我试图了解当前的 Win 7/8 机器在失去对其域控制器的访问权限时会如何表现,以及如果域仅部分存在(例如由于广域网链接不良或只是无法访问服务器),是否有可能让机器成为域的一部分。
作为一名独立管理员,我有一些小商店,无法负担适当的 Windows 域解决方案,但我可以从单点登录管理员访问中受益,也许还有一些其他好处,让它们成为域的一部分。如果我在办公室托管 DC,我们假设它可能可用也可能不可用,甚至可能在很长一段时间内都不可用 - 办公室里没有 DC 的机器会发生什么?(在我看来,这很像一台笔记本电脑,一次可能离开办公室数周,不是吗?)
是否可以这样设置,使得办公室无论是否能够到达 DC 都能继续运行,但当 DC 可以到达时,他们会进行对话,也许会推动政策并(重新)确认一些用户凭据/登录访问权限?
因此,例如,拥有 4 台计算机的办公室 A 可以继续与其 2 台现场打印机、Samba NAS、互联网以及彼此通信,办公室 B 本身也具有类似的功能,并且当我办公室的 VPN 在深夜上线时,每个人都会与 DC 通信并获得所需的信息。可能吗?
答案1
据我所知,由于多种原因,这不是受支持的配置。
例如,缓存凭据机制允许用户无需与 DC 通信即可登录域帐户,该机制旨在提供本地授权,但在尝试使用网络打印机等远程服务进行授权时,该机制很可能最终失败(如果我没记错的话,当相关的 Kerberos 令牌过期时)。
DC 还提供 DNS,优先用于定位网络资源(在这种情况下,NBNS/WINS 是传统协议)。
对于管理员登录,您应该考虑到您通常需要本地管理员密码,如果他们与域的信任通道不同步(需要将计算机重新加入域的常见问题)或者您之前没有在该计算机上使用过域管理员登录(登录后,凭据仅在本地登录时缓存)。
如果您只想进行远程管理,请考虑其他适合此方法的产品。市面上有很多部署和配置管理软件。
答案2
您最好使用类似 Logmein Himachi 之类的工具来保持与集中式服务器的持续远程连接。它易于设置和维护,而且价格低廉。没有服务器的 AD 工作站的最大问题是您需要拔掉接线才能登录。