我认为,在 Active Directory 中,用户和计算机被视为平等主体的说法是正确的。用户和计算机都有密码,并且用户和计算机都需要独立登录域。
我理解 NetLogon 服务会自动启动,负责在启动时将计算机登录到域。此时,NetLogon 通过 DNS 查找使用一些域控制器定位器逻辑来帮助它找到域控制器。
如果计算机以前登录过域并且已经知道它属于哪个站点,它可以从特定于站点的 DNS 查询开始来定位 DC,如果需要,则可以返回到更通用的 DC。
如果我迄今为止的任何假设是错误的,请纠正我。
那么,用户登录计算机时是否有单独的 DC 定位器进程?还是用户使用计算机登录时已经生成的任何内容?计算机和登录到该计算机的用户是否可能拥有不同的身份验证 DC?
答案1
用户对 AD 的身份验证由计算机处理,因此它将使用计算机对 AD 状态的理解来处理身份验证过程。站点就是一个很好的例子。
- 以交互方式登录站点 Z 中的计算机的用户将针对站点 Z 中的域控制器进行身份验证(如果身份验证失败,则将遵循后备识别过程)。
- 如果同一个用户飞越全国并在站点 J 的新计算机上以交互方式登录,则该用户将根据站点 J 中的域控制器进行身份验证。
换个角度思考,用户从他们登录的机器继承位置。
用户可能会使用与计算机登录的 DC 不同的 DC 登录,尤其是当他们所在的站点有多个 DC 时。这就是为什么您必须捕获站点中所有 DC 的安全日志,以便准确了解谁在哪里登录了什么。