以下場景幫助解釋了基于RODC的身份驗證過程。在這個場景中：
用戶Bob想要登錄到名稱為BOB_WS的工作站。
安裝BOB_WS工作站子網由一臺RODC提供服務。
Bob的用戶賬戶被允許在RODC上緩存憑據，但是憑據當前還沒有緩存。
計算機賬戶BOB_WS被允許在RODC上緩存憑據，但是憑據當前還沒有緩存。
Bob嘗試在工作站（BOB_WS）上登錄。首先，必須從域控制器處獲得TGT。在本場景中TGT的獲得過程如下圖所示

1. RODC在分支機構宣告成為KDC。這意味著當BOB_WS搜索域控制器來認證Bob的登錄請求時，它將找到并使用RODC作為KDC。BOB_WS 的Kerberos認證包準備了TGT請求并將它發送給RODC
2. RODC收到來至BOB_WS的TGT請求。因為RODC不知道Bob的賬戶密碼，所以不能為Bob創建TGT。隨后RODC將TGT請求傳遞給運行Windows Server 2008的可寫域控制器。
3. 運行Windows Server 2008的可寫域控制器驗證請求。
4. 隨后結果返回給RODC。如果Bob提供了正確的憑據，那么結果就是獲得TGT。如果Bob的憑據驗證失敗，將會導致一條錯誤信息。在這個場景中，如果Bob在登錄時輸入了正確的用戶名及密碼，那么驗證過程將獲得成功。
5. 同時，可寫域控制器返回TGT給RODC，它也向RODC計算機賬戶msDS-AuthenticatedToAccountList屬性添加了Bob賬戶的相對可分辨名稱（distinguished name，DN）。RODC創建了一條Bob已經被驗證的記錄。
6. 隨后RODC將結果傳遞給BOB_W S。
7. 在RODC將TGT發送回BOB_WS以后，它也向可寫域控制器請求將Bob的憑據復制至它的活動目錄數據庫的副本區（replica）
8. 當可寫域控制器收到將Bob的憑據復制到RODC的請求時，它會檢查密碼復制策略來查看RODC是否被允許緩存Bob賬戶的憑據。
9. 如果檢查表明憑據能被緩存，那么可寫域控制器將會允許復制Bob賬戶的憑據至RODC。
10. 在可寫域控制器發送RODC請求的憑據的同時，可寫域控制器在RODC計算機賬戶的msDS-RevealedList屬性中寫入Bob賬戶的相對可分辨名稱（DN）。這創建了一條說明Bob的賬戶憑據已被緩存在RODC上的記錄。
11. RODC在活動目錄數據庫的用戶的合適屬性中儲存了Bob的憑據。


此時：
在可寫域控制器上有一條允許復制Bob的憑據至RODC的記錄。
Bob賬戶憑據在RODC上已被緩存。
Bob擁有可寫域控制器產生的TGT。