Co dzieje się, gdy komputer dołącza do domeny Active Directory?

Jakie zmiany są stosowane do klienta, który dołącza do domeny AD?

Jak powinien zachowywać się członek domeny po odłączeniu od sieci? Czy użytkownicy mogą się zalogować? Czy zasady użytkowników domeny będą nadal obowiązywać, gdy urządzenie jest poza siecią?

Jeśli znasz kompleksowy zasób, który zapewnia kompleksowe wprowadzenie do usługi Active Directory, opublikuj je.

Dzięki

Nadal możesz się zalogować, ponieważ Twoje konto jest buforowane na komputerze. W rzeczywistości ma tak działać. W przeciwnym razie nigdy nie będziesz w stanie korzystać z laptopa poza siecią bez konta lokalnego. Co w przedsiębiorstwie byłoby koszmarem.

Gdy logujesz się do domeny po raz pierwszy, konfiguruje się kilka informacji o twoim koncie i jego uprawnieniach wraz z dowolnymi obiektami zasad grupy (GPO). Dlatego pierwsze logowanie trwa tak długo.

Dołączenie komputera do domeny AD tworzy konto w domenie dla komputera. Dzięki temu komputer może istnieć jako kontrolowana, konfigurowalna, uwierzytelniona osoba w domenie. Oznacza to, że możesz wymusić zasady dotyczące wszystkiego, od wyglądu pulpitu do aktualizacji systemu Windows, do wszystkiego, co można skonfigurować w systemie Windows, do klienta, i można to zmienić w stosunku do użytkownika zalogowanego również na kliencie.

Oto dokumentacja Microsoftu dotycząca sposobu logowania przy użyciu artykułu z 2003 technet na temat logowania

Gdy komputer jest przyłączony do domeny Windows, dzieją się różne rzeczy. Najważniejsze z nich:

• Konta użytkowników w domenie stają się ważnymi użytkownikami w systemie i mogą się do niego zalogować (chyba że obowiązują ograniczenia).
• Administratorzy domen nabywają uprawnienia administracyjne w systemie.
• Sam komputer otrzymuje konto w domenie i używa go do uwierzytelnienia na innych komputerach.
• Lokalne konta użytkowników pozostają aktywne i mogą być nadal używane do logowania do systemu; nie są rozpoznawane przez żaden inny komputer w domenie.
• Nazwa komputera zostaje zarejestrowana w domenie DNS (jeśli obsługuje dynamiczne aktualizacje, co powinno).
• Zasady grupy zdefiniowane w domenie i ukierunkowane na komputery wpływają na system.
• Zasady grupy zdefiniowane w domenie i skierowane do użytkowników wpływają na każdego użytkownika domeny, który loguje się na komputerze.

Gdy komputer jest członkiem domeny, ale nie może połączyć się z kontrolerem domeny, nie może zweryfikować poświadczeń użytkownika, więc każde logowanie do domeny zakończy się niepowodzeniem; wyjątkiem jest ostatni zalogowany użytkownik, który jest domyślnie buforowany i zapamiętywany i nadal może pomyślnie się zalogować. Tak więc, jeśli ostatnim zalogowanym użytkownikiem był DOMAIN \ UżytkownikA, logowanie z tym samym kontem użytkownika zakończy się powodzeniem, ale logowanie z, powiedzmy, DOMAIN \ UżytkownikB nie powiedzie się. (To zachowanie można skonfigurować za pomocą zasad).

Zasady grupy pozostają stosowane nawet w scenariuszu niepowiązanym.

1. Klient staje się komputerem w domenie, a nie samodzielnym narzędziem do konstruowania grup roboczych
2. Nadal możesz zalogować się do stacji roboczej po wyciągnięciu kabla sieciowego z powodu ustawienia narzuconego przez zasady grupy. To ustawienie ( Zasady komputera - Ustawienia systemu Windows - Zasady lokalne - Opcje bezpieczeństwa ) o nazwie Logowanie interakcyjne: Liczba poprzednich logowań do pamięci podręcznej (w przypadku braku kontrolera domeny) powoduje takie zachowanie i jest zgodne z projektem.
3. Po odłączeniu kabla, jeśli użytkownik zaloguje się za pomocą konta domeny, które wcześniej zalogowało się na tej stacji roboczej, urządzenie przywróci ostatni zestaw zasad grupy, które miał, kiedy kontroler domeny był dostępny.
4. Zabezpieczenia pamięci podręcznej w systemie Windows