當您建立唯讀網域控制站 (RODC) 安裝的帳戶時,可以指定後續負責將伺服器附加到 RODC 帳戶的使用者或群組。如果您未指定使用者或群組,則只有 Domain Admins 群組或 Enterprise Admins 群組的成員才能將伺服器附加到帳戶。如果您指定可將伺服器附加到帳戶的使用者或群組,則在安裝完成後,指定的使用者或群組也將負責管理 RODC。針對此用途,您只能指定一個使用者或群組。
如果您要讓委派的 RODC 系統管理員的密碼能夠在 RODC 上快取,則必須將該系統管理員的使用者帳戶連同受委派系統管理員即將使用的電腦帳戶,一起新增至允許在 RODC 上快取其密碼的安全性主體清單 (也稱為「允許清單」)。若未將對應的電腦帳戶新增至「允許清單」,則在無法連線到可寫入的網域控制站時,會讓 RODC 無法驗證委派的系統管理員。如需「允許清單」及設定「密碼複寫原則」(PRP) 的相關資訊,請參閱指定密碼複寫原則。
您在 Active Directory 網域服務安裝精靈的這個頁面上所指定的使用者或群組,將會擁有 RODC 上的本機系統管理權限。事實上,這表示使用者或群組擁有該伺服器的完全控制權,包括本機登入、安裝其他軟體、安裝裝置驅動程式等的能力。委派的使用者或群組也能夠從 RODC 移除 Active Directory 網域服務 (AD DS)。
因此,請將 RODC 安裝及管理只委派給必須擁有這類存取權利及權限的使用者及群組,以便他們執行所負責的工作。此外,如果將權限指派給安全性群組而非個別的使用者,則可簡化在必要時變更上述權限的程序。
您可能會為了管理您計劃部署的 RODC 而特別建立安全性群組,然後在此精靈頁面指定該群組的名稱。之後,該群組會在 Active Directory 使用者和電腦嵌入式管理單元的 RODC 內容頁上,於 [管理者] 索引標籤的 [名稱] 欄位中出現,而您可以在安裝完成後隨時變更。
若要搜尋特定使用者或群組的目錄,請按一下 [設定],然後輸入使用者或群組的名稱。建議您將 RODC 安裝與管理委派給群組。