В том то и дело что с RODC доступен один из пишущих DC, но не основной.
Не знаю, что там за основной, но вообще за смену паролей и прочие с ними операции отвечает PDC эмулятор. Подозреваю, что именно к нему доступ и нужен.
Updated: 18 June 2019, 19:10:54
Retif, А при смене пароля, снова понадобиться обязательно канал между DC и RODC?
Подозреваю, что да. Там же старый пароль закеширован, новый откуда он узнает?
З.Ы.
PDC Emulator
Отвечает за изменение паролей и отслеживает блокировки пользователей при ошибках паролей. Пароль, измененный любым другим контроллером домена, первым делом реплицируется на PDC Emulator. Если аутентификация на любом другом контроллере домена не была успешной, запрос повторяется на PDC Emulator. При успешной аутентификации учетной записи сразу после неудачной попытки, PDC Emulator о ней уведомляется и сбрасывает счетчик неудачных попыток в ноль. Важно заметить, что в случае недоступности PDC Emulator информация об изменении пароля всё равно распространится по домену, просто произойдет это несколько медленнее.
Updated: 18 June 2019, 19:27:53
Может поможет пункт на RODC создать предварительные пароли?
Ну если на время создания обеспечить доступность PDC-эмулятора - почему нет?