Při vytvoření účtu pro instalaci řadiče domény jen pro čtení můžete určit, který uživatel či skupina má mít odpovědnost za následné připojení serveru k tomuto účtu. Pokud neurčíte žádného uživatele či skupinu, bude moci připojit server k účtu pouze člen skupiny Domain Admins nebo Enterprise Admins. Jestliže takového uživatele či skupinu určíte, bude mít tento uživatel či skupina rovněž odpovědnost za správu řadiče domény jen pro čtení po dokončení jeho instalace. Pro tento účel lze určit pouze jednoho uživatele či jednu skupinu.

Pokud chcete, aby delegovaný správce řadiče domény jen pro čtení mohl ukládat hesla do mezipaměti tohoto řadiče domény, je nutné do seznamu objektů zabezpečení, kterým je dovoleno ukládat svá hesla do mezipaměti v řadiči domény jen pro čtení, (známého také pod názvem Seznam povolených účtů) přidat jak uživatelský účet tohoto správce, tak účet počítače, který bude delegovaný správce používat. Nepřidáte-li do Seznamu povolených účtů odpovídající účet počítače, nebude řadič domény jen pro čtení schopen ověřit delegovaného správce, pokud nebude k dispozici připojení k řadiči domény s možností zápisu. Další informace o Seznamu povolených účtů a o nastavení zásad replikace hesel naleznete v tématu Určení zásad replikace hesel.

Uživatel nebo skupina, jež zadáte na této stránce Průvodce instalací služby Active Directory Domain Services, bude mít místní oprávnění pro správu řadiče domény jen pro čtení. V praxi to znamená, že tento uživatel nebo skupina bude mít úplnou kontrolu nad serverem včetně možnosti místního přihlášení, instalace dodatečného softwaru, instalace ovladačů zařízení a dalších činností. Delegovaný uživatel či skupina bude rovněž moci z řadiče domény jen pro čtení odinstalovat službu AD DS (Active Directory Domain Services).

Instalaci a správu řadiče domény jen pro čtení proto delegujte pouze na uživatele a skupiny, kteří potřebují taková přístupová práva a oprávnění k výkonu své práce. Oprávnění navíc přiřazujte spíše skupinám zabezpečení, než jednotlivým uživatelům, aby byla případná změna těchto oprávnění jednodušší.

Můžete vytvořit skupinu zabezpečení určenou pouze pro účely správy nasazovaného řadiče domény jen pro čtení, a pak na této stránce průvodce zadat název této skupiny. Tato skupina se pak zobrazí v poli Název na kartě Správce objektu stránky s vlastnostmi řadiče domény jen pro čtení v modulu snap-in Uživatelé a počítače služby Active Directory, kde ji můžete po instalaci kdykoli změnit.

Chcete-li v adresáři vyhledat konkrétního uživatele či skupinu, klikněte na tlačítko Nastavit a zadejte název uživatele či skupiny. Instalaci a správu řadiče domény jen pro čtení je doporučeno delegovat některé skupině.


Obsah