Lo que dice Microsoft al respecto:
Cómo funciona el proceso de autenticación con RODC
http://technet.microsoft.com/es-es/library/cc771144(v=ws.10).aspx
Pienso que es casi un desconocido para la mayoría de los administradores y provee solución a un problema muy común para la mayoría de las organizaciones pequeñas y medianas, como es tener un sitio remoto donde se necesita tener un Controlador de Dominio, pero que sin embargo no cuenta ni con seguridad ni con personal que pueda administrarlo
Hay ocasiones donde la organización posee una oficina remota donde por el tamaño y cantidad de usuarios no existe la infraestrucura necesaria para tener un servidor con valiosa información como es un Controlador de Dominio, esto es por ejemplo, no hay sala de servidores, no hay seguridad física, más, ni siquiera la oficina tiene personal capacitado para administrarlo.
Pero sin embargo, es necesario tener en dicha oficina un Controlador de Dominio, tanto para agilizar el proceso de inicio de sesión, como quizás lo más común que es asegurarse que los usuarios remotos puedan trabajar localmente aunque el enlace al sitio central esté caído.
Originalmente, si se daban las condiciones antes descriptas, la única solución era poner un Controlador de Dominio en esta oficina, pero involucraba un riesgo muy grande de seguridad (por que no existe en el sitio), y un problema de mantenimiento del servidor (por no tener personal capacitado en el mismo
Al no haber seguridad una situación posible es que alguien sustrajera el Controlador de Dominio, o simplemente hiciera un ataque “offline” y consiguiera apoderarse de la base de usuarios (NTDS.DIT) llevándose en este caso la información de todos los usuarios con sus correspondientes contraseñas
Así que primero vamos a desarrollar algunas de sus características más importantes de un RODC
La primera es evidente por su nombre que incluye “Read Only” (Sólo Lectura), lo cual implica que no se pueden hacer cambios en la copia de la base de Active Directory local al mismo
E inclusive si alguien de alguna forma pudiera alterar la base de Active Directory, estos cambios nunca se propagarán al resto, pues un RODC tiene sólo replicación entrante; nunca replicarán otros Controladores de Dominio desde un RODC
Otra característica particular, es que no tiene replicadas las contraseñas de todos los usuarios, tiene solamente las que el administrador específicamente permita que se repliquen
Y la última característica principal, es que puedo delegar la administración e instalación de este Controlador de Dominio en particular a un usuario normal. Si fuera un Controlador de Dominio normal la única forma sería teniendo un administrador de Dominio, en este caso no es necesario
Resumiendo:
- No acepta cambios
- No replica cambios a otros Controladores de Dominio
- No contiene todas las contraseñas de usuarios
- Se puede delegar la instalación y administración del servidor