Назад | Перейти на главную страницу

Является ли контекст локального пользователя машины, присоединенной к AD, учетной записью машины домена или учетной записью локальной машины?

Я разработчик, и мне интересно, как используются серверы Windows.

В контексте определения (*), под которой загруженный компьютер, подключенный к Windows AD, идентифицируется / защищается AD DC (контроллер домена):

Машина, подключенная к AD, показывает экран входа в систему, позволяющий после этого выполнить 2 основных входа:

В каком контексте - B) или C) - выполняет следующее после A), то есть после экрана входа в систему, локальный пользователь, вошедший в систему 1)?

Обновление 1:
Я знаю, как работают процессы идентификации, олицетворения и делегирования.

Этот вопрос касается того, когда компьютер Windows загружается и показывает интерактивный экран входа в систему с вариантами выбора.

1) Под учетной записью какого компьютера он загружается перед входом любого (интерактивного) пользователя? когда отображается экран входа в систему?

2)
Ну, в основном я переписываю оригинальные вопросы.

Но, прочитав (*), Я не могу понять, зачем вообще нужен "Machine SID для компьютерной ДЕМОСИСТЕМЫ" (в таблице 1). Он не используется для доступа к другой машине до присоединения машины к AD, тем более, кажется, что он нужен после (присоединения машины к AD).

Обновление 2:
Кроме того, трудно поверить, что локальная учетная запись пользователя машины до присоединения к домену такая же, как после присоединения. Компьютер идентифицируется, и канал защищается контроллером домена даже для локальной учетной записи компьютера AD, но не для рабочей группы.

Подзапросы, возникшие из этого вопроса:

Процитировано:

Связанный вопрос:
- Сравнение LocalSystem для рабочей группы Windows и домена (AD) LocalSystem [закрыто]

Ваш вопрос не очень четко сформулирован ... однако вот как это в основном работает:

  • Каждый процесс, запущенный на машине Windows, выполняется в контексте учетной записи пользователя; это может быть одна из трех учетных записей компьютеров (подробнее об этом позже), локальная учетная запись пользователя или учетная запись пользователя домена.
  • Процесс может быть запущен как пользователем, вошедшим в систему, так и службой.
  • Процесс, запущенный вошедшим в систему пользователем, наследует контекст безопасности пользователя и может взаимодействовать с сеансом пользователя (клавиатура / мышь / экран или RDP).
  • Служба - это процесс, который выполняется в фоновом режиме без прямого взаимодействия с пользователем; он может запускаться автоматически при запуске системы. Сервис также работает в контексте безопасности учетной записи пользователя, как и любой интерактивный процесс; это может быть локальная или доменная учетная запись пользователя или системная учетная запись. Сервис не может напрямую взаимодействовать с пользовательскими сеансами.
  • Процесс, запущенный в контексте локальной учетной записи пользователя, может получить доступ только к ресурсам на локальном компьютере (если это разрешено); у него нет действительных учетных данных для входа в другие системы, и он может подключаться к сетевым ресурсам только путем предоставления другого набора учетных данных, либо учетных данных пользователя домена, либо учетной записи локального пользователя на удаленном сервере.
  • Процесс, запущенный в контексте учетной записи пользователя домена, может получить доступ к локальным ресурсам (если это разрешено) и сетевым ресурсам (если разрешено) на других компьютерах, присоединенных к домену.
  • Процесс, запущенный в системном контексте, может использовать одну из трех системных учетных записей: Local System, Local Service и Network Service. Они встроены в каждый компьютер с Windows, начиная с XP / 2003 (до этого существовала только локальная система).
  • Процесс, работающий как локальная система, имеет полные привилегии в системе; процесс, работающий как локальная служба, имеет более низкие привилегии (такие же, как у стандартных учетных записей пользователей) и не может подключаться к сетевым ресурсам; процесс, работающий как сетевая служба, имеет те же локальные привилегии, что и локальная служба, но может получить доступ к сети.
  • В любом случае, когда процесс, выполняющийся в одном из трех системных контекстов, подключается к сетевым ресурсам (так что это верно только для локальной системы и сетевой службы, поскольку локальная служба просто не может этого сделать), он аутентифицируется в удаленной системе, используя учетная запись компьютера в домене.

Подвести итог:

  • Если процесс работает как локальная учетная запись пользователя, у него нет действительных учетных данных для входа в удаленные системы.
  • Если процесс выполняется как учетная запись пользователя домена, эта учетная запись пользователя используется для входа в удаленные системы.
  • Если процесс выполняется как локальная система или сетевая служба, он входит в удаленные системы, используя учетную запись компьютера в домене.

Обновить:

Нет ни одной учетной записи, под которой «машина загружается». Когда вы находитесь на экране входа в систему, в системе работает множество вещей: основные системные службы, программы, которые фактически управляют самим экраном входа в систему, и, возможно, множество служб приложений, если система является сервером. Каждый из этих процессов может выполняться под отдельной учетной записью пользователя. В любом случае большинство системных служб запускаются с использованием одной из трех системных учетных записей (локальная система, локальная служба, сетевая служба). Вы можете увидеть, с какой учетной записью работает служба, как в Services MMC (и / или в диспетчере задач).

SID машины, как указано в этой статье и во многих других, на самом деле не нужен и не используется ни для чего, кроме как «префикс» для SID локальных учетных записей пользователей (которые, как таковые, никогда не видны и не упоминаются вне самой системы ); сетевая аутентификация от имени системы использует доменную учетную запись компьютера.

Локальные учетные записи работают точно так же на компьютерах, которые присоединены к домену или являются частью рабочей группы. Они не имеют ничего общего с доменом и не защищены контроллером домена или какой-либо другой частью AD.