در این تاپیک ما به بررسی Administrator Role Separation (ARS ) بر روی  read-only domain controller (RODC ) می پردازیم  .

فرض کنید شما میخواهید یک RODC   در یکی از شعب دومین خود راه اندازی کنید . و مدیریت این RODC    فقط توسط domain administrators  و یا اینکه یک یوزری که عضوی از گروه دومین ادمین (Domain Admins group  )باشد ، صورت می پزیرد.در واقع ما نمیخواهیم که این یوزر عضو قدرتمند Domain Admins group  باشد ، چون ممکن با استفاده از مجوز هایی که دارد مشکلاتی را برای این دومین در آینده ایجاد کند.

برای این کار مدیریت RODC   را به یک یوزر که عضو گروه Domain Admins  نیست محول یا واگذار (delegate  )می کنیم.

یکی از مشکلاتی که عموما مدیران شبکه در محیط های کاری خود با آن روبرو میشوند این است که راه اندازی و مدیریت شبکه توسط مدیران شبکه تنها انجام میشود. فعالیت هایی مانند : آپدیت کردن یک نرم افزار ، اجرا defragmentation  بصورت آفلاین ، یا بکاپ گرفتن از سیستم ، قادر به واگذاری یا محول کردن به کسی دیگر نمی باشد.

با معرفی RODCs  مدیران شبکه این توانایی را پیدا کردند تا بتوانند نصب و مدیریت RODC  را به هر یوزر عادی واگذار کنند ، بدون اینکه به آنها هرگونه حق و حقوق اضافی صدور شود . این قدرت واگذاری به ARS  نام گذاری شده است .

شما میتوانید از ARS  در دو هدف خاص استفاده کنید.

RODC installation

شما میتوانید در دو مرحله RODC  را ترویج دهید.

1. یک مدیر شبکه میتواند یک اکانت در دومین برای کامپیوتری که قرار است به عنوان RODC  تلقی شود ایجاد کند. در حین این پردازش مدیر شبکه میتواند Password Replication Policy (PRP ) برای اینRODC  و همچنین اصول امنیتی برای یوزر یا گروه را مشخص کند. با این اکانت ، قادر خواهد بود که RODC   را ترویج دهد و متعاقباً اداره کننده آن نیز باشد.

2. در محلی که قرار است RODC   قرار گیرد ، مدیر گماشته شده  که مدیر دومین آن را مشخص کرده است در اولین گام میتوانید کامپیوتری را که قرار است RODC  شود را به اکانتی که آن را از قبل ایجاد کرده ایم  اتصال دهد.

RODC maintenance

مدیر گماشته شده برای RODC  میتواند به آن لاگین کند و میتوانید از آن نگهداری کند مثل آپدیت کردن یک درایور یا یک نرم افزار ، نصب رول در آن سرور ، اجرا آفلاین defragmentation  روی دیسک ها و ...  ؛ با همه این مجوز ها اما مدیر گماشته شده قادر نیست به دومین کنترلر های دیگر لاگین و یا RODC  های دیگر لاگین کند و یا اینکه نمیتواند هر کار مدیریتی دیگری را اجرا کند. بدین روش یک عضو از گروه Domain Admins  میتواند واگذار کند توانایی مدیریت موٍثر RODC  بدون در خطر انداختن امنیت ما بقی دومین .

برای دیدن نحوه پیکربندی این وِیژگی از لینک زیر استفاده کنید.

http://social.technet.microsoft.com/wiki/contents/articles/16203.administrator-role-separation-fa-ir.aspx