Wenn Sie ein Konto für die Installation eines schreibgeschützten Domänencontrollers (Read-Only Domain Controller, RODC) erstellen, können Sie angeben, welcher Benutzer oder welche Gruppe später für das Zuordnen des Servers zum RODC-Konto verantwortlich sein soll. Wenn Sie keinen Benutzer bzw. keine Gruppe angeben, kann der Server nur von einem Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins dem Konto zugeordnet werden. Wenn Sie jedoch einen Benutzer oder eine Gruppe angeben, der bzw. die den Server dem Konto zuordnen kann, ist dieser Benutzer bzw. diese Gruppe nach Abschluss der Installation auch für die Verwaltung des schreibgeschützten Domänencontrollers verantwortlich. Zu diesem Zweck kann nur ein Benutzer oder eine Gruppe angegeben werden.
Wenn ein delegierter RODC-Administrator festlegen können soll, dass Kennwörter auf dem RODC zwischengespeichert werden, müssen Sie das Benutzerkonto für diesen Administrator in die Liste der Sicherheitsprinzipale aufnehmen, die ihre Kennwörter auf dem RODC zwischenspeichern dürfen (auch als Liste zulässiger Objekte bezeichnet). In diesem Zusammenhang muss auch das Computerkonto in diese Liste aufgenommen werden, das vom delegierten Administrator verwendet wird. Wird das betreffende Computerkonto dieser Liste zulässiger Objekte nicht hinzugefügt, kann der delegierte Administrator nicht vom RODC authentifiziert werden, wenn die Verbindung mit einem beschreibbaren Domänencontroller nicht verfügbar ist. Weitere Informationen zur Liste zulässiger Objekte und zum Festlegen der Kennwortreplikationsrichtlinie (Password Replication Policy, PRP) finden Sie unter Angeben der Kennwortreplikationsrichtlinie.
Der Benutzer oder die Gruppe, den bzw. die Sie auf dieser Seite des Assistenten zum Installieren von Active Directory-Domänendiensten angeben, verfügt auf dem schreibgeschützten Domänencontroller über lokale Verwaltungsberechtigungen. Dies bedeutet in der Praxis, dass dieser Benutzer oder diese Gruppe volle Kontrolle über den Server besitzt, d. h., sich u. a. lokal anmelden sowie zusätzliche Software und Gerätetreiber installieren kann. Darüber hinaus kann der delegierte Benutzer bzw. die Gruppe Active Directory-Domänendienste (Active Directory Domain Services, AD DS) vom schreibgeschützten Domänencontroller entfernen.
Daher sollten Sie die RODC-Installation und -verwaltung nur an Benutzer und Gruppen delegieren, die solche Zugriffsrechte und Berechtigungen benötigen, um ihre Aufgaben zu erfüllen. Weisen Sie Berechtigungen zudem Sicherheitsgruppen anstatt einzelnen Benutzern zu, um die Änderung dieser Berechtigungen bei Bedarf zu erleichtern.
Sie können auch eine spezielle Sicherheitsgruppe zur Verwaltung des schreibgeschützten Domänencontrollers, dessen Bereitstellung Sie planen, erstellen und dann den Namen dieser Gruppe auf dieser Seite des Assistenten angeben. Diese Gruppe wird dann im Snap-In Active Directory-Benutzer und -Computer im Feld Name auf der Registerkarte Verwaltet von des RODC-Eigenschaftenblatts angezeigt, wo Sie die Einstellung nach der Installation jederzeit ändern können.
Um im Verzeichnis nach einem bestimmten Benutzer oder einer bestimmten Gruppe zu suchen, klicken Sie auf Festlegen, und geben Sie dann den Namen des Benutzers oder der Gruppe ein. Es wird empfohlen, die RODC-Installation und -verwaltung an eine Gruppe zu delegieren.