Windows Server 2008에는 RODC(읽기 전용 도메인 컨트롤러)라는 새로운 유형의 도메인 컨트롤러가 도입되었습니다. 전체 도메인 컨트롤러를 배치할 수 없는 지점에서 사용할 도메인 컨트롤러를 제공합니다. 허브 사이트에 대한 네트워크 연결이 없는 경우에도 지점의 사용자가 로그온하고 파일/프린터 공유와 같은 작업을 수행할 수 있도록 하는 것이 목적입니다.
RODC는 스키마 사용 방식을 변경하지 않습니다. 그러나 스키마는 보안상의 이유로 RODC에 복제되지 않는 특수 특성 집합인 RODC 필터링된 특성 집합이라고도 하는 RO-PAS(읽기 전용 부분 특성 집합)를 지원한다는 점을 언급하는 것이 좋습니다. RO-PAS는 searchFlags 특성을 통해 스키마에 정의됩니다.
RODC 필터링된 특성 집합
Active Directory Domain Services를 데이터 저장소로 사용하는 일부 애플리케이션에는 RODC가 도난당하거나 손상된 경우 읽기 전용 도메인 컨트롤러에 저장해서는 안 되는 자격 증명과 유사한 데이터(예: 암호, 자격 증명 또는 암호화 키)가 있을 수 있습니다. 이러한 유형의 애플리케이션에서는 RODC 필터링된 특성 집합에 특성을 추가하여 포리스트의 RODC에 복제되지 않도록 하고, 특성을 기밀로 표시하여 인증된 사용자 그룹 구성원(모든 RODC 포함)의 데이터를 읽는 기능을 제거할 수 있습니다.
RODC 필터링된 특성 집합에 특성 추가
RODC 필터링된 특성 집합은 포리스트의 어떤 RODC에도 복제되지 않는 동적 특성 집합입니다. Windows Server 2008을 실행하는 스키마 마스터에서 RODC 필터링된 특성 집합을 구성할 수 있습니다. 특성이 RODC에 복제되지 않도록 하면 RODC가 도난당하거나 손상된 경우 해당 데이터가 불필요하게 노출될 수 없습니다.
RODC 필터링된 특성 집합에는 시스템에 중요한 특성을 추가할 수 없습니다. 특성은 AD DS, LSA(로컬 보안 기관), SAM(보안 계정 관리자) 및 Kerberos 인증 프로토콜과 같은 Microsoft 특정 보안 서비스 공급자가 제대로 작동해야 하는 경우 시스템에 중요합니다. 베타 3 이후의 Windows Server 2008 릴리스에서 시스템 중요 특성의 schemaFlagsEx 특성 값은 (schemaFlagsEx 특성 값 & 0x1 = TRUE)입니다.
RODC 필터링된 특성 집합에 특성을 추가하는 단계별 지침은 RODC에 대한 단계별 가이드의 부록 D를 참조하세요.
특성을 기밀로 표시
또한 RODC 필터링된 특성 집합의 일부로 구성하는 모든 특성을 기밀로 표시하는 것이 좋습니다. 특성 기밀을 표시하려면 인증된 사용자 그룹의 특성에 대해 읽기 권한을 제거해야 합니다. 특성을 기밀로 표시하면 자격 증명과 유사한 데이터를 읽는 데 필요한 권한을 제거하여 손상된 RODC에 대한 추가 보호 기능을 제공합니다.