W przypadku tworzenia konta dla instalacji kontrolera domeny tylko do odczytu (RODC) można określić, który użytkownik lub która grupa będą odpowiadać za późniejsze dołączanie serwera do konta kontrolera RODC. Jeśli użytkownik lub grupa nie zostaną określeni, to tylko członek grupy Administratorzy domeny lub Administratorzy przedsiębiorstwa będzie mógł dołączyć serwer do konta. W przypadku określenia użytkownika lub grupy, którzy mogą dołączać serwer do konta, będą oni także odpowiadać za administrowanie kontrolerem RODC po zakończeniu instalacji. Można określić tylko jednego użytkownika lub jedną grupę do tego celu.
Jeśli delegowane uprawnienia administratora kontrolera RODC mają umożliwiać buforowanie haseł na kontrolerze RODC, trzeba dodać konto użytkownika tego administratora do listy podmiotów zabezpieczeń z zezwoleniem na buforowanie haseł na kontrolerach RODC (określanej też jako lista dozwolonych), oraz dodać konto komputera, z którego będzie korzystać ten administrator. Jeśli dodanie odpowiedniego konta komputera do listy się nie powiedzie, uniemożliwi to kontrolerowi RODC uwierzytelnianie delegowanych uprawnień administratora w przypadku braku połączenia z zapisywalnym kontrolerem domeny. Aby uzyskać więcej informacji na temat listy dozwolonych i ustawiania zasad replikacji haseł (PRP, Password Replication Policy), zobacz temat Określanie zasad replikacji haseł.
Użytkownik lub grupa określona na tej stronie Kreatora instalacji usług domenowych w usłudze Active Directory otrzyma lokalne uprawnienia administracyjne na kontrolerze RODC. Oznacza to w praktyce, że użytkownik lub grupa ma pełną kontrolę nad serwerem, włącznie z możliwością lokalnego logowania się, instalowania dodatkowego oprogramowania i sterowników urządzeń itd. Użytkownik lub grupa, którzy otrzymali delegowane uprawnienia, mogą także usuwać usługi domenowe w usłudze Active Directory (AD DS, Active Directory Domain Services) z kontrolera RODC.
Dlatego uprawnienia do instalowania kontrolera RODC i zarządzania nim należy delegować tylko do użytkowników i grup, którzy muszą mieć niezbędne prawa dostępu i uprawnienia do wykonywania tych zadań. Ponadto przypisanie uprawnień do grup zabezpieczeń, a nie do użytkowników, uprości zmienianie tych uprawnień w razie potrzeby.
Można utworzyć grupę zabezpieczeń na potrzeby administrowania kontrolerem RODC, który ma zostać wdrożony, a następnie określić nazwę grupy na tej stronie kreatora. Grupa ta pojawi się w polu Nazwa na karcie Zarządzany przez arkusza właściwości kontrolera RODC w przystawce Użytkownicy i komputery usługi Active Directory, gdzie można ją zmienić w dowolnym momencie po zakończeniu instalacji.
Aby wyszukać w katalogu użytkownika lub grupę, należy kliknąć przycisk Ustaw, a następnie wpisać nazwę użytkownika lub grupy. Zalecane jest, aby uprawnienia do instalowania kontrolera RODC oraz zarządzania nim były delegowane do grupy.