Ho un intero capitolo su questa funzione nel mio libro (www.briandesmond.com/ad4/). Il fatto è che questa è una funzionalità di sicurezza e per le organizzazioni distribuite è un grosso problema.
Ci sono due scenari davvero grandi qui:
-> I controller di dominio di sola lettura non memorizzano password per impostazione predefinita. Ciò significa che se qualcuno ottiene fisicamente i dischi dal server, non ottiene tutte le password dell'utente (e del computer).
La risposta corretta se qualcuno ruba un RWDC è reimpostare TUTTE le password nel dominio in quanto è possibile considerarle tutte compromesse. Questa è un'impresa importante.
Con un controller di dominio di sola lettura puoi solo memorizzare nella cache le password per il sottoinsieme X di utenti e computer. Quando il controller di dominio di sola lettura memorizza effettivamente la password nella cache, memorizza tali informazioni in Active Directory. Se il controller di dominio di sola lettura viene rubato, ora hai un piccolo elenco di password che devono essere ripristinate.
-> I controller di dominio di sola lettura si replicano in un modo. Se qualcuno ti rubasse RWDC, apportasse alcune modifiche e lo ricollegasse, tali modifiche si replicerebbero nell'ambiente. Ad esempio, potrebbero aggiungersi al gruppo degli amministratori di dominio o ripristinare tutte le password dell'amministratore o qualcosa del genere. Con un RODC questo non è semplicemente possibile.
Non c'è miglioramento della velocità a meno che tu non stia posizionando un controller di dominio di sola lettura in una posizione che prima non aveva un DC e quindi è probabile che ci sia un miglioramento della velocità in alcuni scenari.
La risposta di TheCleaner è davvero errata. Ci sono MOLTI scenari avvincenti per i controller di dominio di sola lettura e posso pensare a diverse distribuzioni di essi su vasta scala. Questa è roba di sicurezza semplice, non roba "analista sulla sicurezza".
Grazie,
Brian Desmond
MVP di Active Directory