Что происходит, когда компьютер присоединяется к домену Active Directory?

12

Какие изменения применяются к клиенту, когда он присоединяется к домену AD?

Как должен вести себя член домена при отключении от сети? Могут ли пользователи войти в систему? Будут ли применяться политики пользователей домена даже после выхода из сети?

Если вам известен исчерпывающий ресурс, содержащий подробное введение в Active Directory, опубликуйте их.

Благодарность

user19049
источник

Ответы:

11

Причина, по которой вы все еще можете войти в систему, заключается в том, что ваша учетная запись кэшируется на компьютере. На самом деле это должно работать именно так. В противном случае вы никогда не сможете использовать ноутбук вне сети без локальной учетной записи. Что на предприятии было бы кошмаром.

При первом входе в домен настраивается куча информации о вашей учетной записи и ее привилегиях, а также любые объекты групповой политики (GPO). Вот почему первый вход в систему занимает так много времени.

Присоединение компьютера к домену AD создает учетную запись в домене для компьютера. Это позволяет компьютеру существовать как управляемый, настраиваемый, прошедший проверку подлинности индивидуум в домене. Это означает, что вы можете принудительно устанавливать политики для всего: от внешнего вида рабочего стола до обновлений Windows, до всего, что можно настроить в Windows, для клиента, и это можно изменить относительно пользователя, вошедшего в систему на клиенте.

Вот документация Microsoft о том, как вход в систему работает со статьей 2003 Technet о входе в систему.

Лаура Томас
источник
13

Когда компьютер присоединяется к домену Windows, происходит все что угодно. Самые важные из них:

  • Учетные записи пользователей в домене становятся действительными пользователями в системе и могут входить в нее (если не применяются ограничения).
  • Администраторы домена получают административные права в системе.
  • Сам компьютер получает учетную запись в домене и использует ее для аутентификации на других компьютерах.
  • Учетные записи локальных пользователей остаются активными и могут использоваться для входа в систему; они не распознаются другим компьютером в домене.
  • Имя компьютера регистрируется в домене DNS (если оно поддерживает динамические обновления, что и должно).
  • Групповые политики, определенные в домене и предназначенные для компьютеров, влияют на систему.
  • Групповые политики, определенные в домене и предназначенные для пользователей, влияют на любого пользователя домена, который входит в систему на компьютере.

Когда компьютер является членом домена, но не может подключиться к контроллеру домена, он не может проверить учетные данные пользователя, поэтому любой вход в домен будет невозможен; исключением является последний зарегистрированный пользователь, который по умолчанию кэшируется и запоминается и все еще может успешно войти в систему. Таким образом, если последним вошедшим в систему пользователем был DOMAIN \ UserA, отключенный вход в систему с той же учетной записью пользователя будет успешным, но вход в систему, скажем, DOMAIN \ UserB завершится неудачно. (Это поведение настраивается с помощью политики).

Групповые политики остаются в силе даже в отключенном сценарии.

Massimo
источник
5
  1. Клиент становится доменным компьютером, а не автономным компьютером рабочей группы
  2. Вы по-прежнему можете войти в рабочую станцию, когда вы вытягиваете сетевой кабель из-за настройки, навязанной групповой политикой. Этот параметр ( Computer-Policies-Windows Settings-Local Policies-Security Options ), называемый Интерактивный вход в систему: Количество предыдущих входов в систему для кэширования (в случае, если контроллер домена недоступен), вызывает такое поведение, и это предусмотрено проектом.
  3. При отключении кабеля, если пользователь входит в систему с учетной записью домена, которая ранее входила на эту рабочую станцию, машина восстановит последний набор групповых политик, которые были у него, когда контроллер домена был доступен.
  4. Безопасность кэшированных учетных данных в Windows
Иззи
источник