Windows Server Longhorn: Active Directory
Zwei Gruppen von Benutzern
Das von Microsoft genannte Sicherheitsargument greift also so nicht ganz. Ein Blick auf die im Container Users definierten Sicherheitsgruppen macht dann aber klar, warum das Modell doch Sinn macht.
Es gibt zwei Gruppen von Benutzern, über die gesteuert wird, von wem Kennwörter auf RODCs repliziert werden. Richtig konfiguriert, gibt es auf einem RODC also nur einen Teil der Kennwortinformationen. Ein Angreifer kann damit auch nur die Hashs von Kennwörtern eines Teils der Benutzer auslesen.