Eine Möglichkeit, Domänencontroller in Niederlassungen abzusichern, sind die schreibgeschützten Domänencontroller (Read-only Domain Controller, RODC). Diese erhalten replizierte Informationen von regulären Domänencontrollern und nehmen selbst keine Änderungen von Administratoren entgegen.
Ein RODC erhält also immer nur Informationen und kann selbst keinerlei Informationen in das Active Directory schreiben. Durch dieses Feature können Sie auch DCs in kleineren Niederlassungen betreiben, ohne dass das Sicherheitskonzept eines Unternehmens dahingehend beeinträchtigt ist, wenn die DCs in den Niederlassungen nicht hinreichend geschützt sind.
Ein RODC schützt das Active Directory so etwa davor, dass Kennwörter ausspioniert werden können. Er kennt zwar alle Objekte im Active Directory, speichert aber nur die Kennwörter der Benutzer, die Sie explizit festlegen. Wird ein solcher Domänencontroller gestohlen und versucht ein Angreifer, die Kennwörter aus der Datenbank des Controllers auszulesen, sind die Konten der restlichen Domäne geschützt. Ein RODC nimmt keine Änderungen in der Datenbank des Active Directory an, nur ein lesender Zugriff ist erlaubt. Schreibende Domänencontroller richten zudem keine Replikationsverbindung zu RODCs ein, da eine Replikation nur von normalen DCs zu RODCs erfolgen kann. RODCs richten vielmehr Replikationsverbindungen zu den schreibenden Domänencontrollern ein, die Sie bei der Heraufstufung angeben.
Klicken Sie im Snap-In "Active Directory-Benutzer und -Computer" mit der rechten Maustaste auf die OU "Domain Controllers", können Sie im zugehörigen Kontextmenü den Eintrag "Konto für schreibgeschützten Domänencontroller vorbereiten" auswählen. In diesem Fall führen Sie in der Zentrale den Assistenten zum Erstellen eines neuen Domänencontrollers aus und weisen diesem ein Computerkonto zu. In der Niederlassung kann anschließend ein Administrator diesen Server installieren. Der Server bekommt automatisch die Funktion des RODCs zugewiesen.

Bild 2: Mit schreibgeschützten Domänencontrollern lassen sich Niederlassungen sicherer anbinden.
Ein RODC bietet ein vollständiges Active Directory, allerdings ohne gespeicherte Kennwörter. Dieser Ordner auf dem RODC ist schreibgeschützt (read only), also nur lesbar, verfügbar. Zwar kann auch ein RODC Kennwörter speichern, aber nur genau diejenigen, die ein Administrator angibt. Bei der Verwendung von RODCs werden folgende Abläufe beim Anmelden eines Benutzers abgewickelt:
- Ein Anwender meldet sich am Standort des RODC an.
- Der RODC überprüft, ob das Kennwort des Anwenders auf den Server repliziert wurde. Falls ja, wird der Anwender angemeldet.
- Ist das Kennwort nicht auf dem RODC verfügbar, wird die Anmeldeanfrage an einen vollwertigen DC weitergeleitet.
- Ist die Anmeldung erfolgreich durchgeführt, wird dem RODC ein Kerberos-Ticket zugewiesen.
- Der RODC stellt dem Anwender jetzt noch ein eigenes Kerberos-Ticket aus, mit dem dieser Anwender arbeitet. Gruppenmitgliedschaften und Gruppenrichtlinien werden übrigens nicht über die WAN-Leitung gesendet. Diese Informationen werden auf dem RODC gespeichert.
- Als Nächstes versucht der RODC, das Kennwort dieses Anwenders in seine Datenbank von einem vollwertigen DC zu replizieren. Ob das gelingt oder nicht, hängt von der jeweiligen Gruppenmitgliedschaft ab.
- Bei der nächsten Anmeldung dieses Anwenders beginnt der beschriebene Prozess von vorne.
Wird ein RODC gestohlen, enthält dieser ausschließlich nur die Daten der Benutzerkonten, die zur Replikation auf den Server explizit ausgewählt sind. Alle anderen Daten des Active Directory sind auf dem Server nicht verfügbar und können daher auch nicht ausgelesen werden. Entfernt ein Administrator das Computerkonto des gestohlenen RODCs, wird ihm ein Auswahlfenster angezeigt, über das die Kennwörter der Benutzer und Computer, die auf den RODC repliziert sind, zurückgesetzt werden können. Selbst wenn es einem Dieb gelingen sollte, die Daten vom RODC auszulesen, sind diese wertlos, weil sie zurückgesetzt wurden. Bei diesem Vorgang löscht das Active Directory nicht die Benutzer- und Computerkonten selbst, sondern ausschließlich die Kennwörter. Diese Daten lassen sich außerdem nicht nur zurücksetzen, sondern über den Assistenten besteht zusätzlich eine Exportmöglichkeit der Konten.