Зачем добавлять компьютеры в домен Active Directory?

2

Я довольно долго играю с Windows Server и Active Directory. Можно просто добавить нового пользователя в AD, а затем добавить клиента в домен. это создаст учетную запись домена для пользователя.

Интересно, для чего нужно добавлять компьютеры в домен в диспетчере серверов? Почему добавления пользователя в домен недостаточно?

Я искал по этой теме, но все ссылки говорят о том, как, но я ищу, почему?

windows windows-server-2008 active-directory Shurmajee
источник

Ответы:

1

Вы помещаете компьютеры в AD по той же причине, что и люди в AD: управление и безопасность.

Вы добавляете пользователей в свой домен, чтобы предоставить им доступ к различным ресурсам, а также контролировать их доступ. То же самое касается компьютеров. Точно так же, как вы никому не разрешаете входить в домен, вы также не разрешаете доступ к любому компьютеру.

Посмотрите в групповой политике, вы увидите столько же критериев управления для компьютера, сколько людей. Вы можете многому научиться, просто взглянув на имеющиеся у вас элементы управления.

Keltari
источник
Что делать, если компьютер и пользователь имеют разные наборы политики безопасности, связанные с ними? кто из них получает приоритет
Шурмаджи
ограничения всегда имеют приоритет.
Келтари
1

Вы присоединяете компьютеры к домену для централизованного управления. Это позволяет вам использовать другие службы Microsoft, такие как групповая политика (с настройками для каждого компьютера) и WSUS. Кроме того, если компьютер присоединен к домену, любой пользователь домена может войти в него, когда он подключен к сети.

Групповая политика сама по себе чрезвычайно полезна, поскольку через нее можно настроить почти каждый параметр на компьютере Windows (или группе компьютеров, или всех ваших компьютерах).

Crimius
источник
1
если я добавляю пользователя в домен, то какой-то другой пользователь домена может также войти в домен через этот компьютер, не добавляя его в действительности
Shurmajee
0

Хотя централизованная безопасность удобна для управления, я бы ответил, что она обеспечивает общий контекст безопасности. Фактически, когда компьютер присоединяется к домену, ему разрешается доступ к тому, что он чувствует, ограниченный его разрешениями. Если компьютер не присоединен к домену, вы должны проверять свой контекст безопасности каждый раз, когда вам требуется доступ к ресурсу домена. Это результат того, что он по умолчанию не является частью области Kerberos. Существует определенный уровень хакерских атак, но общий контекст безопасности, который предоставляется в общей области \ домене, не кажется тем, что вы хотите взломать.

иногда идиот
источник