När du skapar ett konto för installationen av en skrivskyddad domänkontrollant (RODC) kan du ange vilken användare eller grupp som ska ansvara för att senare koppla servern till RODC-kontot. Om du inte anger någon användare eller grupp är det bara medlemmar i gruppen för domänadministratörer eller företagsadministratörer som kan koppla servern till kontot. Om du anger en användare eller grupp som kan koppla servern till kontot ansvarar denna användare eller grupp också för att administrera den skrivskyddade domänkontrollanten när installationen har slutförts. Du kan bara ange en användare eller grupp.
Om du vill att en delegerad RODC-administratörs lösenord ska kunna cachelagras på den skrivskyddade domänkontrollanten måste du lägga till användarkontot för administratören till listan över de säkerhetsobjekt som får cachelagra sina lösenord på RODC (kallas även för Tillåtna), tillsammans med det datorkonto som den delegerade administratören använder. Om du inte lägger till motsvarande datorkonto till listan Tillåtna kan RODC inte autentisera den delegerade administratören om det inte finns någon anslutning till en skrivbar domänkontrollant. Mer information om listan Tillåtna och hur du anger en princip för lösenordsreplikering (PRP) finns under Ange en princip för lösenordsreplikering.
Den användare eller grupp som du anger på den här sidan i installationsguiden för Active Directory Domain Services får lokal administratörsbehörighet på den skrivskyddade domänkontrollanten. I praktiken innebär detta att användaren eller gruppen har fullständig kontroll över servern, inklusive behörighet för att logga in lokalt, installera ytterligare program eller enhetsdrivrutiner o.s.v. Den delegerade användaren eller gruppen kan också ta bort Active Directory Domain Services (AD DS) från den skrivskyddade domänkontrollanten.
Därför bör du bara delegera installation och administration av skrivskyddade domänkontrollanter till användare och grupper som måste ha den här typen av behörighet för att kunna utföra sina arbeten. Dessutom bör du tilldela behörighet till säkerhetsgrupper snarare än till enskilda användare för att göra det enklare att ändra behörigheterna om det blir nödvändigt.
Det kan vara en bra idé att skapa en specifik säkerhetsgrupp för administration av den skrivskyddade domänkontrollant som du planerar att distribuera, och sedan ange namnet på denna grupp på guidesidan. Gruppnamnet visas då i fältet Namn på fliken Hanterad av på egenskapssidan till den skrivskyddade domänkontrollanen i snapin-modulen Active Directory - användare och datorer. Där kan du också ändra namnet när som helst efter installationen.
Om du vill söka efter en specifik användare eller grupp i katalogen klickar du på Ställ in och skriver namnet på användaren eller gruppen. Vi rekommenderar att du delegerar installation och administration av en skrivskyddad domänkontrollant till en grupp.