読み取り専用ドメイン コントローラー (RODC) のインストール用のアカウントの作成時に、それ以降の RODC アカウントへのサーバーの接続を担当するユーザーまたはグループを指定できます。ユーザーまたはグループを指定しない場合は、Domain Admins グループまたは Enterprise Admins グループのメンバーだけがサーバーをアカウントに接続できます。サーバーをアカウントに接続できるユーザーまたはグループを指定した場合、そのユーザーまたはグループは、インストールの完了後に RODC の管理も行います。この目的に指定できるユーザーまたはグループは 1 つだけです。
委任された RODC 管理者が RODC にパスワードをキャッシュできるようにするには、パスワードの RODC (許可一覧) へのキャッシュを許可されているセキュリティ プリンシパルの一覧に、委任された管理者が使用するコンピューター アカウントとその管理者のユーザー アカウントを追加する必要があります。対応するコンピューター アカウントを許可一覧に追加しないと、書き込み可能なドメイン コントローラーが使用できないときに、RODC は委任された管理者を認証できなくなります。許可一覧とパスワード レプリケーション ポリシーの設定の詳細については、「パスワード レプリケーション ポリシーを指定する」を参照してください。
Active Directory ドメイン サービスのインストール ウィザードのこのページで指定したユーザーまたはグループは、RODC でローカル管理用のアクセス許可を持ちます。実際には、これによってそのユーザーまたはグループはサーバーでフル コントロールを持つことになり、ローカル ログオン、追加のソフトウェアのインストール、デバイス ドライバーのインストールなどを実行できるようになります。また、委任されたユーザーまたはグループは、Active Directory ドメイン サービス (AD DS) を RODC から削除することもできるようになります。
したがって、RODC のインストールと管理は、ジョブを実行するためにそのようなアクセス権やアクセス許可を持つことが必要になるユーザーおよびグループにのみ委任してください。また、必要なときにアクセス許可の変更プロセスを簡単にするため、それらのアクセス許可を個別のユーザーにではなくセキュリティ グループに割り当ててください。
展開を予定している RODC を管理する目的で、特別にセキュリティ グループを作成し、このウィザード ページでそのグループ名を指定することもできます。指定したグループ名は、Active Directory ユーザーとコンピューター スナップインで、RODC プロパティ シートの [管理者] タブの [名前] フィールドに表示されます。インストール後は、このフィールドを使用していつでも変更できます。
特定のユーザーまたはグループをディレクトリで検索するには、[設定] をクリックしてユーザーまたはグループの名前を入力します。RODC のインストールと管理については、グループに委任することをお勧めします。