Pasahitzen erreplikazio-politika edo Password Replication Policy (PRP) erabiltzaileen zein kredentzial cacheatuko diren adierazten du soilik irakurtzeko domeinu-kontrolatzaileetan edo Read Only Domain Controller (RODC) Windows Server-en oinarrituta 2008 edo Windows 2008 R2. Hau beharrezkoa da enpresan delegazioak ditugunean eta RODC bat jartzea nahi dugunean delegazioetan, gure interesa duten funtzioekin, eta gainera erabiltzaileek DC hauetan autentika gaitezen eta autentikazio-prozesua azkarragoa izan dadin, WAN bidezko trafikoa sortu gabe mota honetako trafikoarekin.

Para facilitar la administración de qué usuarios queremos que se cacheen en los RODC y cuáles no, tenemos dos grupos en nuestro dominio que nos ayudarán:
Grupo de replicación de contraseña RODC permitida o Allowed RODC Password Replication Group: Por defecto este grupo no tiene miembros y todos los que agreguemos a esta lista se cachearán en nuestros RODC para poder autenticarlos directamente desde los RODC.
Grupo de replicación de contraseña RODC denegada o Denied RODC Password Replication Group: Agregaremos a este grupo los usuarios/grupos que no queramos que nos cachee sus credenciales, por defecto a este grupo pertenecen: Administradores de dominio, Administradores de Esquema, Administradores de organización, Controladores de dominio, Controladores de dominio de sólo lectura, Propietarios del creador de directivas de grupo y Publicadores de certificados.

Si vamos al servidor RODC, a sus propiedades en su cuenta del Directorio Activo, tenemos la pestaña de “Directiva de replicación de contraseñas” para configurar también desde aquí o para ver la configuración existente. Si vamos al botón “Opciones avanzadas…”

Tenemos un par de pestañas “Uso de directivas” eta “Directiva resultante”, donde podremos ver los usuarios que ya se han autenticado en este servidor, o las cuentas que tenemos ya cacheadas en este servidor RODC, o podemos cachear desde aquí ciertas cuentas de usuario (forzado).