1

Я увидел, что могу сделать PC_A , например, Windows Server 2008, контроллером домена, просто запустив dcpromo После этого я могу создать пользователя, например, Джорджа, который является пользователем в домене контроллера, например, DOMAIN_ABC.

Теперь я перехожу на другой PC_B и, если я изменю DNS-сервер (в свойствах), чтобы « увидеть » созданный мной контроллер домена, то на этом компьютере я могу войти в систему как DOMAIN_ABC/George, хотя на этом компьютере не было создано никакой учетной записи George. ,
Но я не могу понять, как это работает.

Я имею в виду, когда я устанавливаю в качестве компьютера DNS-сервера PC_B значение PC_A, тогда PC_A также является контроллером домена, я имею в виду не только действия, связанные с отображением имени <-> IP? А потом, когда я открываю PC_B и набираю DOMAIN_ABC/George и пароль и нажимаю login, что происходит?
PC_B связывается с PC_A и видит, что это пользователь, и принимает логин, хотя в PC_B нет учетной записи?

Может кто-нибудь объяснить, пожалуйста, понятие доменов в Windows Machines?

|источник

2 ответа2

3

Если вторая машина принадлежит домену, то любой пользователь в этом домене может войти в любую машину в домене (несмотря на определенные разрешения).

Итак, ваш контроллер домена, скажем, PC_A . Ваш домен ABC . Таким образом, все машины в этом домене будут machine.domain или, в вашем случае, PC_A.ABC .

Второй компьютер, PC_B , если он будет добавлен в домен, станет PC_B.ABC , и тогда все пользователи, зарегистрированные в списке пользователей Active Directory, смогут войти в систему PC_A или PC_B , поскольку домен охватывает оба компьютера. ,

Имеет ли это смысл?

|источник
2

Ну, для начала, вы пропустили большой шаг во всем этом процессе: вам нужно присоединить ПК к домену, чтобы войти в систему как пользователь в домене. Вы также пропустили роль DNS контроллера домена, вообще говоря, контроллер домена также будет DNS-сервером (даже ваш резервный контроллер домена также должен выступать в качестве резервного DNS-сервера); однако это отдельные роли.

Когда вы присоединяете ПК к домену, запись добавляется в Active Directory, а другая запись добавляется в зону прямого просмотра на DNS-сервере (который также должен быть вашим контроллером домена).

Итак, теперь ваш DC знает, что PC-A является частью домена A, и что PC-A можно найти по IP * xxxx, также на PC-A полное имя теперь будет PCA.domainA.com. На этом этапе этот компьютер проходит проверку подлинности, чтобы разрешить вход с учетных записей домена. Поэтому при первом входе в систему в качестве пользователя домена контроллер домена скажет ПК добавить этого пользователя к компьютеру в определенной группе, в которой он находится в AD.

Итак, если у меня есть учетная запись в AD, которая является администратором домена, я буду добавлен в группу «Локальные администраторы» на ПК-A при первом входе в систему. Это фактически создаст локальную учетную запись на ПК для этого аутентифицированного пользователя; в комплекте с данными приложения и всеми другими разрешениями и каталогами, которые получит локальный пользователь.

Имейте в виду, что это очень простое объяснение, и такие вещи, как перемещаемые профили и групповая политика, могут повлиять на то, как все это обрабатывается.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .