这项特性提供了什么新功能?

　　RODC处理了在分支机构中的普遍问题。这些地方也许没有域控制器。或者他们有可写的域控制器但是没有足够的物理安全，网络带宽以及专门的技术人员来提供支持。下面的RODC的功能缓解了这些问题：

　　●只读活动目录数据库

　　●单向复制

　　●凭据缓存

　　●管理员角色分割

　　●只读DNS

　　●只读活动目录数据库

　　除了账户密码之外，RODC拥有所有可写域控制器拥有的对象和属性。然而，无法针对储存在RODC的数据库进行任何数据上的改变。数据上的改变必须在可写域控制器上进行然后复制回RODC。

　　请求获得目录读取权限的本地程序能够获得访问许可。当使用轻型目录访问协议(LDAP)的程序请求写入权限时将会收到“referral”应答。在枢纽站点中，通常情况下这些应答将写入请求引导到可写的域控制器。

　　RODC已筛选属性集

　　使用AD DS作为数据存储的某些程序，也许会将类似信任凭据的数据(诸如密码，信任凭据，加密密钥)储存在RODC上。而你不想将这些数据储存在RODC上是因为考虑到RODC受到安全威胁的情况。

　　为了这些程序。你可以在架构中动态配置不被复制到RODC的域对象的属性集。这个属性集被称为RODC已筛选属性集。在RODC已筛选属性集定义的属性不允许复制到森林内的任何一台RODC。

　　威胁到RODC的恶意用户能够以某种途径尝试配置RODC，并尝试将RODC已筛选属性集中定义的属性复制到其它域控制器。如果RODC尝试从一台安装Windows Server 2008的域控制器上复制这些属性，那么复制请求将被拒绝。然而，如果RODC尝试从一台安装Windows Server 2003的域控制器上复制这些属性，复制请求将被接受。

　　因此，作为安全性的预防措施，如果你想配置RODC已筛选属性集请确保森林的功能级是Windows Server 2008。如果森林的功能级是Windows Server 2008，那么收到威胁的RODC将不能被如此利用，因为运行Windows Server 2003的域控制器在森林中是不被允许的。

　　你无法添加系统关键属性到RODC已筛选属性集。判断是否是系统关键属性的依据是看以下服务能否正常工作，这样的服务有 AD DS、LSA、SAM(及SSPIs比如Kerberos)在Windows Server 2008 Beta3的后继版本中，系统关键属性拥有属性值等于1的schemaFlagsEx属性。

　　RODC已筛选属性集被配置在拥有架构操作主机的的服务器上。如果你尝试添加系统关键属性打到RODC已筛选属性集，而且架构操作主机运行在Windows Server 2008上，那么服务器将返回“unwillingToPerform”的LDAP错误。如果你尝试添加系统关键属性打到RODC已筛选属性集，但是架构操作主机运行在Windows Server 2003上，那么操作将看上去是成功完成了，然而属性值实际上却没有被添加。因此，当你想要添加属性到RODC已筛选属性集时，价格操作主机建议是运行Windows Server 2008的域控制器。这保证了系统关键属性不包含在RODC已筛选属性集中。