使命
我有一个 AD 帐户,我想在不同时间在两台物理计算机上使用(称为计算机 1 和计算机 2)。为了明确时间方面,我永远不想在特定时间登录两台计算机。
信息
- 在 Computer1 中安装了 Windows 并加入域。我有权限自行执行此操作
- 软件:Windows7 x64 SP1
- 我的解决方案的一个限制是我必须使用相同的计算机名称。
问题描述
现在来谈谈问题。我在 computer2 上安装了 Windows,并将 computer2 也添加到域中。它运行良好,但是当我注销并尝试登录 computer1 时,我收到一条错误消息:
此计算机无法与服务器建立信任关系
临时解决方案
通过将 computer1 从域中删除并使用我的本地管理员帐户重新加入域,问题很快就解决了。但是,我不想每次切换计算机时都这样做。
想法和问题
从我在网上读到的内容来看,解决这个问题的一种方法可能是拔掉网络适配器并登录以禁用 Windows 检查 AD 服务器,然后重新连接网线。尚未验证此解决方案。
我还读过各种形式的 SID。一种是“计算机 SID”或“机器 SID”,它似乎是用于表示/识别与 AD 帐户关联的实际计算机的字符串。这只是一个理论,但如果我可以在两台计算机之间同步这些 SID,那么我是否可以按计划使用它们?
在两台不同的计算机上使用一个 AD 帐户是否存在风险?我不使用管理员推送的文件共享。但也许我在后台使用的其他东西可能会引起麻烦?
我使用的是 Windows7,我想现在远程管理我的计算机的功能已经内置在操作系统中了(与 WinXP 相比)。管理员可以从我这里获得什么样的报告?例如,他们可以获得我安装的所有应用程序的列表吗?
尽管这不是必需的,但我仍然想知道如果我同时在两台计算机上登录会发生什么?
最后一个问题是,我的问题能解决吗?
答案1
域中的每台计算机都必须具有不同的 SID,否则就像您已经遇到的情况一样,您将遇到问题。如果您设置了用户配置文件,则可以使用域中具有相同凭据和权限的任何计算机。如果您在后台运行服务器,则可以创建网络驱动器,这样无论您在域中的哪个位置登录,您都可以拥有文件。
答案2
我能够使用缓存的凭据登录,但仍然被拒绝使用某些资源。
我认为这个问题与计算机名称有关。以下是事件日志中的引文
此计算机无法通过 \my.ds.net(域 XYZ 的 Windows 域控制器)进行身份验证,因此此计算机可能会拒绝登录请求。无法进行身份验证可能是由于同一网络上的另一台计算机使用相同的名称或无法识别此计算机帐户的密码所致。如果此消息再次出现,请联系您的系统管理员。来源:NETLOGON
AD 中的授权模型如何工作?我可以自己想出一个新的计算机名称吗,还是将其与我的域帐户绑定?