В этой статье объясняется, как вы можете делегировать администрирование контроллера RODC для пользователей домена.
RODC содержит копия базы данных Active Directory, доступную только для чтения. RODC предназначен для мест, где администраторы имеют мало знаний об Active Directory. Пользователь или даже администратор домена не может выполнять LDAP операций записи на RODC. Имееться в виду, что операция записи предназначена только для базы данных домена или файла Ntds.dit RODC, но сам сервер все еще нуждается в управлении человеком для обслуживания и таких целей, как установка патчей, обновление антивирусных баз и т.д.
Эти задачи могут быть выполнены только с правами локального администратора на рядовом сервере, но контроллеры RODC не имеют локальных администраторов, поскольку они входят в состав домена Active Directory.
Вы можете назначить пользователю домена права для выполнения задач по обслуживанию на RODC, выполнив следующие команды на RODC сервере:
Введите Dsmgmt и нажмите клавишу ВВОД
Наберите Add user_name Administrators
Эта команда будет закончена с сообщением “Команда выполнена успешно”.
Вышеуказанные действия добавляет запись по следующему адресу в реестре:
1 |
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSARODCRoles |
Параметр реестра содержит список учетных записей пользователей, которые могут управлять RODC с целью обслуживания.
взял тут