Como os domínios do Windows funcionam?

1

Vi que posso tornar o PC_A um, por exemplo, o Windows Server 2008 um controlador de domínio simplesmente executando. dcpromoDepois disso, posso criar um usuário, como George, que é um usuário no domínio do controlador, como DOMAIN_ABC.

Agora vou para outro PC_B e se eu mudar o servidor DNS (nas propriedades) para " ver " o controlador de domínio que criei, nesse computador eu posso entrar como DOMAIN_ABC / George, embora não houvesse uma conta que George tenha criado naquele PC .
Mas não consigo entender como isso funciona.

Quero dizer, quando defino como a máquina do servidor DNS do PC_B como PC_A, em seguida, PC_A também é o controlador de domínio, quero dizer não apenas atuando em relação ao mapeamento de nome <-> IP? E então, quando abro PC_B e digito DOMAIN_ABC / George e password e pressiono login, o que acontece?
PC_B entra em contato com PC_A e vê que é um usuário e aceita login, embora não haja uma conta no PC_B?

Alguém poderia explicar o conceito de domínios em máquinas Windows?

windows windows-server-2008 windows-server-2003 windows-domain user65971
fonte

Respostas:

2

Bem, para começar, você perdeu um grande passo em todo esse processo: você precisa associar o PC ao domínio, para fazer login como usuário no domínio. Você também perdeu a função DNS do controlador de domínio, de um modo geral, um controlador de domínio também será um servidor DNS (mesmo o seu controlador de domínio de backup também deve atuar como um servidor DNS de backup); no entanto, esses são papéis separados.

Quando você ingressa um PC no domínio, uma entrada é adicionada no Active Directory e outra entrada na zona de pesquisa direta no servidor DNS (que também deve ser seu controlador de domínio).

Portanto, agora seu controlador de domínio sabe que o PC-A faz parte do domínio A e que o PC-A pode ser encontrado no IP * xxxx, também no PC-A o nome completo será PCA.domainA.com. Neste ponto, este computador está autenticado para permitir logins de contas de domínio. Portanto, quando você fizer login pela primeira vez como usuário de domínio, o controlador de domínio solicitará que o PC adicione esse usuário ao computador no grupo específico em que o usuário reside no AD.

Portanto, se eu tiver uma conta no AD que seja um Administrador de Domínio, serei adicionado ao grupo Administradores Locais no PC-A, quando fizer o login pela primeira vez. Na verdade, ele criará uma conta local no PC para esse usuário autenticado; complete com os dados do aplicativo e todas as outras permissões e diretórios que um usuário local receberia.

Lembre-se de que esta é uma explicação muito básica e coisas como Perfis de Roaming e Diretiva de Grupo podem afetar a maneira como tudo isso é tratado.

Kyle não para de me perseguir
fonte
@ Kyle: Então, na primeira vez em que um usuário do domínio fizer logon no PB_B, o controlador de domínio é contatado. Depois disso, desde que uma conta local é criada, não é necessário entrar em contato com o controlador de domínio. Isso está correto?
user65971
Não, ele ainda procurará o controlador de domínio sempre que houver alterações de conta ou política de grupo. No entanto, se o dc não estiver disponível, ele fará login com credenciais em cache.
Kyle não para de me perseguir
@ user65971 Lembre-se de que um dos principais motivos pelos quais os domínios existem é o gerenciamento centralizado. Se um administrador deseja alterar a senha de um usuário, o computador precisará conversar com o controlador de domínio para obter essas informações e tentar obter um controlador de domínio a cada Tempo. Mas, ao mesmo tempo, permite a criação de uma conta local que armazene em cache as credenciais para que usuários com laptops ou usuários em uma WAN propensa a quedas ainda possam fazer login quando um controlador de domínio não estiver disponível.
Kyle não para de me perseguir
@kyle: Eu vou para o Painel de Controle> Gerenciar Contas da máquina PC_B e o único usuário é o administrador local. Nenhuma conta George! Onde você diz que a conta local é criada após o primeiro login?
user65971
@kyle: Eu não estou familiarizado com isso. Se eu entrar como George, realmente vejo uma conta George, mas como posso ver seus privilégios? Se eu entrar como administrador local, não vejo um George (eu estou falando Control Panel>Manage Accounts) somente administrador local. Você poderia me ajudar a entender isso? Além disso, quando eu precisaria fazer na linha de comando create login [ABC\George] from windows, create user George for login [ABC\George]etc? Eu acho que isso tem sido feito em PC_B mas não sei porquê
user65971
3

Se a segunda máquina pertencer ao domínio, qualquer usuário desse domínio poderá efetuar login em qualquer máquina do domínio (sem prejuízo de determinadas permissões).

Então, seu controlador de domínio, digamos que seja PC_A. Seu domínio é ABC. Portanto, todas as máquinas nesse domínio serão machine.domain, ou no seu caso PC_A.ABC,.

A segunda máquina, PC_Bse for adicionada ao domínio, se tornará PC_B.ABCe todos os usuários registrados na lista de usuários do Active Directory poderão fazer login PC_Aou PC_B, porque o domínio abrange as duas máquinas.

Isso faz sentido?


fonte
@ Randolph: Então PC_B tem 2 domínios? Domínio ABC e domínio do thisPC local (ou )?
user65971
Apenas um pouco mais rápido: P
Não Kyle parar de perseguir-me
Não, existe apenas um domínio ABC. Mas dois PCs pertencem a um domínio. Pense nisso como um guarda-chuva ou um prédio. Tudo abaixo pertence a um conjunto de regras de segurança, chamado "Active Directory". esse "AD" é o seu domínio real.
@Randolph: Mas em PC_B se eu clicar usuário switch, vejo que tem as opções de login como: ABC/George, ABC/Administratorou WWSIIT0q12/Administratoronde a última parte (o nome obscuro como WWSIIT0q12) parece ser o nome do PC local (eu acho que isso é o que eu ganho se Eu faço hostnameem cmd). Assim, parece que eu possa fazer logon como administrador local (domínio WWSIIT0q12) ou administrador de domínio ( ABC)
user65971
Sim, nada o impede de fazer login na máquina local. A vantagem de fazer o login no domínio, porém, dá-lhe acesso aos recursos compartilhados desse domínio, incluindo arquivos, impressoras, etc.