Qu es un RODC?De slo lectura controladores de dominio (RODC) son una nueva caracterstica de Active Directory Domain Services (AD DS) en Windows Server 2008. RODC son controladores de dominio adicionales para un dominio que alojan completa, slo lectura copias de las particiones de la base de datos de Active Directory y una copia de slo lectura de los contenidos de la carpeta SYSVOL. Por el almacenamiento en cach de forma selectiva las credenciales, los RODC abordan algunos de los retos a los que las empresas pueden encontrar en las sucursales y redes perimetrales (tambin conocido como DMZ) que pueden carecer de la seguridad fsica que se encuentra comnmente en los centros de datos y sitios de cubo. RODC tambin ofrecen una serie de mejoras de gestin que se describen en esta gua. En esta seccin se describe cmo los RODC trabajan con el resto del entorno de Active Directory, las principales diferencias entre los RODC y los controladores de dominio de escritura, y las caractersticas de RODC que pueden ayudar a resolver una serie de problemas de seguridad o de gestin.

EL ALMACENAMIENTO EN CACH DE CREDENCIALESComo se mencion anteriormente, por defecto un RODC no almacena credenciales de usuario o credenciales de equipo, a excepcin de su propia cuenta de equipo y una cuenta krbtgt especial para ese RODC. Para obtener ms informacin acerca de los atributos que forman parte de una cuenta de equipo del usuario o las credenciales, vea usuario y de equipo de Credenciales. Cuando los usuarios o equipos de un sitio que es atendida por un intento RODC para autenticarse en el dominio, el RODC por defecto no puede validar sus credenciales. El RODC reenva la solicitud de autenticacin a un controlador de dominio de escritura. Sin embargo, puede haber un conjunto de entidades de seguridad que pueden necesitan para poder autenticarse en un sitio que es atendida por un RODC, incluso en los casos en los que no se puede escribir la conectividad a controladores de dominio. Por ejemplo, es posible que tenga un conjunto de usuarios y equipos de una sucursal que desea ser autenticado, incluso si no hay conectividad entre la sucursal y los sitios que contienen controladores de dominio grabables. Para resolver este problema, puede configurar el PRP para ese RODC para permitir que las contraseas para los usuarios que se almacenan en cach en el RODC. Si las contraseas de cuentas se almacenan en cach en el RODC, el RODC puede autenticar esas cuentas cuando la conectividad a los controladores de dominio de escritura no est disponible. El PRP acta como una lista de control de acceso (ACL). Determina si un RODC se permite almacenar en cach las credenciales de una cuenta. Despus de que el RODC recibe una solicitud de inicio de sesin de usuario o equipo, intenta replicar las credenciales para la cuenta de un controlador de dominio de Windows Server 2008 puede escribir. El controlador de dominio de Windows Server 2008 puede escribir se refiere a la PRP para determinar si las credenciales de la cuenta deben ser cacheados. Si el PRP permite que la cuenta que se almacena en cach, el controlador de dominio de Windows Server 2008 puede escribir replica las credenciales de esa cuenta en el RODC y RODC les almacena en cach. Durante los inicios de sesin subsiguientes para esa cuenta, el RODC puede autenticar la cuenta, haciendo referencia a las credenciales que ha cach. El RODC no tiene que ponerse en contacto con el controlador de dominio de escritura.