O que acontece quando um computador ingressa em um domínio do Active Directory?

Quais alterações são aplicadas a um cliente quando ele ingressa em um domínio do AD?

Como um membro do domínio deve se comportar quando desconectado da rede? Os usuários podem fazer login? As políticas de usuário do domínio ainda serão aplicadas quando estiver fora da rede?

Se você conhece um recurso abrangente que fornece uma introdução abrangente ao Active Directory, publique-o.

obrigado

O motivo pelo qual você ainda pode fazer login é porque sua conta está armazenada em cache no computador. Na verdade, é suposto funcionar dessa maneira. Caso contrário, você nunca seria capaz de usar um laptop fora da rede sem ter uma conta local. O que em uma empresa seria um pesadelo.

Quando você faz logon no domínio pela primeira vez, um monte de informações sobre sua conta e seus privilégios, juntamente com quaisquer GPOs (Objetos de Diretiva de Grupo), são configurados. É por isso que o primeiro login leva tanto tempo.

A associação de um computador a um domínio do AD cria uma conta no domínio do computador. Isso permite que o computador exista como um indivíduo controlável, configurável, autenticado no domínio. Isso significa que você pode forçar políticas sobre tudo, desde a aparência da área de trabalho até as atualizações do Windows, para qualquer coisa configurável no Windows para o cliente, e também pode ser alterado em relação ao usuário conectado ao cliente.

Aqui está a documentação da Microsoft sobre como o login funciona com o artigo de 2003 sobre tecnet sobre login

Quando um computador ingressa em um domínio do Windows, todos os tipos de coisas acontecem. Os mais importantes:

• As contas de usuário no domínio se tornam usuários válidos no sistema e podem fazer logon nele (a menos que sejam aplicadas restrições).
• Os administradores de domínio adquirem direitos administrativos no sistema.
• O próprio computador obtém uma conta no domínio e a usa para se autenticar em outros computadores.
• As contas de usuário local permanecem ativas e ainda podem ser usadas para efetuar logon no sistema; eles não são reconhecidos por nenhum outro computador no domínio.
• O nome do computador é registrado no DNS do domínio (se ele suportar atualizações dinâmicas, o que deveria).
• As diretivas de grupo definidas no domínio e direcionadas aos computadores afetam o sistema.
• As diretivas de grupo definidas no domínio e direcionadas aos usuários afetam qualquer usuário do domínio que efetue logon no computador.

Quando o computador é membro de um domínio, mas não pode se conectar a um controlador de domínio, ele não pode validar credenciais do usuário; portanto, qualquer logon de domínio falhará; a exceção é o último usuário conectado, que é armazenado em cache e lembrado por padrão e ainda pode efetuar logon com êxito. Portanto, se o último usuário conectado foi DOMAIN \ UserA, um logon desconectado com a mesma conta de usuário será bem-sucedido, mas um logon com, por exemplo, DOMAIN \ UserB falhará. (Esse comportamento é configurável via política).

As diretivas de grupo permanecem aplicadas mesmo em um cenário desconectado.

1. O cliente se torna um computador de domínio, em vez de um compilador de grupo de trabalho autônomo
2. Você ainda pode fazer login em uma estação de trabalho quando puxa o cabo de rede devido a uma configuração imposta pela Diretiva de Grupo. Essa configuração ( Diretivas de Computador - Configurações do Windows - Diretivas Locais - Opções de Segurança ) denominada Logon Interativo: Número de logons anteriores para armazenar em cache (caso o controlador de domínio não esteja disponível) causa esse comportamento e é por design.
3. Quando você desconecta o cabo, se um usuário efetuar login com uma conta de domínio que já havia efetuado login anteriormente nessa estação de trabalho, a máquina restaurará o último conjunto de Diretivas de Grupo que possuía quando o controlador de domínio estava disponível.
4. Segurança de credenciais em cache no Windows