活动目录在Win 2008改进 只读域控制器

　　使用AD DS作为数据存储的某些程序，也许会将类似信任凭据的数据(诸如密码，信任凭据，加密密钥)储存在RODC上。而你不想将这些数据储存在RODC上是因为考虑到RODC受到安全威胁的情况。

　　为了这些程序。你可以在架构中动态配置不被复制到RODC的域对象的属性集。这个属性集被称为RODC已筛选属性集。在RODC已筛选属性集定义的属性不允许复制到森林内的任何一台RODC。

　　威胁到RODC的恶意用户能够以某种途径尝试配置RODC，并尝试将RODC已筛选属性集中定义的属性复制到其它域控制器。如果RODC尝试从一台安装Windows Server 2008的域控制器上复制这些属性，那么复制请求将被拒绝。然而，如果RODC尝试从一台安装Windows Server 2003的域控制器上复制这些属性，复制请求将被接受。

　　因此，作为安全性的预防措施，如果你想配置RODC已筛选属性集请确保森林的功能级是Windows Server 2008。如果森林的功能级是Windows Server 2008，那么收到威胁的RODC将不能被如此利用，因为运行Windows Server 2003的域控制器在森林中是不被允许的。

　　你无法添加系统关键属性到RODC已筛选属性集。判断是否是系统关键属性的依据是看以下服务能否正常工作，这样的服务有 AD DS、LSA、SAM(及SSPIs比如Kerberos)在Windows Server 2008 Beta3的后继版本中，系统关键属性拥有属性值等于1的schemaFlagsEx属性。

　　RODC已筛选属性集被配置在拥有架构操作主机的的服务器上。如果你尝试添加系统关键属性打到RODC已筛选属性集，而且架构操作主机运行在Windows Server 2008上，那么服务器将返回“unwillingToPerform”的LDAP错误。如果你尝试添加系统关键属性打到RODC已筛选属性集，但是架构操作主机运行在Windows Server 2003上，那么操作将看上去是成功完成了，然而属性值实际上却没有被添加。因此，当你想要添加属性到RODC已筛选属性集时，价格操作主机建议是运行Windows Server 2008的域控制器。这保证了系统关键属性不包含在RODC已筛选属性集中。

　　因为没有任何属性的变化会被直接写入RODC，所以任何变化不会从RODC发起。因此，作为复制伙伴的可写域控制器不会产生从RODC“拉”数据的操作。这意味着恶意用户在分支结构的RODC上进行的操作的结果不会被复制到森林的剩余部分。这也减少了枢纽站点里的桥头服务器的工作量以及为了监视复制所要求的工作量。

　　RODC的单向复制同时应用于AD DS及分布式文件系统(DFS)的复制。RODC为AD DS及DFS执行正常的入站复制。

　　凭据缓存

　　凭据缓存是用户或者计算机凭据的储存器。凭据是由和安全主体关联的一小组大约接近10个密码的集合所组成。在默认情况下RODC不储存用户或者计算机凭据。例外的情况是RODC自身的计算机账户以及每台RODC所有的特殊的krbtgt账户。你在RODC上必须显示允许其它任何凭据缓存。

　　RODC宣告成为分支结构的密钥分配中心(KDC)。RODC与可写域控制器上的KDC相比，它将使用不同的krgbrt账户和密码来签名或加密(TGT)请求。

　　当一个账户被成功验证时，RODC会试图联系枢纽站点中一台可写的的域控制器，并请求一份合适凭据的副本。可写域控制器将会识别出这个请求来自RODC，并考略影响到RODC的密码复制策略。

　　密码复制策略决定了用户或者计算机的凭据是否可以从可写域控制器复制到RODC。如果策略允许，那么可写域控制器将密码复制到RODC上，并且RODC缓存这些凭据。 BBS.bitsCN.com网管论坛

　　当凭据被RODC缓存之后，RODC能够直接为用户登录请求服务直到凭据发生变化。(当TGT被RODC的krbtgt账户签名时，RODC识别出它有一份缓存的凭据副本。如果其它域控制器对TGT进行了签名，那么RODC将会把这个请求转递给一台可写域控制器。) 中国网管联盟

　　因为凭据缓存被限制为只有被RODC认证的用户的凭据才能被缓存，所以由于RODC受到威胁而导致的潜在的凭据泄露也得到了限制。因此，域用户中只有很少一部分的凭据被缓存在RODC上。因此，当发生RODC被盗的事件时，只有这些被缓存的凭据才有可能被破解。

　　保持凭据缓存关闭也许能更深层次的限制泄露，但是这样将导致所有的认证请求都被传递给可写域控制器。管理员能够修改默认密码策略来允许用户凭据被缓存到RODC上。

管理员角色分割　　

你能委派RODC的本地管理权限至任何域用户而不用使该用户获得域或者域控制器的用户权限。这使分支机构的用户能够登录至RODC并执行诸如升级驱动程序之类的维护工作。然而分支结构用户无法登录到其它任何域控制器或者在域中执行其它管理工作。因此分支结构用户能够委派有效的权利来管理分支机构的RODC而不会威胁到域内其它部分的安全。

　　你能在RODC上安装DNS服务。RODC能够复制DNS使用的所有程序目录分区，包括ForestDNSZones以及DomainDNSZones。如果DNS服务被安装到RODC上，用户能够像查询其它DNS服务器一样进行名称解析。

　　然而，在RODC上的DNS服务不支持客户端直接更新。因为RODC不登记它所拥有任何的AD集成区域的NS资源记录。当客户端试图在RODC上尝试更新DNS记录时，服务器会返回包含支持客户端更新的DNS服务器的引用。随后，客户端能够尝试利用引用中提供的DNS服务器进行DNS记录更新。而在后台，RODC上的DNS服务器会尝试从更新的DNS服务器中复制已更新的记录。复制请求仅针对单一对象(DNS记录)。整个变化区域的列表或者域数据在特定的“复制单一对象”的请求过程中将不被复制。