Giả sử công ty của bạn có trụ sở chính tại thành phố Hồ Chí Minh và một chi nhánh tại Hà Nội, để hai hệ thống mạng ở 2 nơi liên lạc với nhau bạn đã triển khai đường truyền kết nối cơ sở hạ tầng (Lease Line, VPN…)
Hiện nay hệ thống mạng tại trụ sở chính đang được quản lý theo mô hình Active Directory với domain Company.com, bạn muốn hệ thống mạng tại Hà Nội cũng được quản lý theo mô hình Active Directory thuộc domain Company.com nên bạn đã join các máy ở Hà Nội vào domain.
Trong trường hợp này để việc chứng thực cho hệ thống ở Hà Nội ổn định, ta cần cấu hình thêm một máy Domain Controller (Global Catalog Server) ở Hà Nội, nhưng vì chi nhánh Hà Nội không có bộ phận IT và không đảm bảo bảo mật cho Domain Controller nên ta chỉ muốn Domain Controller ở Hà Nội lưu trữ password và chỉ chứng thực cho các user account của hệ thống Hà Nội. Để giải quyết được nhu cầu này ta sẽ triển khai một Read-Only Domain Controller ở Hà Nội (Read-Only Domain Controller là một chức năng trên Windows Server NT và đã bị loại bỏ sau đó, cho đến Windows Server 2008 nó xuất hiện trở lại).
(Tham khảo: http://social.technet.microsoft.com/)

Giả sử hệ thống của chúng ta như sau:

Sơ đồ hệ thống
Sơ đồ hệ thống

Trong đó DC.company.com là Domain Controller chính,  RODC.company.com là Domain Controller đặt tại văn phòng chi nhánh. Hoặc bạn cũng có thể đưa RODC vào trong cùng một mạng LAN với DC chính như một Backup DC.

Ta có một Group được ủy quyền quản lý RODC này có tên RODCManager và có một user tên là UserManager trong đó, đồng thời có một user tên TestUser không thuộc group.

Các bước tạo RODC Server:

  • Tạo một group hoặc một user đơn lẻ sẽ được gán quyền quản lý RODC.
  • Khai báo RODC mới trên DC chính và khai báo tên sẽ gán cho nó.
  • Đổi tên DC mới thành tên đã gán ở trên.
  • Promote DC mới thành một Additional DC. DC chính sẽ tự động gán cho nó làm Read-only Domain Controller.

https://www.youtube.com/watch?v=6OARwCHjhgg

Sau khi cấu hình xong, ta thấy user Administrator vẫn có thể truy cập DC và tạo các thay đổi một cách bình thường. User UserManager có thể đăng nhập nhưng không có quyền thay đổi và user TestUser không được phép đăng nhập.

Đào Xuân Hưng – AdminVietnam.org