我看到我可以做到PC_A例如 Windows Server 2008 的域控制器,只需运行dcpromo
之后,我就可以创建一个用户,例如 George,它是控制器域(例如 DOMAIN_ABC)中的用户。
现在我去另一个PC_B如果我将 DNS 服务器(在属性中)更改为“看“我创建的域控制器,那么在那台电脑上我可以以 DOMAIN_ABC/George 身份登录,尽管那台电脑上没有 George 创建的帐户。
但我不明白这是如何工作的。
我的意思是,当我将 PC_B 的 DNS 服务器设置为 PC_A 时,PC_A 也是域控制器,我的意思是不仅涉及名称 <-> IP 映射?然后,当我打开 PC_B 并输入 DOMAIN_ABC/George 和密码并按登录时,会发生什么?
PC_B 联系 PC_A 并看到它是一个用户并接受登录,尽管 PC_B 中没有帐户?
有人可以解释一下 Windows 机器中域的概念吗?
答案1
首先,您错过了整个过程中的一个重要步骤:您需要将 PC 加入域,才能以域用户身份登录。您还错过了域控制器的 DNS 角色,一般来说,域控制器也将是 DNS 服务器(即使您的备份 DC 也应充当备份 DNS 服务器);然而,这些是独立的角色。
当您将 PC 加入域时,会在 Active Directory 中添加一个条目,并在 DNS 服务器(也应该是您的域控制器)上的正向查找区域中添加另一个条目。
因此,现在您的 DC 知道 PC-A 是域 A 的一部分,并且 PC-A 可以在 IP*xxxx 处找到,此外,在 PC-A 上,全名现在将是 PCA.domainA.com。此时,此计算机已通过身份验证,允许从域帐户登录。因此,当您第一次以域用户身份登录时,DC 将告诉 PC 将该用户添加到用户在 AD 中所在的特定组中的计算机。
因此,如果我在 AD 上有一个域管理员帐户,那么当我第一次登录时,我将被添加到 PC-A 上的本地管理员组。它实际上会在 PC 上为该经过身份验证的用户创建一个本地帐户;其中包含应用程序数据以及本地用户将获得的所有其他权限和目录。
请记住,这是一个非常基本的解释,漫游配置文件和组策略等内容会影响所有这些的处理方式。
答案2
如果第二台机器属于到域,那么该域中的任何用户都可以登录到域中的任何机器(尽管具有某些权限)。
假设您的域控制器是PC_A
。您的域是ABC
。因此该域上的所有机器将是machine.domain
,或者在您的情况下是PC_A.ABC
。
如果将第二台机器PC_B
添加到域中,它将成为PC_B.ABC
,然后任何在 Active Directory 用户列表中注册的用户都将能够登录PC_A
或PC_B
,因为域涵盖了这两台机器。
那有意义吗?