読み取り専用ドメインコントローラーは実際に何に役立ちますか？

私の本（www.briandesmond.com/ad4/）には、この機能に関する章全体が記載されています。その長所と短所は、これはセキュリティ機能であり、分散型組織にとっては大きな問題です。

ここには2つの本当に大きなシナリオがあります。

-> RODCはデフォルトでパスワードを保存しません。つまり、誰かが物理的にサーバーからディスクを取得した場合、ユーザー（およびコンピューター）のすべてのパスワードを取得するわけではありません。

誰かがRWDCを盗んだ場合の正しい対応は、ドメイン内のすべてのパスワードをリセットすることです。これは、すべてのパスワードが危険にさらされていると考えることができるためです。これは大きな仕事です。

RODCを使用すると、ユーザーとコンピューターのサブセットXのパスワードのみをキャッシュすることができます。 RODCが実際にパスワードをキャッシュすると、その情報がADに格納されます。 RODCが盗まれた場合、リセットする必要のあるパスワードのリストがいくつかあります。

-> RODCは一方向に複製します。誰かがRWDCを盗み、変更を加え、再度プラグインした場合、それらの変更は環境に複製されます。たとえば、ドメイン管理者グループに自分自身を追加したり、すべての管理者パスワードをリセットしたりできます。 RODCでは、これはまったく不可能です。

以前にDCがなかった場所にRODCを配置しない限り、速度の向上はありません。その後、一部のシナリオでは速度が向上する可能性があります。

TheCleanerの応答は本当に正しくありません。 RODCには説得力のあるシナリオがALOTあり、それらの展開のいくつかを手作業で考えることができます。これは単純なセキュリティに関するものであり、「セキュリティに関する肛門」のものではありません。

おかげで、

ブライアン・デスモンド

Active Directory MVP

物理的なセキュリティが不十分で、ネットワーク接続が遅いか信頼性が低いブランチオフィスが多数ある場合は、RODCが必要です。例：

• 頻繁に移動し、接続にDSL /ケーブルを使用するセントラルオフィスと店先クリニックを持つ医療プロバイダー
• 電話会社のインフラストラクチャが信頼できない、またはセルラーまたは衛星ネットワークを使用せざるを得ない遠隔地に設備を備えている会社。

ほとんどの組織には、リモート機器に関する物理的なセキュリティ標準があります。これらの要件を満たせない場合、RODCを使用すると、ローカルアプリケーションやファイル共有へのアクセスに高速認証を提供できます。また、サーバーに保存される資格情報の数を制限することもできます。侵害されたサーバーは、リモートロケーションのユーザーのみを侵害します。 75,000ユーザーの完全なDCは、ローカルの侵害が発生した場合にそれらのユーザーすべてを公開します。

あなたが小さな会社で働いているなら、それはまったく大したことではありません。 RODCはセキュリティリスクを大幅に軽減するので、BitLockerを使用してそれらを展開するようにしています。

DMZこの記事に基づいて TechNet の記事でRODCを使用します。DMZでRODCを使用してWebサービス用の新しいフォレストを設定します。

RODCは大企業の組織に役立ちます。NovelleDirectoryなどの競合するエンタープライズディレクトリサービスには、長年にわたって読み取り専用のレプリカがありました。

主にセキュリティのためだけでなく、速度も向上させます。

短い記事をご覧ください ここ

RODCにはADの読み取り専用コピーが含まれていて、ITスタッフがいないブランチオフィスでADを使用しているため、サーバールームのセキュリティや整合性を保証できません。 RODCが危険にさらされている場合、危険にさらされた人はだれでも、発見時の状態のADにしかアクセスできないという知識があるため、安全です。加えられた変更はメインDCに複製されません。つまり、妥協する人はだれでも、ドメイン管理者に昇格したり、自分の管理者をロックアウトしたり、ネットワーク全体で邪悪な方法を使用したりすることはできません。

RODCのもう1つの利点は、通常のドメインコントローラーをすべて停止してActive Directoryを再構築することを含む、障害回復を実行しながら、ドメインコントローラーを機能させることができることです。このような状況では、RODCをオフにする必要はありません。