Read-Only Domain Controller (RODC) uitleg

Read-Only Domain Controller

Read-Only Domain Controllers (RODC)
Bij een CD-R brand je iets op de CD en kun je er niets meer aan doen. Bij een CD-RW kun je er nogmaals overheen branden. Dit is hetzelfde bij een Read-Only Domain Controller (RODC). De RODC leest alleen en kan geen wijzigingen doorvoeren. Hoe komt een RODC aan zijn informatie? De RODC staat in verbinding met een Read-Write domain controller (RWDC). Als er een aanpassingen op de RWDC  gedaan wordt dan wordt dat ook aangepast op de RODC. Deze wijzigingen moet de RODC ontvangen van een Windows Server 2008 machine. Dit gaat niet met een Windows server 2003 machine. Het is niet mogelijk om meerdere Read-Only Domain Controllers in een domein te hebben.

Veiligheid
Een Read-Only Domain Controller functioneert bijna hetzelfde als een Read-Write domain controller. Waarom bijna? Het enigste verschil is dat er op de Read-Only Domain Controller (RODC) geen wachtwoorden worden opgeslagen/gecached. Dit is voor de veiligheid van de RODC. Een RODC wordt dan ook vaak gebruikt een panden waar de beveiliging slecht is. Als de RODC gestolen wordt kunnen er geen wijzigingen aangebracht worden. De gebruiker logt dus eigenlijk in een Read-Write Domain Controller (RWDC). Waarom dan een Read-Only Domain Controller (RODC) gebruiken? Het is een stuk veiliger en gebruikers kunnen wel terminal functies etc. gebruiken. Ook kunnen er op de Read-Only Domain Controller applicaties gedraaid worden.

Credential Caching
Stel je voor de verbinding tussen het hoofdkantoor (RWDC) en een andere locatie (RODC) offline is. Er is bijvoorbeeld een storing in de lijn. De gebruikers willen toch door werken maar ze kunnen niet inloggen want de verbinding is weg gevallen. Er is dan een mogelijkheid om een user, of een group te laten inloggen op een RODC. Dit kan met Credential Caching. Dit kan bijvoorbeeld ook handig zijn om te troubleshooten. Administrators worden standaard namelijk niet gecached. Dit heeft ook te maken met de veiligheid die een RODC biedt.

Eisen
Op een Windows 2008 machine moet PDC Emulator geïnstalleerd zijn. Domain Functional Level en Forest Functional Level moeten 2003 of 2008 zijn. Als het 2003 is dan moeten er wel extra handelingen verricht worden. Je moet het schema laten weten dat er een Read-Only Domain Controller (RODC) is. In een volgende video laten we zien hoe een Read-Only Domain Controller geïnstalleerd moet worden.