Durante la creazione di un account per l'installazione di un controller di dominio di sola lettura, è possibile specificare l'utente o il gruppo responsabile del successivo collegamento del server all'account del controller. Se non si specifica un utente o un gruppo, soltanto un membro del gruppo Domain Admins o del gruppo Enterprise Admins può collegare il server all'account. Se si specifica un utente o un gruppo in grado di collegare il server all'account, quell'utente o gruppo sarà anche responsabile dell'amministrazione del controller di dominio di sola lettura dopo aver completato l'installazione. A tal fine, è possibile specificare solo un utente o un gruppo.
Se si desidera che un amministratore delegato del controller di dominio di sola lettura possa memorizzare le password nella cache del controller di dominio di sola lettura, è necessario aggiungere l'account utente di tale amministratore all'elenco di entità di sicurezza autorizzate a memorizzare le password nella cache del controller di dominio di sola lettura, anche detto elenco di oggetti autorizzati, insieme all'account computer che verrà utilizzato dall'amministratore delegato. Se l'account computer corrispondente non viene aggiunto a tale elenco, il controller di dominio di sola lettura non sarà in grado di autenticare l'amministratore delegato quando la connessione a un controller di dominio scrivibile non è disponibile. Per ulteriori informazioni sull'elenco oggetti autorizzati e sull'impostazione dei criteri di replica password, vedere Impostare i criteri di replica password.
L'utente o il gruppo specificato in questa pagina nell'Installazione guidata Servizi di dominio Active Directory disporrà delle autorizzazioni amministrative nel controller di dominio di sola lettura. Praticamente, in questo modo l'utente o il gruppo dispone del controllo completo del server, inclusa la possibilità di connettersi localmente, installare software aggiuntivi, installare driver di dispositivo e così via. L'utente o il gruppo delegato sarà, inoltre, in grado di rimuovere i Servizi di dominio Active Directory dal controller di dominio di sola lettura.
Delegare, pertanto, l'installazione e l'amministrazione del controller di dominio di sola lettura solo agli utenti e gruppi che necessitano di disporre di tali diritti e autorizzazioni di accesso in modo che possano eseguire i processi. Assegnare, inoltre, le autorizzazioni a gruppi di sicurezza anziché a singoli utenti in modo da semplificare il processo di modifica delle autorizzazioni se necessario.
È possibile che si decida di creare un gruppo di sicurezza al fine specifico di amministrare il controller di dominio di sola lettura che si intende distribuire e, quindi, specificare il nome del gruppo in questa pagina dell'installazione guidata. Il gruppo verrà quindi visualizzato nel campo Nome della scheda Gestito da nella pagina delle proprietà del controller di dominio di sola lettura dello snap-in Utenti e computer di Active Directory, in cui è possibile modificarlo in qualsiasi momento dopo l'installazione.
Per effettuare ricerche nella directory di un utente o gruppo specifico, fare clic su Imposta, quindi immettere il nome dell'utente o del gruppo. È consigliabile delegare l'installazione e l'amministrazione di un controller di dominio di sola lettura a un gruppo.