Jak działają domeny Windows?

1

Widziałem, że mogę uczynić PC_A np. Windows Server 2008 kontrolerem domeny, po prostu uruchamiając. dcpromoNastępnie mogę utworzyć użytkownika np. George, który jest użytkownikiem w domenie kontrolera np. DOMAIN_ABC.

Teraz przechodzę do innego komputera PC_B i jeśli zmienię serwer DNS (we właściwościach), aby „ zobaczyć ” kontroler domeny, który utworzyłem, to na tym komputerze mogę zalogować się jako DOMAIN_ABC / George, chociaż na tym komputerze nie było konta George'a. .
Ale nie rozumiem, jak to działa.

Mam na myśli, że kiedy ustawię jako maszynę serwera DNS PC_B na PC_A, wtedy PC_A jest także kontrolerem domeny, mam na myśli nie tylko działanie związane z odwzorowaniem nazwy <-> IP? A potem, kiedy otwieram PC_B i wpisuję DOMAIN_ABC / George oraz hasło i wciskam login, co się stanie?
PC_B kontaktuje się z PC_A i widzi, że jest to użytkownik i akceptuje logowanie, mimo że w PC_B nie ma konta?

Czy ktoś mógłby wyjaśnić pojęcie domen w komputerach z systemem Windows?

windows windows-server-2008 windows-server-2003 windows-domain użytkownik65971
źródło

Odpowiedzi:

2

Cóż, na początek przegapiłeś duży krok w całym tym procesie: musisz dołączyć komputer do domeny, aby zalogować się jako użytkownik w domenie. Tęskniłeś także za rolą DNS kontrolera domeny, mówiąc ogólnie, kontroler domeny również będzie serwerem DNS (nawet zapasowy kontroler domeny powinien również działać jako zapasowy serwer DNS); są to jednak osobne role.

Po dołączeniu komputera do domeny wpis jest dodawany do usługi Active Directory, a inny wpis jest dodawany do strefy wyszukiwania do przodu na serwerze DNS (który powinien być również kontrolerem domeny).

Więc teraz twój DC wie, że PC-A jest częścią domeny A i że PC-A można znaleźć pod adresem IP * xxxx, również na PC-A pełna nazwa to teraz PCA.domainA.com. W tym momencie komputer jest uwierzytelniany, aby umożliwić logowanie z kont domeny. Tak więc, gdy logujesz się po raz pierwszy jako użytkownik domeny, kontroler domeny poinformuje komputer, aby dodał tego użytkownika do komputera w określonej grupie, w której mieszka użytkownik w AD.

Tak więc, jeśli mam konto w usłudze AD, które jest administratorem domeny, zostanę dodany do grupy lokalnych administratorów na komputerze PC-A, gdy loguję się po raz pierwszy. W rzeczywistości utworzy konto lokalne na komputerze dla tego uwierzytelnionego użytkownika; wraz z danymi aplikacji oraz wszystkimi innymi uprawnieniami i katalogami, które otrzymałby użytkownik lokalny.

Należy pamiętać, że jest to bardzo podstawowe wyjaśnienie, a takie elementy, jak profile mobilne i zasady grupy mogą mieć wpływ na sposób postępowania z tym wszystkim.

Nie Kyle przestań mnie prześladować
źródło
@Kyle: Tak więc po raz pierwszy użytkownik domeny loguje się do PB_B kontroler domeny zostaje skontaktowany, a po utworzeniu konta lokalnego nie ma potrzeby kontaktowania się z kontrolerem domeny. Czy to prawda?
user65971
Nie, nadal będzie szukał kontrolera domeny za każdym razem w przypadku zmiany konta lub zasad grupy. Jednak jeśli dc nie jest dostępne, zaloguje się przy użyciu poświadczeń z pamięci podręcznej.
Nie Kyle przestań mnie prześladować
@ user65971 Należy pamiętać, że jednym z głównych powodów istnienia domen jest scentralizowane zarządzanie, jeśli administrator chce zmienić hasło użytkownika, komputer będzie musiał porozmawiać z kontrolerem domeny, aby uzyskać te informacje, i będzie próbował uzyskać kontroler domeny co czas. Ale jednocześnie umożliwia utworzenie lokalnego konta, które będzie buforować poświadczenia, dzięki czemu użytkownicy laptopów lub użytkownicy w sieci WAN, która jest podatna na odbijanie, mogą nadal się logować, gdy kontroler domeny nie jest dostępny.
Nie Kyle przestań mnie prześladować
@kyle: Idę do Panelu sterowania> Zarządzaj kontami komputera PC_B, a jedynym użytkownikiem jest lokalny administrator. Brak konta George'a!
user65971
@kyle: Nie jestem tego zaznajomiony. Jeśli loguję się jako George, rzeczywiście widzę konto George, ale jak mogę zobaczyć jego uprawnienia? Jeśli loguję się jako administrator lokalny, nie widzę George'a (mówię o tym Control Panel>Manage Accounts) tylko lokalny administrator. Czy mógłbyś mi pomóc to zrozumieć? Dodatkowo, kiedy muszę zrobić w linii poleceń create login [ABC\George] from windows, create user George for login [ABC\George]etc? Myślę, że zostało to zrobione w PC_B, ale nie jestem pewien, dlaczego
user65971
3

Jeśli drugi komputer należy do domeny, każdy użytkownik w tej domenie może zalogować się na dowolnym komputerze w domenie (niezależnie od pewnych uprawnień).

Więc twój kontroler domeny, powiedzmy, że jest PC_A. Twoja domena to ABC. Więc wszystkie komputery w tej domenie będą machine.domain, lub w przypadku, PC_A.ABC.

Drugi komputer, PC_Bjeśli zostanie dodany do domeny, stanie się wtedy PC_B.ABC, a następnie wszyscy użytkownicy zarejestrowani na liście użytkowników usługi Active Directory będą mogli się zalogować PC_Alub PC_B, ponieważ domena obejmuje oba komputery.

Czy to ma sens?


źródło
@Randolph: Więc PC_B ma 2 domeny? Domena ABC i domena lokalnego (lub this) komputera?
user65971
Tylko trochę szybciej: P
Nie Kyle przestań mnie prześladować
Nie, jest tylko jedna domena ABC. Ale dwa komputery należą do jednej domeny. Pomyśl o tym jak o parasolu lub budynku. Wszystko pod nim należy do jednego zestawu reguł bezpieczeństwa, zwanego „Active Directory”. że „AD” jest Twoją rzeczywistą domeną.
@Randolph: Ale w PC_B jeśli kliknę przełączenie widzę mam opcje, aby zalogować się jako: ABC/George, ABC/Administratorlub WWSIIT0q12/Administratorgdzie ostatnia część (niejasne jak nazwa WWSIIT0q12) wydaje się być lokalna nazwa PC (myślę, że to, co otrzymuję jeśli Robię hostnamew cmd). Wygląda więc na to, że mogę zalogować się jako administrator lokalny (domena WWSIIT0q12) lub administrator domeny ( ABC)
użytkownik65971,
Tak, nic nie stoi na przeszkodzie, aby zalogować się do lokalnego komputera. Zaletą logowania do domeny jest jednak dostęp do udostępnionych zasobów tej domeny, w tym plików, drukarek itp.