简而言之:我不知道从哪里开始阅读才能了解如何配置 DC。
长问题:
在我工作的环境中,我们使用过时的域控制器,我必须创建一个新的域控制器。问题是我还不能理解域控制器的概念。我们使用的域控制器实际上只是用于验证用户身份(单个域,林中没有其他人,没有其他林)。
简而言之,我认为我知道的理论是:
- 活动目录是一个存储有关计算机和用户信息的数据库。
- 域控制器是保存活动目录和其他服务(例如 DNS)的服务器。
- 如果 Windows 服务器具有活动目录,则可以作为域控制器。
- 例如,我可以限制用户使用打印机。
- 我可以更改给定用户帐户的设置(比如桌面背景?)
我一般不能掌握的是总体情况,但具体来说:
- 为什么会有用户和计算机,而不仅仅是用户,我能对他们每个人做什么。
- 如果我限制用户使用打印机,那么如果他可以访问打印机(例如通过 IP),那么是什么阻止他实际使用打印机呢?
- 为什么我要将不同类型的用户放在不同的容器中,而不是直接将他们放在“用户”中,然后让他们成为拥有不同权限的不同组的成员。这仅仅是一个美学问题,一切都井然有序吗?
- 最大的问题:我不知道它还能做什么(请给我一些它可以提供帮助的例子)
我猜我所期望的是,这个奇妙的域控制器不仅仅是用于对用户进行身份验证。
如能就上述任何问题提供任何帮助,我们将不胜感激。提前致谢!
答案1
仅回答您问题的一部分,这个问题比较宽泛:
以下是计算机在 AD 中显示为帐户的几个原因。
- 策略可适用于计算机和用户。
- 计算机也需要凭证,即使只是为了执行应用于计算机的策略(“从此共享安装此软件”)。您无法访问此密码。它会定期更改。(我有时会在我的监控软件中看到它发生变化 - 凭证不匹配的一秒钟会显示在 SQL 错误日志中 - 但这是你知道的唯一方法。)
- 这就是方式凯尔伯罗斯在 AD 中有效。您需要帐户凭据、受信任的机器和正确的时间戳,否则您将无法登录。(不受信任的机器将返回到NTLM。
此外,您通常将用户和计算机分组到 OU 中,以便对它们应用策略。
查看“重复”链接中的问题和答案。内容不错。