Read Only Domain Controller

Der "Read only Domain Controller" kurz "RODC" ist ein neuer Controllertyp im Domönencontroller-konzept von Windows Server 2008. Er stellt einen Domaincontroller ohne Schreibberechtigung und ohne sicherheitsrelevanten Daten dar. Er ist damit als Domaincontroller in potentiell unsicheren Standorten nutzbar. .^[1].

Der RODC stellt einen vollwertigen Domaincontroller dar. Allerdings kann von dem Controllertyp nur gelesen werden. Schreibende Zugriffe auf die AD DS-datenbank werden unterbunden.^[1]

In der AD DS-datenbank werden keine sicherheitskritischen Daten und Attribute hinterlegt. (z.B. Kontokennwörter). ^[1]

Der DC kann nur unidirektional repliziert werden. Um Daten zu ändern muss also der Domaincontroller verändert werden, von welchem aus der RODC repliziert wird.^[1]

Für die Administration des RODC können eigene Rollen vergeben werden, somit ist die administrative Wartung delegierbar. Zusätzlich verfügt der RODC über einen schreibgeschützten DNS.^[1]

Um den RODC zusätzlich abzusichern können Attribute von der Replikation ausgeschlossen werden^[1]

Der RODC ist konzipiert um in Einheiten mit niedriger Sicherheitsstufe (z.B. Zweigstellen, kleine Aussenbüros etc) eingesetzt zu werden. Durch das Rollenmodell und den verringerten Administrationsaufwand gegenüber einem vollwertigen DC, muss so kein oder wenig IT-Know How vor Ort gebunden werden. Durch das physikalische Vorhandensein eines DC vor Ort bei über WAN angebundenen Standorten wird die Datenlast im WAN gesenkt.

Ein weiteres Szenario für den Einsatz ist eine Serversoftware welche am physikalisch identischen Ort einen Domaincontroller benötigt. Auch hier wird der Mehrwert bei der niedrigeren Administrationsarbeit und der erhöhten Sicherheit angesetzt ^[1]

1. ↑ ^{a b c d e f g} Windows Server 2008 Technical Library, Microsoft Technet