Политика репликации паролей
По умолчанию RODC не помещает в кэш пароли пользователей домена, поэтому если нужно сделать так, чтобы в случае недоступности канала связи WAN с главным узлом сервер RODC мог самостоятельно аутентифицировать пользователей и их компьютеры, администраторы должны изменить применяемую по умолчанию политику репликации паролей. В активном состоянии политика репликации паролей (Password Replication Policy) указывает, разрешено ли реплицировать учетные данные и помещать их в кэш на RODC. Если разрешено, тогда при следующей попытке пользователя войти в систему его запрос обслуживается непосредственно сервером RODC. И так происходит до тех пор, пока поддерживающий доступ для записи контроллер домена не сообщит серверу RODC о том, что учетные данные пользователя изменились.
При таком подходе продуктивность конечных пользователей значительно улучшается благодаря тому, что процесс входа в систему протекает гораздо быстрее. Последствия проблем со связью, которые так часто встречаются в дочерних офисах, вроде низкой пропускной способности или длительных задержек WAN-соединений, уменьшаются, потому что пользователи проходят процедуру аутентификации локально прямо на сервере RODC. Благодаря тому, что сервер RODC осуществляет репликацию только во входящем направлении, объем передаваемого по сети трафика тоже сокращается. Чтобы обеспечить помещение пароля пользователя в кэш на сервере RODC, необходимо добавить этого пользователя либо в стандартную группу Allowed RODC Password Replication Group (Группа репликации разрешенных паролей на RODC), либо прямо в политику Password Replication Policy на серверах RODC.
Серверы RODC также помогают сократить в дочерних офисах риск нарушения безопасности и количество задач, связанных с администрированием. Поскольку Active Directory Domain Services управляет также и списком всех учетных данных, которые хранятся на серверах RODC, в случае нарушения безопасности на одном из этих серверов администраторы могут принудительно сбросить пароли для всех хранящихся на нем учетных записей пользователей. Свести к минимуму риск угрозы нарушения безопасности помогает и тот факт, что серверы RODC не могут назначаться хранителями роли операций (точнее — роли гибких операций с одним мастером (Flexible Single Master Operations — FSMO)), потому что такая роль требует записи информации в базу данных Active Directory. Кроме того, серверы RODC также не могут выступать в роли ведущего сервера (bridgehead server), поскольку такие серверы предусматривают репликацию изменений с других сайтов.
