只读域控制器(RODC)是在 Server 2008操作系统中一种新的域控制器。有了只读域控制器，组织能够容易地的物理得不到保证的地区部署域控制器。一台RODC包含了活动目录数据库的只读部分。

　　在 Server 2008发布以前，如果用户不得不跨广域网连接域控制器进行身份验证的话，那也就没有其它更好的选择。在许多案例中，这不是有效的解决方法。分支机构通常无法为一台可写的域控制器提供的足够的物理。而且，当分支机构连接到枢纽站点时，它们的网络带宽通常比较差。这将导致登录时间变长。这也会阻碍网络资源的访问。

　　从Windows Server 2008开始，组织能够部署RODC来处理这些问题。作为部署的结果，用户能够获得以下好处：

　　●改进的安全性

　　●快速登录

　　●更有效的访问网络资源

　　RODC可以做什么?

　　在考虑部署RODC时，物理安全的不足是最为寻常的理由。RODC给那些需要快速可靠的身份验证，同时对可写域控制器而言物理安全无法得到确保的地方部署域控制器提供了新的方法。

　　然而你的组织也可以为了特殊的管理需要选择部署RODC。比如，业务程序(line-of-business，LOB)只能被安装到域控制器上并才能得以成功运行。或者，域控制器是分支机构仅有的，而不得不运行应用。

　　在这些例子中，业务程序所有者必须经常交互式登录到域控制器或者使用终端服务来配置和管理程序。这种环境引起了在可写域控制器上不被接受的安全风险。

　　RODC为在这些场景中部署域控制器提供了更安全的机械结构。你能够将登录到RODC的权利转让给没有管理权限的域用户同时最小化给互动目录森林带来的安全风险。

　　你也可以在其它场景中部署RODC，比如在外延网(EXTRANETS)中本地储存的所有域密码被认为是主要威胁。

　　还有其它要特别考虑的吗?

　　为了部署RODC，域中必须至少有一台运行Windows Server 2008的可写域控制器。此外，活动目录域和森林的功能级必须是Windows Server 2003或者更高。  

[1]