Необходимость в RODC
Новой концепцией в Windows Server 2008 R2 является роль сервера под названием Read-Only Domain Controller (Контроллер домена с доступом только для чтения), или, сокращенно, RODC. На серверах с ролью RODC, как не трудно догадаться по названию этой роли, размещаются доступные только для чтения копии имеющихся в разделах их каталога объектов леса. Эта роль была создана для удовлетворения потребностей дочерних и удаленных офисов, где обеспечение безопасности на физическом уровне может быть недостаточным, а хранение доступной как для чтения, так и для записи копии информации, следовательно, нежелательным.
До выхода версии Windows Server 2008 R2 контроллеры домена можно было развертывать только с доступными как для чтения, так и для записи копиями объектов домена. Любое изменение, которое вносилось на контроллере домена, впоследствии реплицировалось на все остальные контроллеры домена в лесе.В удаленных офисах обеспечение безопасности на физическом уровне для таких контроллеров домена представляло собой проблему.
Хотя организации не хотели развертывать контроллеры домена в удаленных местах из-за соображений безопасности, во многих случаях медленные соединения глобальной сети вынуждали их все-таки устанавливать локальный контроллер домена в удаленных офисах и подвергаться риску снижения производительности в них.
В ответ на эти проблемы разработчики Microsoft встроили в Windows Server 2008 R2 роль RODC. Помимо этого они также добавили в RODC и функцию, позволяющую реплицировать на серверы RODC только конкретные пароли. Это значительно сокращает риск нарушения безопасности при развертывании контроллеров домена в удаленных местах.