Развернут rodc, опция "read only" точно установлена при развертывании черезе dcpromo, при этом залогинившись на rodc доменным администратором, поместил пользователя в группу и эти изменения реплицировались на основной контроллер домена. Кто-то подскажет из-за чего может быть такое?

Кто-то подскажет из-за чего может быть такое? »
запустите консольку ADUC, покажите скриншот.

123

nokogerra,
если раздвинуть вертикальный разделитель, то наверху будет видно к какому КД прицепилась ADUC.
покажите это.

Вы правы, я на это внимания не обратил, dsa.msc подключилась к основному контроллеру, но в чем смысл такого rodc, если по умолчанию оснастки подключаются в мастеру, и хотя по сути изменения вносятся на главном dc, но делается это со станции rodc. как можно закрыть возможность подключения оснасток к основному контроллеру c такого rodc и оставить подключение только к самому rodc? через смену контроллера домена в оснастке можно сменить dc, но в любой момент также можно подключиться к основному контроллеру.

но в чем смысл такого rodc »
то есть в вашем понимании Windows Server должен сам определить, что вы хотите сделать когда запускаете dsa.msc?
но делается это со станции rodc. »
я вообще не понимаю людей, которые логоняться на сервера через RDP, что бы поработать в оснастках.

я вообще не понимаю людей, которые логоняться на сервера через RDP, что бы поработать в оснастках. »
Пример - нужно редактировать GPO на win 2008r2 со станции win8, если есть центральное хранилище admx шаблонов при открытии оснастки выпадает град ошибок, даже если поместить на локальной машине шаблоны в PolicyDefinitions, наиболее простой выход - зайти по rdp. И собственно почему бы не использовать rdp - "не красиво"?
то есть в вашем понимании Windows Server должен сам определить, что вы хотите сделать когда запускаете dsa.msc?
я не это написал, просто было бы логично если бы оснастки подключались к тому же контроллеру домена, на котором они запущены.

Пример - нужно редактировать GPO на win 2008r2 со станции win8, если есть центральное хранилище admx шаблонов при открытии оснастки выпадает град ошибок »
хм, у меня не выпадает. Если централизованное ;)
наиболее простой выход - зайти по rdp. »
на RODC?
И собственно почему бы не использовать rdp - "не красиво"? »
когда у вас в орагнизации станет больше двух адмнистраторов - поймёте =)

но в любом случае, инструмента такого как вы хотите нет - WS не может угадать что вы собираетесь сделать в dsa.msc

хм, у меня не выпадает. Если централизованное »
честно-честно централизованное :D на всех контроллерах проблем с шаблонами нет, они реплицируются нормально, но как я сказал проблема всплыла при использовании сторонних шаблонов аля admx для хрома, продуктов mozilla и т.д. только с win 8.
Как бы там ни было, тему отмечаю решенной, вопрос исчерпан. Спасибо.

nokogerra,
попробуйте через mmc добавить dsa, нацелить её на нужный КД и сохранить на рабочем столе (к примеру).
и потом запустить эту оснастку и обычную, ЕМНИП, вы получите то, что хотите.