症状
通常情况下,只读域控制器 (Rodc) 只能复制用户帐户允许 RODC 密码复制组的成员或该 RODC 帐户的 msDS RevealOnDemandGroup 属性中列出的用户密码。
但是,对于一些不允许 RODC 密码复制组的成员或该 RODC 帐户的 msDS RevealOnDemandGroup 属性中未列出的用户帐户,您可能会发现这些密码帐户,由 RODC 进行验证可能由 RODC 缓存。
例如,当您通过使用 Active Directory 用户和计算机的"repadmin /prp 视图 RODC_name 显示"输出比较高级密码复制策略属性的输出,列出的条目将二者之间有所不同。
原因
此问题是由不正确的权限配置引起的。
默认情况下,包含仅可写域控制器的企业域控制器组具有域分区上的复制目录更改所有权限。例如,在"DC = contoso,DC = com"在 Active Directory 中。
但是,当问题发生时,RODC 的问题还有复制目录更改所有权限域上因为到企业只读域控制器的组或到 RODC 对象已由管理员授予直接或间接地通过一些其他组成员资格。
通常情况下,Rodc 将仅复制用户密码,如果用户帐户允许 RODC 密码复制组的成员或该 RODC 帐户的 msDS RevealOnDemandGroup 属性中列出。
复制目录更改所有的权限,用户,包括密码,将复制所有属性从源 DC 到 RODC RODC 像正常读写 DC (RWDC)。
解决方案
要解决此问题,请更改复制目录更改到企业只读域控制器对象复制目录更改所有被授予的权限。
更多信息
按照以下步骤操作有助于验证的权限,并确定错误的权限的来源。
第 1 步
使用 LDP 查看域上的"控制访问"权限。若要执行此操作,请执行以下步骤:
-
在域控制器上运行LDP.exe命令。
-
连接到树 (例如,"DC = contoso,DC = com")。
-
用鼠标右键单击DC = contoso,DC = com节点,选择高级,然后选择安全描述符。
-
选择文本转储为文本视图的权限,或选中要获取 GUI 安全编辑器。
-
验证权限,以确保企业只读域控制器组只具有权限复制目录更改。
第 2 步
请验证 RODC 才能确定是否复制目录更改所有被授权通过另一个组的组成员资格。
要获得 RODC 的真正成员,可以使用TokenGroups属性的查询来检索用户的有效组列表使用 LDP 工具。
请确保您选择"基础"的范围,并添加所需的属性。如果范围的单个用户在搜索该用户获得列表。如果用户是多个组中,必须延伸到右侧窗口打印 LDP 的数据量、 从菜单上,选择Options\General和调整较大的值将每个字符字段:
第 3 步
在 Windows Server 2008 R2,Windows 7,Windows Server 2008 中或 Windows Vista 上,检查是否您会遇到以下文章中介绍的问题:
第 4 步
C确认RODC 计算机帐户属性域中的所有域控制器上的一致性。
一种方法是使用repadmin RODC 计算机帐户的复制元数据从所有域控制器。若要执行此操作,请使用下面的命令:
repadmin /showobjmeta * <dn of RODC account>’ > rodc_meta.txt
第 5 步
同样到第 4 步,确认的一致性"允许 RODC 密码复制" 组和msDS RevealOnDemandGroup属性上配置的任何其他组以查看是否可以解释错误地缓存的用户密码通过在不同的域控制器都可能由复制问题上不一致的组成员身份。
第 6 步
验证具有该 rodc 缓存其密码的用户意外未配置为具有缓存其密码的组的成员。
注意,MMC 将收集密码复制策略信息时repadmin /prp命令将任何域控制器 (甚至 RODC 本身),总是询问读写域控制器。
如果 RODC 和读写 DC 之间的任何复制不一致,这可以解释在这两个实用程序/方法的输出的差异。