Я считаю правильным сказать, что пользователи и компьютеры рассматриваются как равные участники по отношению к Active Directory. И у пользователей, и у компьютеров есть пароли, и и пользователи, и компьютеры должны входить в домен независимо.
Я понимаю, что служба NetLogon, которая запускается автоматически, отвечает за вход компьютера в домен при запуске. В то время NetLogon использует некоторую логику локатора контроллера домена через поиск DNS, чтобы помочь ему. найти контроллер домена.
Если компьютер ранее входил в домен и уже знает, к какому сайту он принадлежит, он может начать с DNS-запроса для конкретного сайта, чтобы определить местонахождение DC, и при необходимости вернуться к более общему.
Пожалуйста, поправьте меня, если я ошибаюсь в одном из своих предположений.
Итак, есть ли у пользователя при входе в систему отдельный процесс локатора DC, когда он / она входит в систему? Или пользователь использует то, что компьютер уже придумал при входе в систему? Могут ли компьютер и пользователь, вошедший на этот компьютер, иметь разные аутентифицирующие контроллеры домена?
Аутентификация пользователя в AD обрабатывается компьютером, поэтому он будет использовать представление компьютера о состоянии AD для обработки процесса аутентификации. Хороший пример этого - Сайты.
С другой стороны, пользователь наследует местоположение от машины, на которой он входит в систему.
Пользователь может войти в систему с другого DC, чем тот, в который вошел компьютер, особенно если сайт, на котором он находится, имеет более одного DC. Вот почему вам необходимо вести журналы безопасности всех контроллеров домена на сайте, чтобы иметь точное представление о том, кто и где вошел в систему.