Hi,
Am 08.03.2013 23:35, schrieb Ingo Schneider:
Bei unserem RODC hier kann man im AD und den GPOs alles machen wie bei den DCs auch
Richtig. Falsch. Nein. Ja. Ne doch nicht ... sieht nur so aus :-)
Schau dir mal in deinen MMCs an mit welchem DC diese verbunden sind ;-)
Der RODC ist nicht anderes als eine Windows 7 Maschine mit RSAT oder auch XP mit Adminpack. Diese können das AD auch nicht schreiben, können aber trotzdem mit den MMC Tools arbeiten. Warum? Weil sie sich zu einem DC verbinden. Das macht der RODC
auch.
Im Falle der GPMC verbindet sich JEDER (client und server und Dc) präferiert mit dem PDC Emulator.
Du hast in jeder MMC auf dem Domänenknoten die Möglichkeit über das Kontextmenü einen anderen DC auszuwählen.
Was wird der RODC niemals tun?
Du startest den RODC offline und manipulierst seine lokale Benutzerdatenbank und kannst dich nun im DSRM austoben. Diese Änderungen werden niemals in das AD zurückgeschrieben.
Du kannst dich LOKAL anmelden, könntest einen Dienst integrieren oder manipulieren, der als SYSTEM gestartet wird und nun Änderungen im produktiven AD vornimmt, sobald er startet. denn das SYSTEM des DC darf ja als "Domänencontroller der
Organisation" nahezu alles.
Das ist beim SYSTEM konto des RODC nicht der Fall. Das Konto darf nicht schreiben. Er kann zB das Kennwort des DomAdmin nicht ändern. Da er die AD Datenbank nicht schreiben darf.
Aber mit deinen MMC tools kannst du alles machen. Dann bist du ja schon als Admin angemeldet und verbindest dich nun ganz normal über RPC.
Tschö
Mark
Mark Heitbrink - MVP Windows Server - Group Policy
Homepage: www.gruppenrichtlinien.de - deutsch
GPO Tool: www.reg2xml.com - Registry Export File Converter
NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm
