Дополнительный контроллер домена только для чтения
Дополнительным изменением в Windows Server 2008, связанным с Active Directory, которое перешло в Windows Server 2008 R2, было добавление компонента под названием Read-Only Domain Controller (Контроллер домена только для чтения), или, сокращенно, RODC. Этот компонент представляет собой в Active Directory нечто вроде сервера глобального каталога, применяемого для аутентификации пользователей и в качестве ресурса для поиска объектов в каталоге. Однако вместо поддержки доступной для чтения и записи копии каталога, RODC предлагает копию Active Directory, доступную только для чтения, и пересылает все запросы на выполнение записи и аутентификации контроллеру домена, имеющему доступ не только для чтения, но для и записи.
Системы RODC могут также настраиваться на помещение в кэш данных определенных регистрационных удостоверений. Помещение данных удостоверений в кэш ускоряет выполнение аутентификационных запросов для соответствующих пользователей. В кэше системы RODC хранятся только данные удостоверений, а не все объекты глобального каталога. В случае завершения работы системы RODC или отключения электропитания находящийся в ней кэш очищается, и хранившиеся в нем объекты перестают быть доступными до тех пор, пока RODC снова не подключится к серверу глобального каталога в сети.
Служба RODC
Служба RODC является значительным шагом вперед в области безопасности, поскольку пс может быть скомпрометирован тем же способом, что и сервер глобального каталога в случае кражи физического сервера домена. Организации, нуждающиеся в функциональных возможностях сервера глобального каталога для аутентификации пользователей, и вынужденные размещать этот сервер в недостаточно безопасном месте, например, удаленном офисе, офисе филиала или даже в магазине розничной торговли, могут устанавливать вместо него систему RODC.
