户,单击“OK”,再次单击“OK”;
三、查看缓存用户信息
1、依次选择“Start”—“AdministrativeTools”—“ActiveDirectoryUsersandComputers”,点击“DomainControllers”容器,在右边窗格中右击只读域控制器,点击“Properties”,选择“PasswordReplicationPolicy”页,单击“Advanced”;
2、显示“AdvancedPasswordReplicationPolicyfor…”对话框,选择“PolicyUsage”页,在“Displayusersandcomputersthatmeetthefollowingcriteria:
”下拉列表中选择“AccountswhosepasswordsarestoredonthisRead-onlyDomainController”,除了只读域控制器本身的计算机帐户和Kerberos票据授权krbtgt账户外,默认没有缓存任何账户的密码;
3、在“Displayusersandcomputersthatmeetthefollowingcriteria:
”下拉列表中选择“AccountsthathavebeenauthenticatedtothisRead-onlyDomainController”,显示在只读域控制器已经通过身份验证的用户和计算机,通过此列表可确定哪些账户允许此只读域控制器进行缓存。
四、预设密码
预设密码的前提是已经设置了用户缓存到RODC中。
建议除用户帐户的密码外,还必须将用户登录的计算机帐户的密码也存储在RODC中,以便在可读写域控制器不可用的情况下,用户仍然能正常登录。
1、用域管理员身份登录到可读写域控制器,依次选择“Start”—“AdministrativeTools”—“ActiveDirectoryUsersandComputers”,点击“DomainControllers”容器,在右边窗格中右击只读域控制器,点击“Properties”,选择“PasswordReplicationPolicy”页,单击“Advanced”;
2、显示“AdvancedPasswordReplicationPolicyfor…”对话框,选择“PolicyUsage”页,在“Displayusersandcomputersthatmeetthefollowingcriteria:
”下拉列表中选择“AccountswhosepasswordsarestoredonthisRead-onlyDomainController”;
3、单击“PrepopulatePasswords”按钮,显示“SelectUsersorComputers”,键入需要预设密码的用户帐户,单击“OK”;
4、显示“PerpopulatePasswords”对话框,单击“Yes”
5、提示预设密码成功,单击“OK”,完成用户密码缓存。
五、委派RODC域控制器管理权限
除了在RODC安装过程中可以委派管理权限外,在安装后也可以通过命令行方式委派管理权限。
1、用域管理员权限登录RODC,打开命令行,输入命令dsmgmt,回车,在dsmgmt命令行提示符下,输入命令localroles,回车,在localroles命令行提示符下,输入命令listroles查看RODC支持的角色列表;
2、在localroles命令行提示符下,输入命令addDomainName\UserAccountadministrator将域用户添加到本地管理员组中,如图
3、可以使用命令showroleadministator查看具备管理员权限的用户。