Active Directory: Czym różni się proces logowania komputera i proces logowania użytkownika?

Uważam, że słuszne jest stwierdzenie, że użytkownicy i komputery są traktowani jak równi zleceniodawcy w odniesieniu do Active Directory. Zarówno użytkownicy, jak i komputery mają hasła, a zarówno użytkownicy, jak i komputery muszą logować się w domenie niezależnie.

Rozumiem, że usługa NetLogon, która uruchamia się automatycznie, jest odpowiedzialna za zalogowanie komputera do domeny podczas uruchamiania. W tym czasie NetLogon korzysta z logiki lokalizatora kontrolera domeny poprzez wyszukiwanie DNS, aby pomóc mu zlokalizować kontroler domeny .

Jeśli komputer logował się wcześniej w domenie i już wie, do której witryny należy, może rozpocząć od zapytania DNS dla konkretnej witryny, aby zlokalizować kontroler domeny, aw razie potrzeby powrócić do bardziej ogólnego.

Proszę mnie poprawić, jeśli się mylę w którymkolwiek z moich dotychczasowych założeń.

Czy więc użytkownik logując się do komputera ma osobny proces lokalizatora DC, gdy loguje się na komputerze? A może użytkownik korzysta z tego, co komputer już wymyślił podczas logowania? Czy komputer i użytkownik zalogowani na tym komputerze mogą mieć różne uwierzytelniające kontrolery domeny?

Uwierzytelnianie użytkownika w AD jest obsługiwane przez komputer, więc użyje idei stanu AD komputera do obsługi procesu uwierzytelniania. Dobrym przykładem tego jest Witryny.

• Użytkownik logujący się interaktywnie do komputera w lokacji Z uwierzytelni się na kontrolerach domeny w lokacji Z (lub w przeciwnym razie nastąpi proces zastępczej identyfikacji).
• Jeśli ten sam użytkownik lata po całym kraju i loguje się interaktywnie na nowym komputerze, w Witrynie J użytkownik zostanie uwierzytelniony na kontrolerach domeny w Witrynie J.

Myśląc o tym inaczej, użytkownik dziedziczy lokalizację po komputerze, na którym się loguje.

Użytkownik może zalogować się przy użyciu innego kontrolera domeny niż ten, na którym zalogował się komputer, zwłaszcza jeśli witryna, w której się znajduje, zawiera więcej niż jedną kontroler domeny. Dlatego musisz przechwytywać dzienniki bezpieczeństwa wszystkich kontrolerów domeny w Witrynie, aby dokładnie wiedzieć, kto logował się do czego i gdzie.