サイトアイコン puti se blog

ドメインコントローラーを設置したいけどADの権限や管理はさせたくない。支店に向いたRODCでローカルadministrators権限と同等権限を実現

ブランチ拠点(支店)に、ネットワークが孤立した場合の万が一用にドメインコントローラーの設置を検討中です。
しかし、

そんな時に、登場するドメインコントローラがリードオンリーなドメインコントローラRODCです!

 

環境・前提条件

で確認しました。
RODCはWindows Server 2008時点での目玉機能だったようですね。

 

RODCを構築してみる。RODC設定・構築方法

ドメインコントローラーを既存ドメインに追加する手順で簡単に作成可能です。
以下、構成ウィザード画面とポイントを記載します。

RODCにするサーバーの前提として、ドメイン参加しておいてください。そこから上記ウィザードを開始します。

「既存のドメインにドメインコントローラーを追加する」で、「この操作を実行するには資格情報を指定してください」の「変更」をおし、ドメインユーザーとパスワードを入力します。そして「次へ」ボタン。

 

読み取り専用ドメインコントローラー(RODC)

「読み取り専用ドメインコントローラー(RODC)」にチェックを入れます。

あとは、ディレクトリサービス復旧モードのパスワードを入力し、「次へ」。

 

委任された管理者アカウント

RODCのポイントですが、「委任された管理者アカウント」にドメインユーザーもしくはドメイングループを選択しておきます。
おすすめはドメイングループですね。
こちらを設定することにより、RODCにドメインadministratorといった強力なユーザー権限を使わずに、RODCのローカルadministratorsグループのような設定ができます。

これは後から設定を変更することや追加することが出来ます。(ドメインコントローラー上のRODCコンピュータアカウントから「管理者」タブ設定)

 

「次へ」

 

「次へ」

 

「次へ」

 

「インストール」ボタンを押し、RODCの作成が完了です。

 

「現在、ログオン要求を処理できるログオンサーバーはありません」

せっかくRODCをブランチ拠点(支店)に構築しましたが、
このままでは、RODCはDCと通信できない時に問題が発生しますので、その対応設定をする必要があります。

ここからがRODCの運用設計ですね。

 

パスワードキャッシュの設定・設計が必要です(Allowed RODC Password Replication Group )

参考情報が以下のURLにあります。

モバイルバージョンを終了