Плюс данного нововведения налицо, хотя бы потому, что администратору не нужно выполнять перезагрузку сервера, который может предоставлять какие-то другие сервисы, тем самым обеспечив бесперебойную работу организации.

Контроллер домена только для чтения

Это еще один шаг, который Microsoft сделала в сторону безопасности служб доменов. Скорее даже можно говорить о том, что инженеры учли опыт прошлых разработок и выпустили совокупное решение. Имеется в виду, что в доменах NT 4 были понятия PDC (контроллер домена для чтения и записи учетных данных) и BDC (резервные контроллеры только для чтения), от которых с выходом Windows 2000 Microsoft отказалась, сделав все контроллеры в домене равноправными с точки зрения операций чтения и записи в базу данных. С выходом Windows Server 2008 администраторы могут строить комплексные решения.

Контроллер домена только для чтения (RODC, Read-Only Domain Controller) является специальным вариантом разворачивания доменного контроллера для филиалов и удаленных подразделений компаний. При его использовании службы доменов работают в режиме «только для чтения». Это означает, что никаких изменений в базу данных такого контроллера локально внести нельзя. Изменения могут быть произведены на основном контроллере и затем при помощи однонаправленной репликации распространены на контроллеры RODC. Понятно, что, поскольку RODC не способны осуществлять репликацию между собой, нет смысла устанавливать несколько таких контроллеров в удаленном офисе.

Основное отличие RODC от BDC-доменов NT 4 в том, что администратор может определять, какой набор данных будет поставляться на определенный контроллер RODC. Это влечет за собой уменьшение трафика репликации, и, несомненно, это будет полезным для подразделений, не имеющих хорошей устойчивой связи с головным офисом. Одновременно с этим обеспечивается сохранность основных данных домена Active Directory. Что касается прав администратора на контроллере RODC, все сделано для того, чтобы минимизировать возможность расширения привилегий в домене. А именно, существует два способа делегирования прав администратора для операции обслуживания контроллера RODC. Администратор домена может, попросту говоря, при помощи оснастки «Active Directory Users and Computers» создать заготовку контроллера домена только для чтения, назначить политику репликации паролей и пользователя либо группу, которые завершат процесс перевода на удаленном сервере. Второй вариант предполагает создание ролей администратора на самом RODC. В целом они не отличаются от локальных групп безопасности, хранятся в реестре и определяются только данным RODC, но управляются с помощью утилиты NTDSUTIL.