Windows Server 2008：読み取り専用ドメインコントローラ（ RODC ）の 2 ステージインストールとは

Windows Serer 2008 には、読み取り専用ドメインコントローラ（ RODC ）という、新しい機能が追加されていることはすでにご存じでしょうか。
RODC を使用すると、ドメイン管理者の手が届きづらい営業所等にもドメインコントローラを設置し、現地の管理者の方に管理をお願いすることが可能です。

RODC をインストールするには、dcpromo を実行して、ウィザードの途中で「□読み取り専用ドメインコントローラ」をチェックすればOKなのですが、この方法あくまでドメイン管理者が行う場合です。従来通り、途中でドメインコントローラに昇格するための管理者アカウントを聞かれますから、営業所の担当者にドメイン管理者のアカウントを教えるわけにはいかないですよね。

そこで便利なのが、RODC に用意された「管理の委任」という機能です。事前にドメインユーザーに管理を委任してしまえば、RODC への昇格もドメインユーザーの権限で行うことが可能なのです。これは便利です。
委任されたユーザーは、RODCに昇格するコンピュータ自身の管理権限も持ったまま、RODCの管理者となることができます。もちろん、ドメイン管理権限を持たずにです。ドメイン上は、あくまでも一般ユーザーであり、RODC ごとに委任ユーザーを指定することができるので、営業所単位に管理者を設置することも可能です。

そうした構成を効率的に行うために、RODC には「２ステージインストール」というインストール方式が用意されています。簡単に書くと以下の通りです。

ステージ１）読み取り専用ドメインコントローラのアカウントを作成する（ドメイン管理者の仕事）

「Active Directory ユーザーとコンピュータ」を使用して、Domain Controllers OUの配下に当該アカウントを作成します。
このとき、委任したいドメインユーザーまたはグループのいずれか１つを指定することができます。

ステージ２）読み取り専用ドメインコントローラのインストール（営業所管理者の仕事）

事前に RODC のアカウントを作成しておくと、実際のインストール作業は現地の管理者に任せてしまうことが可能です。
現地の管理者には、「ドメインのDNS名」と「ドメインユーザーのIDおよびパスワード」を知らせておけばOKで、ドメイン上のクリティカルな情報を伝える必要は一切ありません。

少々注意が必要なのは、以下のコマンドを「ファイル名を指定して実行」から入力してもらう点です。

dcpromo /useExistingAccount:Attach

ここさえクリアしてしまえば、あとの作業はウィザードを繰っていくだけですので簡単です。できれば、ウィザードの手順書を作っておいてあげると親切だと思います。

読み取り専用ドメインコントローラは、つい「読み取り専用」ということで軽く見られてしまいがちですが、実は新しくて面白い機能が盛りだくさんなのです。

8月23日の TechEd ではその辺りについてもお話したいと考えておりますので、もしこのblog をご覧になられた方は、15:25 に ROOM B にいらしてください

追記　こちらも合わせてご覧ください
Windows Server 2008：読み取り専用ドメインコントローラ（ RODC ） の 2 ステージインストールを無人セットアップファイルで実施する
https://blogs.technet.com/junichia/archive/2007/08/22/Windows_5F00_Server_5F00_2008_5F00_RODC_5F00_2stage_5F00_unattend.aspx