Qu es un RODC?

De slo lectura controladores de dominio (RODC) son una nueva

caracterstica de Active Directory Domain Services (AD DS) en Windows
Server 2008. RODC son controladores de dominio adicionales para un
dominio que alojan completa, slo lectura copias de las particiones de la
base de datos de Active Directory y una copia de slo lectura de los
contenidos de la carpeta SYSVOL. Por el almacenamiento en cach de
forma selectiva las credenciales, los RODC abordan algunos de los retos a
los que las empresas pueden encontrar en las sucursales y redes
perimetrales (tambin conocido como DMZ) que pueden carecer de la
seguridad fsica que se encuentra comnmente en los centros de datos y
sitios de cubo. RODC tambin ofrecen una serie de mejoras de gestin que
se describen en esta gua. En esta seccin se describe cmo los RODC
trabajan con el resto del entorno de Active Directory, las principales
diferencias entre los RODC y los controladores de dominio de escritura, y las
caractersticas de RODC que pueden ayudar a resolver una serie de
problemas de seguridad o de gestin.

EL ALMACENAMIENTO EN CACH DE CREDENCIALES

Como se mencion anteriormente, por defecto un RODC no almacena
credenciales de usuario o credenciales de equipo, a excepcin de su propia
cuenta de equipo y una cuenta krbtgt especial para ese RODC. Para
obtener ms informacin acerca de los atributos que forman parte de una
cuenta de equipo del usuario o las credenciales, vea usuario y de equipo de
Credenciales.
Cuando los usuarios o equipos de un sitio que es atendida por un intento
RODC para autenticarse en el dominio, el RODC por defecto no puede
validar sus credenciales. El RODC reenva la solicitud de autenticacin a un
controlador de dominio de escritura. Sin embargo, puede haber un conjunto
de entidades de seguridad que pueden necesitan para poder autenticarse
en un sitio que es atendida por un RODC, incluso en los casos en los que no
se puede escribir la conectividad a controladores de dominio.
Por ejemplo, es posible que tenga un conjunto de usuarios y equipos de una
sucursal que desea ser autenticado, incluso si no hay conectividad entre la
sucursal y los sitios que contienen controladores de dominio grabables.
Para resolver este problema, puede configurar el PRP para ese RODC para
permitir que las contraseas para los usuarios que se almacenan en cach
en el RODC. Si las contraseas de cuentas se almacenan en cach en el
RODC, el RODC puede autenticar esas cuentas cuando la conectividad a los
controladores de dominio de escritura no est disponible.
El PRP acta como una lista de control de acceso (ACL). Determina si un
RODC se permite almacenar en cach las credenciales de una cuenta.
Despus de que el RODC recibe una solicitud de inicio de sesin de usuario
o equipo, intenta replicar las credenciales para la cuenta de un controlador
de dominio de Windows Server 2008 puede escribir. El controlador de
dominio de Windows Server 2008 puede escribir se refiere a la PRP para
determinar si las credenciales de la cuenta deben ser cacheados. Si el PRP

permite que la cuenta que se almacena en cach, el controlador de dominio

de Windows Server 2008 puede escribir replica las credenciales de esa
cuenta en el RODC y RODC les almacena en cach. Durante los inicios de
sesin subsiguientes para esa cuenta, el RODC puede autenticar la cuenta,
haciendo referencia a las credenciales que ha cach. El RODC no tiene que
ponerse en contacto con el controlador de dominio de escritura.