Active Directory. Чем отличаются процесс входа в систему компьютера и процесс входа пользователя?


10

Я считаю правильным сказать, что пользователи и компьютеры рассматриваются как равные принципалы в отношении Active Directory. Пароли и у пользователей, и у компьютеров есть, и пользователи и компьютеры должны входить в домен независимо.

Я понимаю, что служба NetLogon, которая запускается автоматически, отвечает за вход компьютера в домен при запуске. В то время NetLogon использует некоторую логику локатора контроллера домена через поиск DNS, чтобы помочь ему найти контроллер домена .

Если компьютер ранее входил в домен и уже знает, к какому сайту он принадлежит, он может начать с DNS-запроса, специфичного для данного сайта, чтобы найти контроллер домена, возвращаясь к более общему, если это необходимо.

Пожалуйста, поправьте меня, если я ошибаюсь в любом из моих предположений до сих пор.

Так есть ли у пользователя при входе в компьютер отдельный процесс локатора DC, когда он / она входит в компьютер? Или пользователь использует то, что компьютер уже придумал, когда он вошел в систему? Возможно ли, чтобы компьютер и пользователь, вошедшие в систему на этом компьютере, имели разные DC аутентификации?

Ответы:


6

Аутентификация пользователя в AD обрабатывается компьютером, поэтому он будет использовать представление компьютера о состоянии AD для управления процессом аутентификации. Хороший пример этого с сайтами.

  • Пользователь, входящий в систему в интерактивном режиме на компьютере на сайте Z, будет проходить проверку подлинности на контроллерах домена на сайте Z (или, если это не удастся, будет выполнен резервный процесс идентификации).
  • Если один и тот же пользователь летит по всей стране и входит в систему в интерактивном режиме на новом компьютере, на сайте J, пользователь будет аутентифицирован на контроллерах домена на сайте J.

Думая об этом иначе, пользователь наследует локальность от машины, на которой он входит.

Пользователь может войти в систему с использованием другого контроллера домена, отличного от того, на котором зарегистрирован компьютер, особенно если на сайте, на котором он находится, имеется более одного контроллера домена. Вот почему вы должны регистрировать журналы безопасности всех контроллеров домена на сайте, чтобы иметь точное представление о том, кто вошел, что, где.

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.