ドメインコントローラーを設置したいけどADの権限や管理はさせたくない。支店に向いたRODCでローカルadministrators権限と同等権限を実現

ブランチ拠点(支店)に、ネットワークが孤立した場合の万が一用にドメインコントローラーの設置を検討中です。
しかし、

  • ブランチ拠点(支店)にはシステム管理者(情報システム)がいないので
  • ADの管理者権限を与えたくない
  • しかしWindowsパッチ当てやシャットダウンなど単純な運用はさせたい

そんな時に、登場するドメインコントローラがリードオンリーなドメインコントローラRODCです!

 

環境・前提条件

  • Windows Server 2012 R2

で確認しました。
RODCはWindows Server 2008時点での目玉機能だったようですね。

 

RODCを構築してみる。RODC設定・構築方法

ドメインコントローラーを既存ドメインに追加する手順で簡単に作成可能です。
以下、構成ウィザード画面とポイントを記載します。

image

RODCにするサーバーの前提として、ドメイン参加しておいてください。そこから上記ウィザードを開始します。

「既存のドメインにドメインコントローラーを追加する」で、「この操作を実行するには資格情報を指定してください」の「変更」をおし、ドメインユーザーとパスワードを入力します。そして「次へ」ボタン。

 

読み取り専用ドメインコントローラー(RODC)

image

「読み取り専用ドメインコントローラー(RODC)」にチェックを入れます。

あとは、ディレクトリサービス復旧モードのパスワードを入力し、「次へ」。

 

委任された管理者アカウント

image

RODCのポイントですが、「委任された管理者アカウント」にドメインユーザーもしくはドメイングループを選択しておきます。
おすすめはドメイングループですね。
こちらを設定することにより、RODCにドメインadministratorといった強力なユーザー権限を使わずに、RODCのローカルadministratorsグループのような設定ができます。

これは後から設定を変更することや追加することが出来ます。(ドメインコントローラー上のRODCコンピュータアカウントから「管理者」タブ設定)

 

image

「次へ」

 

image

「次へ」

 

image

「次へ」

 

image

「インストール」ボタンを押し、RODCの作成が完了です。

 

「現在、ログオン要求を処理できるログオンサーバーはありません」

image

せっかくRODCをブランチ拠点(支店)に構築しましたが、
このままでは、RODCはDCと通信できない時に問題が発生しますので、その対応設定をする必要があります。

ここからがRODCの運用設計ですね。

 

パスワードキャッシュの設定・設計が必要です(Allowed RODC Password Replication Group )

参考情報が以下のURLにあります。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です