如果我有一个名为“HOUSE”的域名,用户为“JOHN”,那么是否可以将一台 PC 重命名为“HOUSE”,本地用户为“JOHN”?
所以两者都将是 HOUSE\JOHN。
编辑:我应该补充一下,该电脑位于“HOUSE”域中。
答案1
是的,它将允许您创建与域同名的域计算机对象。但是,默认上下文(在登录屏幕上)将是域登录,而不是本地登录,并且需要有效的域凭据才能进行身份验证。
如果您设法在本地登录 PC,它将不会授予您域级访问权限。域和计算机的名称只是供您参考的标签。帐户在内部由各种 ID 引用。拥有相同的名称不会让您以某种方式进入后门。Active Directory 正确地将域和计算机识别为具有单独权限集的不同本地计算机。
设置相同的名称只会使选择所需的上下文变得更加困难。
答案2
回复您的评论:
我并不是想解决问题,我只是想知道我是否可以在不知道域的“HOUSE\JOHN”密码的情况下伪造用户名“HOUSE\JOHN”(域\用户)。(pcname\user)
我假设您指的是访问共享或其他内容。
不,如果您将计算机命名为 DOMAINNAME 并使用与域帐户同名的本地用户帐户,则您将无法访问域帐户的内容。
如果资源使用 Kerberos,它将请求 Kerberos 票证。在提供来自已批准工作站的用户密码哈希加密的时间戳后,您将从域控制器获得 Kerberos 票证。域控制器不会因为名称相似而“被愚弄”向本地帐户颁发 Kerberos 票证。(这是过于简单的说法;有关 Kerberos 的更多信息这里和这里。
如果资源使用 NTLM,它将向资源发送当前密码的单向哈希值。(这也是一种简化;查看更多这里。
(Active Directory 会将 House 域中名为 House 的 PC 视为 HOUSE\House。 这里是一篇关于 AD 命名约定的文章。)