何謂RODC

RODC(Read-Only Domain Controller)是一種安全強化的網域控制站, 專為不可信任或高風險環境設計, 它透過唯讀限制、密碼複寫控制和委派管理權限等方式, 降低 AD遭受攻擊或濫用的風險, 在企業架構中扮演重要的安全角色

RODC是唯讀的網域控制站, 引入自 Windows Server 2008, 它的主要特色是:

。無法寫入 AD資料: 與一般網域控制站不同, RODC只能讀取 AD資料, 無法進行寫入操作(例如密碼變更、建立帳戶等)

。適合部署在低安全性場所: 例如分公司、遠端辦公室、或實體安全無法完全保障的場域

RODC的主要特點與優點:

。唯讀 AD資料庫: 不允許本機更改 AD資料, 降低被入侵後損害擴散的風險

。選擇性密碼複寫: 可指定哪些帳密可以複製到 RODC, 強化安全控制

。委派管理: 可將 RODC的本機管理權限交給非網域管理者(例如分公司 IT), 但不影響整體 AD安全

。降低攻擊風險: 即使 RODC被入侵, 攻擊者無法更改 AD, 也無法取得所有帳號密碼

部署 RODC時注意事項:

。RODC不能擔任操作主機角色

。RODC不能當作橋接頭伺服器

。每個網域、站點只能有一個 RODC

。當 WAN無法連線時 RODC無法跨信任進行身份驗證

。RODC上不會有任何複製變更

。RODC無法支援任何需要以互動方式更新 ADDS的應用程式