Изучал тут Windows 2008, поднял RODC (Read Only Domain Controller) контроллер, по мануалу, все точно. И был сильно удивлен, когда открыв оснастку "Active Directory Users and Computers" смог там создавать пользователей и т.п. операции, которые с концепцией readonly никак не вязались.
Оказалось все просто, оснастка по дефолту (видимо потому, что заходил под доменным админом) подключилась к обычному контроллеру, а не к RODC. При подключении к самому RODC все заработало как надо, естественно.
Может кому пригодится, полчаса убил