266 Kapitel 5: Konfigurieren von AD LDS und RODCs
auf dem RODC zwischengespeichert werden. Das geschieht aber erst, wenn Authentifizie-
rungs- oder Dienstticketereignisse auftreten, sodass der RODC die Anmeldeinformationen
von einem beschreibbaren Domänencontroller repliziert. Sie können dafür sorgen, dass Au-
thentifizierungs- und Dienstticketoperation sogar dann lokal vom RODC verarbeitet werden,
wenn sich der Benutzer oder der Computer zum ersten Mal authentifiziert. Dazu füllen
Sie Anmeldeinformationen der Benutzer und Computer aus der betreffenden Zweigstelle in
den RODC-Cache ein. Klicken Sie dazu auf Kennwörter auffüllen und wählen Sie die ge-
wünschten Benutzer und Computer aus. Normalerweise tun Sie das, wenn ein neuer Mitar-
beiter eine Stelle in einer Zweigstelle antritt (oder wenn Sie wissen, dass eine Führungskraft
eine Zweigstelle besucht und sich dort anmelden will).
Administratorrollentrennung
RODCs in Zweigstellen erfordern gelegentliche Wartung, wenn etwa ein aktualisierter Geräte-
treiber installiert werden muss. Außerdem kombinieren kleine Zweigstellen oft den RODC
auf einem einzelnen Computer mit anderen Rollen, etwa der des Dateiservers. Für diesen
Fall ist es wichtig, dass ein Mitarbeiter der Zweigstelle eine Datensicherung des Systems
vornehmen kann. RODCs unterstützen die lokale Administration über ein Feature, das als
Administratorrollentrennung bezeichnet wird. Jeder RODC verwaltet eine lokale Datenbank
der Gruppen, die bestimmte Administrationsaufgaben erledigen. Sie können Domänenbe-
nutzerkonten zu diesen lokalen Rollen hinzufügen, um den Support für einen bestimmten
RODC sicherzustellen.
Sie konfigurieren die Administratorrollentrennung mit dem Tool dsmgmt.exe. Gehen Sie
folgendermaßen vor, um einen Benutzer zur Administratorenrolle auf einem RODC hinzu-
zufügen:
1. Öffnen Sie auf dem RODC eine Eingabeaufforderung mit erhöhten Rechten.
2. Geben Sie den Befehl
dsmgmt ein.
3. Geben Sie
local roles ein.
4. Geben Sie an der
local roles-Eingabeaufforderung ein Fragezeichen (?) ein, um sich
eine Liste aller Befehle anzeigen zu lassen. Mit
list roles können Sie sich eine Liste
der lokalen Rollen anzeigen lassen.
5. Geben Sie
add Benutzername administrators ein, wobei Benutzername der Prä-Windows
2000-Anmeldename eines Domänenbenutzers ist.
Wiederholen Sie diesen Vorgang bei Bedarf, um weitere Benutzer zu den verschiedenen
lokalen Rollen auf einem RODC hinzuzufügen.
Weitere Informationen Verbessern von Authentifizierung und Sicherheit
Weitere Informationen darüber, wie RODCs Authentifizierung und Sicherheit in Zweig-
stellen verbessern, finden Sie unter http://technet.microsoft.com/de-de/library/cc772234.
aspx.