委派RODC管理员

将某个普通域用户（或组）委派为RODC管理员：

委派完成后，其用户就可以直接在RODC上登陆，执行管理员操作。

默认委派的RODC管理员密码是不会被缓存在RODC上的，当RODC与RWDC之间的网络不可用时，委派的管理员就无法再登录RODC。通过如下方式可以进行缓存，如下将用户abc密码从DC01缓存到ADDC02（RODC）上：

1）密码复制策略-添加-允许该账户的密码复制到RODC（用户abc隶属于rusers组，该组为RODC委派的管理员组）

2-1）密码复制策略-高级-预设密码：添加用户（或计算机，不可以添加组）

      预设密码：RODC在账户尝试登录之前 复制和缓存账户的密码

2-2）使用命令行方式预设密码：

repadmin /rodcpwdrepl addc02 dc01 cn=abc,ou=hypervcs,dc=testt,dc=com

 

查看结果：

注意：必须在密码复制策略中包含相应的用户、计算机和服务账户，这样RODC才能在本地满足身份验证和服务票据请求

  

之后在RODC连接不到RWDC的情况下，可以使用用户abc在RODC上直接登录（等待时间较长）。

 Windows Server 中没有用于清除 RODC 上给定用户的缓存密码的机制。如果 RODC 被泄露，请重置当前缓存的密码，然后重建 RODC。通过以下方式可以清除ODC 上给定用户的缓存密码：

 1）添加 拒绝复制的账户

 2）重置该账户密码

 3）查看“密码已存储在此制度域控制器中的账户”，相应的账户已不存在，且在RODC无法联系到RWDC的情况下，无法再登录到RODC。

     注意：如果删除 “拒绝复制的账户”，然后使用该账户再重新登陆，则该账户密码依然会重新被缓存。

 

为RODC服务器配置本地管理员：

cmd下运行 dsmgmt.exe

　　  　　  local roles  

　　　　   add testt\abc administrators