Read-only Domain Controller (RODC)
Ai mikä ihmeen RODC…?
Monella yrityksellä on varmasti etätoimipisteitä, joihin ei haluta asentaa erillistä täysiveristä Domain Controlleria, koska kyseisessä toimipisteessä ei ensinnäkään ole ketään, jolla olisi tarvittava koulutus AD:n hallinnointiin ja toisekseen tätä arkaluontoista tietoa ei haluta viedä paikkaan, jonka tietoturvataso ei ole niin hyvä mitä päätoimipisteessä. Tähän rajapintaan Microsoft on tuonut uuden ominaisuuden Server 2008:iin nimeltä RODC. Sen ensisijaiset käyttökohteet ovat etätoimipisteet, joissa on tyypillisesti vähän käyttäjiä, hidas linkkiyhteys, eikä usein myöskään varsinaista IT-tukea paikalla. Tällaisissa olosuhteissa on suotavaa maximoida tietoturvan taso ja pitää huoli, ettei jo ennestään heikkokapasiteettinen linkki kuormitu turhaan. Tähän tarkoitukseen RODC istuu loistavasti.
RODC:llä saadaan Active Directory -ympäristöön siis tavallaan uusi delegointitaso, jonka ylläpitäjällä on entistäkin vähemmän tietämystä itse Active Directoryn toiminnoista, ylläpidosta ja sen hallinnasta. RODC on tällaiseen ympäristöön hyvä, sillä sitä konffaamalla ei voi saada hirveästi tuhoa aikaan yrityksen infrassa kannan ollessa read-only-muotoinen tiettyyn rajaan saakka.
RODC:n tehtävänä on pitää Active Directorysta kopio, joka on vain lukumuotoinen. Tähän ei käyttäjillä ja ohjelmilla ole ollenkaan kirjoitusoikeuksia, vaan aina kun halutaan kirjoittaa jotain niin toiminto ohjataan toiselle domainin DC-koneelle, johon on kirjoitusoikeudet, eli täysiveriselle AD DS:lle. Poikkeuksena täysiverisen AD:n sisältöön ovat salasanat, jotka eivät sisälly RODC:n kantaan vaan niiden kyselijät ohjataan suoraan AD DS:lle. AD DS:ltä muuttuneet datat sitten replikoidaan asetetun ajastuksen mukaisesti RODC:lle.
jatkuu…