La política de replicació de contrasenyes o Password Replication Policy (PRP) indica quines credencials d'usuaris es guardaran en memòria cau als controladors de domini de només lectura o Read Only Domain Controller (RODC) basats en Windows Server 2008 o Windows 2008 R2. Això és necessari quan tenim delegacions a la nostra empresa i volem posar un RODC a les delegacions amb les funcions que ens interessin i, a més, permetre que els usuaris s'autentiquin en aquests DC i que el procés d'autenticació sigui més ràpid ja que no es genera tràfic per la WAN amb aquest tipus de tràfic.

Per facilitar l'administració de quins usuaris volem que es guardin en memòria cau als RODC i quins no, tenim dos grups al nostre domini que ens ajudaran:
Grup de replicació de contrasenya RODC permesa o Allowed RODC Password Replication Group: Per defecte aquest grup no té membres i tots els que afegim a aquesta llista es guardaran en memòria cau en els nostres RODC per poder autenticar-los directament des dels RODC.
Grup de replicació de contrasenya RODC denegada o Denied RODC Password Replication Group: Afegirem a aquest grup els usuaris/grups dels quals no vulguem que es conservin les seves credencials a la memòria cau, Per defecte a aquest grup pertanyen: Administradores de dominio, Administradors d'Esquema, Administradors d'organització, Controladors de domini, Controladors de domini només de lectura, Propietaris del creador de directrius de grup i Publicadors de certificats.

Si anem al servidor RODC, a les seves propietats en el seu compte del Directori Actiu, tenim la pestanya de “Directiva de replicació de contrasenyes” per configurar també des d’aquí o per veure la configuració existent. Si anem al botó “Opciones avanzadas…”

Tenim un parell de pestanyes “Ús de directrius” y “Directiva resultant”, on podrem veure els usuaris que ja s’han autenticat en aquest servidor, o els comptes que ja tenim emmagatzemats en aquest servidor RODC, o podem emmagatzemar des d’aquí certes comptes d’usuari (forçat).