有些配置过Read-Only Domain Controller (RODC) 的朋友说配置了后,用户还是无法经过RODC验证,其实啊,一个大家可能忽略的地方是,RODC 有个Password Replication Policy,用来指定哪里用户的密码允许cache。看上去Group都是和User Group有关的,Account Opeartors, Administrators, Allow RODC Password Replication Group 等等,导致不少朋友只讲用户组加进Allow Group内。
实际上,Allow RODC Password Replication Group 这个组,除了要将RODC需要验证的用户组加进去外,还需要将RODC需要验证的计算机或者计算机组加进去!!!
当你把计算机加进Allow Group后,很可能RODC的用户验证就工作起来了。你可以用 set logon server命令检查验证Logon的server是不是RODC。
本文转自 VirtualTom 51CTO博客,原文链接:http://blog.51cto.com/virtualtom/798588,如需转载请自行联系原作者
