При создании учетной записи для установки контроллера домена только для чтения (RODC) можно определить, какой пользователь или какая группа будет отвечать за последующее связывание сервера с учетной записью RODC. Если пользователь или группа не заданы, связать сервер с учетной записью может только член группы «Администраторы домена» или «Администраторы предприятия». Если заданы пользователь или группа, которые могут связать сервер с учетной записью, этот пользователь или эта группа также будет отвечать за администрирование RODC после завершения установки. Для этой цели можно определить только одного пользователя или одну группу.
Чтобы разрешить кэширование пароля делегированного администратора в RODC, необходимо добавить соответствующую учетную запись пользователя в список субъектов безопасности, которым разрешено кэширование паролей в RODC (список разрешенных пользователей), вместе с учетной записью компьютера, который будет использоваться делегированным администратором. Если соответствующую учетную запись компьютера не удается добавить в группу, RODC не будет выполнять проверку подлинности делегированного администратора при отсутствии подключения к доступному для записи контроллеру домена. Дополнительные сведения о списке разрешенных пользователей и определении политики репликации паролей см. в разделе Определение политики репликации паролей.
Пользователь или группа, заданные на этой странице мастера установки службы AD DS, будет обладать правами локального администратора относительно RODC. На практике это означает, что пользователь или группа получает возможность полного управления сервером, включая возможность локального входа в систему, установки дополнительного программного обеспечения, установки драйверов устройств и т. д. Пользователь или группа с делегированными правами также сможет удалить службу AD DS (Active Directory Domain Services) с RODC.
Следовательно, делегировать установку и администрирование рекомендуется только тем пользователям и группам, которым требуется обладать такими правами доступа и разрешениями для выполнения своей работы. Кроме того, чтобы упростить процесс изменения разрешений при необходимости, рекомендуется назначать их группам безопасности, а не отдельным пользователям.
Может понадобиться создать группу безопасности специально для целей администрирования разворачиваемого RODC, а затем задать это имя группы на странице мастера. Затем эта группа появится в поле Имя вкладки Управляется на странице свойств RODC оснастки «Active Directory - пользователи и компьютеры», позволяющей изменить ее в любой момент после установки.
Чтобы найти в каталоге конкретного пользователя или группу, нажмите кнопку Установить, а затем введите имя пользователя или группы. Рекомендуется делегировать права установки и администрирования контроллера домена только для чтения группе, а не пользователю.