只读域控制器 (RODC) 是 Server? 2008 操作系统中的一种新类型的域控制器。借助 RODC，组织可以在无法保证物理性的位置中轻松部署域控制器。RODC 承载 Active Directory(R) 域服务 (AD DS) 数据库的只读分区。

    在 Server 2008 发布之前，如果用户必须通过广域网 (WAN) 对域控制器进行身份验证，则没有合适的替代方案。在许多情况下，这不是一个有效的解决方案。分支机构通常不能为可写域控制器提供所需的充分的物理性。此外，当分支机构连接到中心站点时，其网络带宽状况通常较差。这可能增加登录所需的时间。它还可能妨碍对网络资源的访问。

    从 Windows Server 2008 开始，组织可以部署 RODC 来解决这些问题。因此，用户在此情况下可以获得以下好处：

    提高的安全性
    更快的登录速度
    更有效地访问网络上的资源

    部署 RODC 的先决条件如下所示：

    RODC 必须将身份验证请求转发到运行 Windows Server 2008 的可写域控制器。在此域控制器上设置了密码复制策略，以确定是否为从 RODC 转发的请求将凭据复制到分支位置。

    域功能性的级别必须是 Windows Server 2003 或更高版本，以便可以使用 Kerberos 受限制的委派。受限制的委派用于必须在调用方的上下文中模拟的安全调用。

    林功能性的级别必须是 Windows Server 2003 或更高版本，以便可以使用链接值复制。这提供了更高级别的复制一致性。

    在林中必须运行一次adprep /rodcprep以更新在林中的所有 DNS 应用程序目录分区上的权限。以此方式，作为 DNS 的所有 RODC 都将可以成功复制权限。
    
     [以上内容转自微软官网]     

[1]