当计算机加入 Active Directory 域时会发生什么?

当计算机加入 Active Directory 域时会发生什么?

当客户端加入 AD 域时会发生哪些变化?

域成员在断开网络连接时应如何表现?用户能够登录吗?域用户策略在断开网络连接时是否仍适用?

如果您知道提供 Active Directory 全面介绍的综合资源,请发布它们。

谢谢

答案1

您仍能登录的原因是您的帐户已缓存在计算机上。事实上,它应该以这种方式工作。否则,您将永远无法在没有本地帐户的情况下使用网络外的笔记本电脑。这在企业中将是一场噩梦。

首次登录域时,会配置大量有关您的帐户及其权限的信息以及任何组策略对象 (GPO)。这就是首次登录需要这么长时间的原因。

将计算机加入 AD 域会为该计算机在域中创建一个帐户。这样一来,计算机就可以作为域中可控制、可配置、经过身份验证的个体而存在。这意味着您可以强制执行有关一切的策略,从桌面外观到 Windows 更新,再到 Windows 中可配置的任何内容,再到客户端,并且它还可以根据登录到客户端的用户进行更改。

以下是微软关于 2003 年登录工作原理的文档有关登录的 Technet 文章

答案2

当计算机加入 Windows 域时,会发生各种事情。最重要的是:

  • 域中的用户帐户成为系统上的有效用户并可以登录系统(除非有限制)。
  • 域管理员获得系统的管理权限。
  • 计算机本身在域中获得一个帐户,并使用它来对其他计算机进行身份验证。
  • 本地用户帐户保持活动状态并仍可用于登录系统;域中的任何其他计算机都无法识别它们。
  • 计算机名称在域 DNS 中注册(如果它支持动态更新,它应该支持)。
  • 在域中定义并针对计算机的组策略会影响系统。
  • 在域中定义并针对用户的组策略会影响登录到计算机的任何域用户。

当计算机是域成员但无法连接到域控制器时,它无法验证用户凭据,因此任何域登录都将失败;例外情况是上次登录的用户,默认情况下会缓存并记住该用户,并且仍然可以成功登录。因此,如果上次登录的用户是 DOMAIN\UserA,则使用相同用户帐户的断开连接登录将成功,但使用 DOMAIN\UserB 的登录将失败。(此行为可通过策略配置)。

即使在断开连接的情况下,组策略仍然有效。

答案3

  1. 客户端将成为域计算机,而不是独立的工作组计算机
  2. 由于组策略强加的设置,即使拔出网络电缆,您仍可以登录工作站。此设置 (计算机-策略-Windows 设置-本地策略-安全选项) 称为交互式登录:缓存以前的登录次数(如果域控制器不可用)会导致这种行为,这是设计使然。
  3. 拔下电缆时,如果用户使用先前登录过该工作站的域帐户登录,则机器将恢复域控制器可用时的最后一组组策略。
  4. Windows 中的缓存凭据安全性

相关内容