Назад | Перейти на главную страницу

Что происходит, когда компьютер присоединяется к домену Active Directory?

Какие изменения применяются к клиенту, когда он присоединяется к домену AD?

Как должен вести себя член домена при отключении от сети? Могут ли пользователи войти в систему? Будут ли политики пользователей домена применяться вне сети?

Если вам известен исчерпывающий ресурс, который дает всестороннее введение в Active Directory, разместите его.

Спасибо

Когда компьютер присоединяется к домену Windows, происходят разные вещи. Самые важные из них:

  • Учетные записи пользователей в домене становятся действительными пользователями в системе и могут войти в нее (если не применяются ограничения).
  • Администраторы домена получают права администратора в системе.
  • Сам компьютер получает учетную запись в домене и использует ее для аутентификации на других компьютерах.
  • Учетные записи локальных пользователей остаются активными и могут использоваться для входа в систему; они не распознаются никаким другим компьютером в домене.
  • Имя компьютера регистрируется в DNS домена (если он поддерживает динамические обновления, что должно).
  • Групповые политики, определенные в домене и нацеленные на компьютеры, влияют на систему.
  • Групповые политики, определенные в домене и нацеленные на пользователей, влияют на любого пользователя домена, который входит в систему на компьютере.

Когда компьютер является членом домена, но не может подключиться к контроллеру домена, он не может проверить учетные данные пользователя, поэтому любой вход в домен будет неудачным; Исключение составляет последний вошедший в систему пользователь, который по умолчанию кэшируется и запоминается, и все еще может успешно войти в систему. Таким образом, если последний вошедший в систему пользователь был DOMAIN \ UserA, отключенный вход в систему с той же учетной записью будет успешным, но вход в систему, скажем, с помощью DOMAIN \ UserB завершится ошибкой. (Это поведение настраивается с помощью политики).

Групповые политики применяются даже в отключенном состоянии.

Причина, по которой вы все еще можете войти в систему, заключается в том, что ваша учетная запись кэшируется на компьютере. На самом деле это должно работать именно так. В противном случае вы никогда не сможете использовать ноутбук вне сети без локальной учетной записи. Что на предприятии было бы кошмаром.

Когда вы входите в домен в первый раз, настраивается куча информации о вашей учетной записи и ее привилегиях, а также любые объекты групповой политики (GPO). Вот почему первый вход в систему занимает так много времени.

Присоединение компьютера к домену AD создает учетную запись в домене для компьютера. Это позволяет компьютеру существовать как управляемое, настраиваемое, аутентифицированное лицо в домене. Это означает, что вы можете принудительно применять политики ко всему, от внешнего вида рабочего стола до обновлений Windows до всего, что настраивается в Windows для клиента, и это также можно изменить относительно пользователя, вошедшего в клиент.

Вот документация Microsoft о том, как войти в систему с 2003 техническая статья о входе в систему

  1. Клиент становится компьютером домена, а не автономным компьютером рабочей группы.
  2. Вы все еще можете войти на рабочую станцию, когда вы вытащите сетевой кабель из-за настройки, наложенной групповой политикой. Эта настройка (Компьютер-Политики-Параметры Windows-Локальные политики-Параметры безопасности) называется Интерактивный вход в систему: количество предыдущих входов в систему для кэширования (в случае, если контроллер домена недоступен) вызывает такое поведение, и это сделано намеренно.
  3. Когда вы отсоединяете кабель, если пользователь входит в систему с учетной записью домена, которая ранее выполняла вход на эту рабочую станцию, машина восстановит последний набор групповых политик, который у него был, когда контроллер домена был доступен.
  4. Безопасность кэшированных учетных данных в Windows