五、RODC的配置

　　在部署完只读域控制器后，需要在可读写的复制伙伴域控制器配置密码复制策略，也就是凭证缓存，用来提高使用RODC的用户的访问体验。

　　密码复制策略可以被看成是RODC的访问控制列表，用来控制RODC是否缓存用户账户密码，缓存谁的密码，拒绝缓存哪些账户的密码。例如，域管理员可以事先指定RODC允许缓存的用户账户或者计算机账户，这样即使广州办的WAN链接断开，RODC也依然可以对这些账户进行身份验证。

　　在Windows Server 2008的AD域中引入了两个新的内置组来支持RODC的操作，这两个组是：【允许RODC密码复制组】和【拒绝RODC密码复制组】。默认情况下，允许RODC密码复制组不包含任何成员，但拒绝RODC密码复制组则包含下列成员：

　　" 企业域控制器

　　" 企业只读域控制器

　　" 组策略创建者所有者

　　" Domain Admins

　　" 证书发行者

　　" Enterprise Admins

　　" Schema Admins

　　" 域范围 krbtgt 帐户

　　例如，可以在将广州办所有的计算机和常用用户账户加入到【允许RODC密码复制组】中。不过需要注意的是，存在于【拒绝RODC密码复制组】中的账户优先级要高于【允许RODC密码复制组】中的用户。

　　如果关闭RODC或者关机，则刷新RODC上的缓存并且缓存中的对象不再可用，直到RODC反向链接到网络上的全局目录服务器。

　　通过RODC的部署，Contoso公司使用Windows Server 2008 R2为广州办的提供了稳定，快速，高效的身份验证机制，同时兼顾了物理安全、网络安全，降低了服务器管理方面的难度。

　　正当小赵部署配置完RODC，以为万事大吉的时候，经理走过来说：现在广州办还没有专业的机房，RODC的服务器就放在办公室里，万一被盗，那硬盘里的公司信息怎么办？小赵一听，陷入了沉思。其实解决这个问题的办法就藏在Windows Server 2008 R2中，请听下回分解：强大的磁盘保护系统，Bitlocker。