Read-Only Domain Controller (RODC) — это новый тип контроллера домена для Windows Server 2008. Благодаря функции RODC, организации могут с легкостью разворачивать контроллеры доменов в тех местах, где физически нельзя гарантировать безопасность. Основной задачей RODC является улучшение безопасности в офисах филиалов компании, где зачастую трудно обеспечить безопасность, необходимую для инфраструктуры ИТ, особенно для контроллеров доменов, содержащих незащищенные данные. Если кому-либо удается получить физический доступ к контроллеру, то ему не сложно будет манипулировать системой и получить доступ к данным. RODC решает эту проблему.
Замечательный функционал, но при его использовании легко наступить на грабли. При попытке добавить роль WSUS мы получим ошибку о невозможности установить внутреннюю базу Windows. Аналогично, попытка установить полноценный SQL сервер завершиться неудачей. Проблема заключается в том, что программа установки пытается создать необходимые ей группы, но т. к. наш контроллер только для чтения, то такая попытка терпит неудачу.
Решение же оказалось довольно простым. Необходимо ручками на любом полноценном контроллере домена создать необходимые группы безопасности.
- Для самого WSUS это будут «Администраторы WSUS» и «Создатели отчетов WSUS» (или «WSUS Administrators» и «WSUS Reporters» для англоязычной версии).
- При использовании внутренней базы данных Windows: «SQLServer2005SQLBrowserUser$<имя_компьютера>$MICROSOFT##SSEE».
- А при установке полноценного SQL сервера потребуется создать 4 группы: «SQLServer2005SQLBrowserUser$<имя_компьютера>», «SQLServerMSSQLServerADHelperUser$<имя_компьютера>», «SQLServerMSSQLUser$<имя_компьютера>$<имя_базы>», «SQLServerSQLAgentUser$<имя_компьютера>$<имя_базы>».