Windows Server 2008 RODCs (Read Only Domain Controllers) - Diferenças de RWDCs - Danilo Bordini - Technical Evangelism Manager- Microsoft Brasil - Site Home

Outro dia vi uma nomenclatura que achei interessante: RWDC, ou Read Write Domain Controller, apenas um nome novo para diferenciar dos RODCs, ou Read Only Domain Controllers. Os RWDCs são os Domain Controllers que já estamos acostumados, com sua base de AD leitura/gravação e todas as funcionalidades existentes. A princípio, um RODC possui as mesmas características. Por exemplo, ele também possui uma pasta SYSVOL; possui as GPOs para serem aplicadas, pode ser um servidor de Global Catalog , um servidor de DNS, etc. Entretanto, há algumas diferenças importantes:

RODCs can be administered by delegated users that do not have any domain privileges beyond standard domain users. Administration operations include applying hotfixes and software updates, performing offline defragmentation and backups, and so on.

Only domain administrators can manage writable domain controllers.

Característica	RODC	RWDC
Acesso à base do AD	Base somente leitura, ou seja, as aplicações só podem ler dados, e não gravar. Entretanto, quando os RODCs precisam gravar algo na base do AD, eles "encaminham" a requisição para um RWDC	Base leitura e gravação. Quando um RWDC precisa gravar na base do AD, ele grava em sua base local (ntds.dit) e depois entra no mecanismo de replicação intra-site e inter-site
Replicação entre os DC's	Os RODCs "puxam" dados a partir de um RWDC, mas nunca geram alterações. Ou seja, há apenas 1 conector entre 2 DCs e a replicação é otimizada. Isto acontece tanto para as partições do AD quanto para a pasta Sysvol	Esquema de replicação 100% multi-master, "gerando" e "puxando" dados de outros DCs.
Dados armazenados na base do AD	Contém uma cópia completa dos dados (usuários, grupos, computadores, etc), exceto as credenciais (senhas) e outros atributos que são "filtrados", ou seja, que possuem indicação explícita que não devem ser replicados ao RODC	Cópia completa dos dados, incluindo credenciais e todos os demais atributos e objetos
Administração	Você pode "Delegar" direitos administrativos para não-Domain Admins, ou seja, você pode escolher um grupo ou usuário do AD e incluí-lo como Administrador, Backup Operator, Print Operator local, sem impactar outras localidades. Assim, operações tais como aplicar hotfixes, instalar impressoras, realizar backups em DCs podem ser feitas sem a intervenção direta do Administrador	Apenas membros do grupo "Domain Admins", ou seja, Administradores do Domínio podem realizar tarefas administrativas em DCs; além do mais, ao ser incluído em um grupo como este, a conta passa a administrar o ambiente como um todo.