我已经使用 Windows Server 和 Active Directory 很长时间了。只需在 AD 中添加新用户,然后将客户端添加到域即可。这将为用户创建一个域帐户。
我想知道在服务器管理器中为什么需要将计算机添加到域?为什么将用户添加到域还不够?
我已经搜索过该主题但所有的参考资料都讨论了如何做但我在寻找为什么要做?
答案1
将计算机放入 AD 的原因与将人放入 AD 的原因相同:管理和安全。
您可以将用户添加到域中,以授予他们访问不同资源的权限,同时也控制他们的访问权限。计算机也是如此。就像您不允许只允许任何人登录域,您也不允许任何计算机访问。
查看组策略,您将看到对计算机的管理标准与对人的管理标准一样多。只需查看您拥有的控件,您就可以学到很多东西。
答案2
您可以将计算机加入域以进行集中管理。它使您能够使用其他 Microsoft 服务,例如组策略(具有每台计算机的设置)和 WSUS。此外,如果计算机加入域,则任何域用户都可以在连接到网络时登录该计算机。
组策略本身非常有用,因为您可以通过它调整 Windows 计算机(或计算机组或所有计算机)上的几乎每个设置。
答案3
虽然集中式安全对于管理来说很不错,但我给出的答案是它提供了一个通用的安全上下文。实际上,当计算机加入域时,它被允许访问任何它认为受其权限限制的内容。如果计算机未加入域,则每次访问域资源时都必须验证您的安全上下文。这是因为它默认不属于 Kerberos 域。存在一定程度的黑客攻击,但公共域\域提供的通用安全上下文似乎不是您想要破解的东西。