Windows Server 2008 RODCs (Read Only Domain Controllers) - Diferenças de RWDCs
Outro dia vi uma nomenclatura que achei interessante: RWDC, ou Read Write Domain Controller, apenas um nome novo para diferenciar dos RODCs, ou Read Only Domain Controllers. Os RWDCs são os Domain Controllers que já estamos acostumados, com sua base de AD leitura/gravação e todas as funcionalidades existentes. A princípio, um RODC possui as mesmas características. Por exemplo, ele também possui uma pasta SYSVOL; possui as GPOs para serem aplicadas, pode ser um servidor de Global Catalog , um servidor de DNS, etc. Entretanto, há algumas diferenças importantes:
RODCs can be administered by delegated users that do not have any domain privileges beyond standard domain users. Administration operations include applying hotfixes and software updates, performing offline defragmentation and backups, and so on.
Only domain administrators can manage writable domain controllers.
Característica | RODC | RWDC |
Acesso à base do AD | Base somente leitura, ou seja, as aplicações só podem ler dados, e não gravar. Entretanto, quando os RODCs precisam gravar algo na base do AD, eles "encaminham" a requisição para um RWDC | Base leitura e gravação. Quando um RWDC precisa gravar na base do AD, ele grava em sua base local (ntds.dit) e depois entra no mecanismo de replicação intra-site e inter-site |
Replicação entre os DC's | Os RODCs "puxam" dados a partir de um RWDC, mas nunca geram alterações. Ou seja, há apenas 1 conector entre 2 DCs e a replicação é otimizada. Isto acontece tanto para as partições do AD quanto para a pasta Sysvol | Esquema de replicação 100% multi-master, "gerando" e "puxando" dados de outros DCs. |
Dados armazenados na base do AD | Contém uma cópia completa dos dados (usuários, grupos, computadores, etc), exceto as credenciais (senhas) e outros atributos que são "filtrados", ou seja, que possuem indicação explícita que não devem ser replicados ao RODC | Cópia completa dos dados, incluindo credenciais e todos os demais atributos e objetos |
Administração | Você pode "Delegar" direitos administrativos para não-Domain Admins, ou seja, você pode escolher um grupo ou usuário do AD e incluí-lo como Administrador, Backup Operator, Print Operator local, sem impactar outras localidades. Assim, operações tais como aplicar hotfixes, instalar impressoras, realizar backups em DCs podem ser feitas sem a intervenção direta do Administrador | Apenas membros do grupo "Domain Admins", ou seja, Administradores do Domínio podem realizar tarefas administrativas em DCs; além do mais, ao ser incluído em um grupo como este, a conta passa a administrar o ambiente como um todo. |