Аутентификация сервера RODC
На сервере RODC (контроллер доменов с доступом только для чтения ) находятся все те же объекты и атрибуты, что и на поддерживающем доступ для записи контроллере домена за исключением разве что паролей пользователей.
Разница между сервером RODC и поддерживающим доступ для записи контроллером домена состоит в том, что вносимые локально изменения не добавляются сразу же в копию RODC, а сначала пересылаются контроллеру домена, поддерживающему доступ для записи, и только затем реплицируются обратно на сервер RODC. Кроме того, у администратора Active Directory есть возможность указать или ограничить список пользователей, пароли или учетные данные которых будут помещаться в кэш на удаленном сервере RODC. Она позволяет улучшить безопасность за счет сокращения рисков в отношении базы данных Active Directory, доступной только для чтения, на сервере RODC.
Помимо этого, администраторы Active Directory могут специально настраивать сервер RODC так, чтобы учетные данные пользователей на нем помещались в кэш. Когда пользователь пытается получить санкционированный доступ к RODC в первый раз, сервер RODC пересылает его запрос поддерживающему доступ для записи контроллеру домена.
В случае успешного прохождения аутентификации сервер RODC тогда запрашивает копию учетных данных этого пользователя. По умолчанию RODC не помещает в кэш пароли пользователей домена, поэтому если нужно сделать так, чтобы в случае недоступности канала связи WAN с главным узлом сервер RODC мог самостоятельно аутентифицировать пользователей и их компьютеры, администраторы должны изменить применяемую по умолчанию политику репликации паролей. В активном состоянии политика репликации паролей (Password Replication Policy) указывает, разрешено ли реплицировать учетные данные и помещать их в кэш на RODC.
