Lektion 2: Konfigurieren von schreibgeschützten Domänencontrollern 271
kationsgruppe sind in der Zulassen-Liste beziehungsweise Verweigern-Liste eingetra-
gen. Mithilfe dieser zwei Gruppen können Sie eine domänenweite Kennwortreplika-
tionsrichtlinie verwalten. Zusätzlich können Sie die einzelnen Kennwortreplikations-
richtlinien der unterschiedlichen Domänencontroller individuell konfigurieren.
■ Sie können die ordnungsgemäße Verwaltung eines RODCs sicherstellen, indem Sie die
Administratorrollentrennung konfigurieren. Damit ermöglichen Sie es den ausgewähl-
ten Benutzern, administrative Aufgaben auszuführen, ohne dass Sie diesen Benutzern
Berechtigungen für andere Domänencontroller oder die gesamte Domäne gewähren
müssen. Der Befehl
dsmgmt implementiert die Administratorrollentrennung.
■ Ein RODC benötigt einen beschreibbaren Windows Server 2008-Domänencontroller
in derselben Domäne. Außerdem muss die Gesamtstrukturfunktionsebene Windows
Server 2003 sein, und der Befehl
adprep /rodcprep muss ausgeführt werden, bevor der
erste RODC installiert wird.
Lernzielkontrolle
Mit den folgenden Fragen können Sie sich die Themen einprägen, die Sie in Lektion 2,
„Konfigurieren von schreibgeschützten Domänencontrollern“, gelernt haben. Die Fragen
finden Sie (in englischer Sprache) auch auf der Begleit-CD, Sie können sie also auch auf
dem Computer im Rahmen eines Übungstests beantworten.
Hinweis Die Antworten
Die Antworten auf diese Fragen mit Erklärungen, warum die jeweiligen Auswahlmöglich-
keiten richtig oder falsch sind, finden Sie im Abschnitt „Antworten“ am Ende dieses Buchs.
1. Sie wollen im Berichtsformat eine Liste aller Benutzer- und Computeranmeldeinfor-
mationen anzeigen, die ein RODC zur Authentifizierung oder Dienstticketverarbeitung
an einen beschreibbaren Domänencontroller weitergeleitet hat. Wie gehen Sie vor?
A. Öffnen Sie in Active Directory-Benutzer und -Computer die Eigenschaften des
RODC-Computerkontos aus der Organisationseinheit Domain Controllers. Kli-
cken Sie auf der Registerkarte Kennwortreplikationsrichtlinie auf Erweitert.
Wählen Sie im Dialogfeld Richtlinie für erweiterte Kennwortreplikation in der
Dropdownliste oben auf der Registerkarte Richtlinienverwendung den Eintrag
Von diesem schreibgeschützten Domänencontroller authentifizierte Konten aus.
B. Öffnen Sie in Active Directory-Benutzer und -Computer die Eigenschaften des
RODC-Computerkontos aus der Organisationseinheit Domain Controllers. Kli-
cken Sie auf der Registerkarte Kennwortreplikationsrichtlinie auf Erweitert.
Wählen Sie im Dialogfeld Richtlinie für erweiterte Kennwortreplikation in der
Dropdownliste oben auf der Registerkarte Richtlinienverwendung den Eintrag
Konten, deren Kennwörter auf diesem schreibgeschützten Domänencontroller
gespeichert sind aus.
C. Erweitern Sie in Active Directory-Benutzer und -Computer den Domänennamen
und wählen Sie den Container Users aus. Untersuchen Sie die Mitglieder der
Gruppe Zulässige RODC-Kennwortreplikationsgruppe.