===== RODC =====

=== Создать контроллер домена только для чтения (RODC) ===

В данной заметке мы будем использовать //staged deployment//, в котором мы сначала создадим машинный аккаунт будущего RODC, а потом подключим сервер в качестве RODC. 

На обычном контроллере домена нужно выполнить следующую команду:
<WRAP prewrap>
<code>
Add-ADDSReadOnlyDomainControllerAccount -DomainControllerAccountName RODC1 -DomainName domain.local -DelegatedAdministratorAccountName "domain\admin" -SiteName Default-First-Site-Name
</code>
</WRAP>
После выполнения в разделе //domain controllers// - появится машинный аккаунт нового RODC.

:!: //RODC не нужно вводить в домен перед тем, как выполнять команды промоушена нового контроллера домена. RODC автоматически будет введен в домен после их выполнения. Однако, нужно задать имя компьютера, соответствующее имени, которое мы создали в разделе "domain controllers" и обязательно перезагрузиться.//

Теперь на будущем RODC нужно установить роль контроллера домена, используя команду

   Add-WindowsFeature AD-Domain-Services
После установки роли для staged deployment (вариант развёртывания, в котором мы предварительно создали аккаунт RODC) нужно выполнить промоушен с использованием аккаунта, который мы создали

<WRAP prewrap>
<code>
Install-ADDSDomainController -DomainName domain.local -Credential (Get-Credential) -LogPath "C:\Windows\NTDS" -SYSVOLPath "C:\Windows\SYSVOL" -ReplicationSourceDC "dc1.domain.local" –UseExistingAccount
</code>
</WRAP>

{{tag>ActiveDirectory Microsoft PowerShell}}