Active Directory: Como o processo de logon do computador e o processo de logon do usuário diferem?

Eu acredito que é correto dizer que usuários e computadores são tratados como objetos iguais em relação ao Active Directory. Usuários e computadores têm senhas e usuários e computadores precisam fazer logon no domínio de forma independente.

Entendo que o serviço NetLogon, que é iniciado automaticamente, é responsável por fazer logon de um computador no domínio na inicialização. Nesse momento, o NetLogon usa alguma lógica de localizador de controlador de domínio por meio de pesquisas de DNS para ajudá-lo a localizar um controlador de domínio .

Se o computador tiver feito logon no domínio antes e já souber a qual site pertence, ele poderá iniciar com uma consulta DNS específica do site para localizar um controlador de domínio, retornando para um mais geral, se necessário.

Corrija-me se estiver errado em alguma das minhas suposições até agora.

Então, um usuário, ao fazer login em um computador, possui um processo de localizador de DC separado quando faz logon em um computador? Ou o usuário usa o que o computador já criou quando fez o logon? Seria possível que um computador e um usuário conectado ao computador tivessem DCs de autenticação diferentes?

A autenticação do usuário para o AD é tratada pelo computador; portanto, ele usa a ideia de estado do computador para lidar com o processo de autenticação. Um bom exemplo disso é o Sites.

• Um usuário que faça logon interativamente em um computador no Site Z será autenticado nos Controladores de Domínio no Site Z (ou, na sua falta, o processo de identificação de fallback será seguido).
• Se o mesmo usuário voa pelo país e efetua login interativamente em um novo computador, no Site J, o usuário será autenticado nos Controladores de Domínio no Site J.

Pensando nisso de outra maneira, um usuário herda a localidade da máquina na qual está efetuando login.

É possível que o usuário efetue login em um controlador de domínio diferente daquele em que o computador efetuou login, especialmente se o site em que ele estiver tiver mais de um controlador de domínio. É por isso que você precisa capturar os logs de segurança de todos os controladores de domínio em um site para ter uma idéia precisa de quem efetuou login no quê, onde.