RODCの管理を行ないたい時、通常はdomain admins権限を与えますが、その場合ドメインコントローラー自体の管理者権限を与えてしまいます。
しかし、例えばRODCとファイルサーバが同居する場合でファイルサーバのみの管理を行ないたい場合、ドメインコントローラー自体の管理者権限は与えたくないけど、ドライバーの更新などの管理作業は行ないたい場合、「管理者の役割の分離機能」が有効です。
この機能を使うことで、ドメインコントローラーの管理者権限を与えずに、サーバの管理を行なうことが出来ます。

例えば、user2というユーザーにドメインコントローラーの管理を行なえない、管理者権限を与えてみたいと思います。
下記のようにコマンドを入力します。

C:\Users\administrator.CONTOSO>dsmgmt
dsmgmt: local roles
local roles: add contoso\user2 administrators
ローカルの役割を正しく更新しました。
local roles: show role administrators
        CONTOSO\user2

では、user2とdomain admins権限を与えたuser1の権限の違いを確認し見てみましょう。

AD_000395

user1はdomain admins権限を与えられていて

AD_000394

user2には与えられていない

AD_000395

AD_000396
 
user1の場合、サーバの管理作業も行えるし、ドメインコントローラーの管理作業も行なえます。
オブジェクトの新規作成を行なうためのメニュー項目が表示されています。

AD_000393

AD_000394
 
user2はサーバの管理作業は行なえるが、ドメインコントローラーの管理作業は行なえません。
user1と違って、オブジェクトの新規作成を行なうメニュー画面が表示されていません。