Bij het maken van een account voor de installatie van een alleen-lezen domeincontroller, kunt u de gebruiker of groep opgeven die vervolgens de server aan het account voor de alleen-lezen domeincontroller moet koppelen. Als u geen gebruiker of groep opgeeft, kan alleen een lid van de groep Domeinadministrators of de groep Ondernemingsadministrators de server aan het account koppelen. Als u wel een gebruiker of groep opgeeft die de server aan het account kan koppelen, is deze gebruiker of groep tevens verantwoordelijk voor het beheer van de alleen-lezen domeincontroller nadat de installatie is voltooid. U kunt voor dit doel slechts één gebruiker of groep opgeven.
Als u een gedelegeerde beheerder van een alleen-lezen domeincontroller de mogelijkheid wilt bieden om wachtwoorden in de cache van de alleen-lezen domeincontroller op te slaan, moet u het gebruikersaccount voor die beheerder toevoegen aan de lijst met beveiligings-principals die toestemming hebben om wachtwoorden op te slaan in de cache van de alleen-lezen domeincontroller (ook wel de lijst Toegestaan genoemd). Ook moet u het computeraccount die de gedelegeerde beheerder gebruikt, aan deze lijst toevoegen. Als u het corresponderende computeraccount niet aan de lijst Toegestaan toevoegt, kan de alleen-lezen domeincontroller de gedelegeerde beheerder niet verifiëren als de verbinding met een beschrijfbare domeincontroller niet beschikbaar is. Zie Wachtwoordreplicatiebeleid opgeven voor meer informatie over de lijst Toegestaan en het instellen van het wachtwoordreplicatiebeleid.
De gebruiker of groep die u op deze pagina van de wizard Active Directory Domain Services installeren opgeeft, heeft lokale beheerdersmachtigingen op de alleen-lezen domeincontroller. In de praktijk betekent dit dat de gebruiker of de groep de volledige controle over de server heeft en zich dus lokaal kan aanmelden, aanvullende software en stuurprogramma's kan installeren, enz. De overgedragen gebruiker of groep kan ook Active Directory Domain Services (AD DS) van de alleen-lezen domeincontroller verwijderen.
Draag de installatie en het beheer van alleen-lezen domeincontrollers daarom alleen over aan de gebruikers en groepen die dergelijke toegangsrechten en machtigingen nodig hebben voor het uitoefenen van hun functie. Wijs bovendien machtigingen toe aan beveiligingsgroepen en niet aan individuele gebruikers, zodat u indien nodig de machtigingen eenvoudig kunt aanpassen.
Het is een goed idee om speciaal voor het beheer van de alleen-lezen domeincontroller die u wilt maken, een beveiligingsgroep te maken en vervolgens de naam van die groep op te geven op deze wizardpagina. De groep wordt vervolgens weergegeven in het veld Naam op het tabblad Beheerd door in de eigenschappen van de alleen-lezen domeincontroller in de module Active Directory - gebruikers en computers. Na de installatie kunt u de groep op elk gewenst moment wijzigen.
Als u in de Active Directory naar een bepaalde gebruiker of groep wilt zoeken, klikt u op Instellen en typt u vervolgens de naam van de gebruiker of groep. Wij raden u aan de installatie en het beheer van een alleen-lezen domeincontroller over te dragen aan een groep.