В Window Server 2008 поддерживаются контроллеры домена, доступные только для чтения и допускающие перезапуск AD DS. Контроллер домена с доступом только для чтения (read-only domain controller, RODC) — это дополнительный контроллер домена, содержащий копию хранилища данных Active Director, доступную только для чтения.
RODC-контроллер идеально подходит для филиалов компании, где нельзя гарантировать физическую защищенность компьютеров. RODC-контроллеры так же используются в компьютерах автомашин, например в Peugeot, но в них они служат для других целей, так что не путайте.
За исключением паролей в RODC хранятся те же объекты и атрибуты, что и на обычных контроллерах домена. Эти объекты и атрибуты копируются в RODC при помощи однонаправленной репликации с обычного контроллера домена, играющего роль партнера репликации.
Поскольку на RODC по умолчанию не хранятся пароли и учетные данные пользователей (кроме собственной учетной записи компьютера и записи Kerberos Target), RODC извлекает учетные данные пользователей и компьютеров с обычного контроллера домена, работающего под управлением Windows Server 2008. При необходимости RODC кеширует учетные данные, пока они не изменятся, если это разрешено политикой репликации паролей. Поскольку на RODC хранится только часть учетных данных, сокращается объем подвергающейся риску критической информации.
