Зачем добавлять компьютеры в домен Active Directory?


2

Я довольно долго играю с Windows Server и Active Directory. Можно просто добавить нового пользователя в AD, а затем добавить клиента в домен. это создаст учетную запись домена для пользователя.

Интересно, для чего нужно добавлять компьютеры в домен в диспетчере серверов? Почему добавления пользователя в домен недостаточно?

Я искал по этой теме, но все ссылки говорят о том, как, но я ищу, почему?

Ответы:


1

Вы помещаете компьютеры в AD по той же причине, что и люди в AD: управление и безопасность.

Вы добавляете пользователей в свой домен, чтобы предоставить им доступ к различным ресурсам, а также контролировать их доступ. То же самое касается компьютеров. Точно так же, как вы никому не разрешаете входить в домен, вы также не разрешаете доступ к любому компьютеру.

Посмотрите в групповой политике, вы увидите столько же критериев управления для компьютера, сколько людей. Вы можете многому научиться, просто взглянув на имеющиеся у вас элементы управления.


Что делать, если компьютер и пользователь имеют разные наборы политики безопасности, связанные с ними? кто из них получает приоритет
Шурмаджи

ограничения всегда имеют приоритет.
Келтари

1

Вы присоединяете компьютеры к домену для централизованного управления. Это позволяет вам использовать другие службы Microsoft, такие как групповая политика (с настройками для каждого компьютера) и WSUS. Кроме того, если компьютер присоединен к домену, любой пользователь домена может войти в него, когда он подключен к сети.

Групповая политика сама по себе чрезвычайно полезна, поскольку через нее можно настроить почти каждый параметр на компьютере Windows (или группе компьютеров, или всех ваших компьютерах).


1
если я добавляю пользователя в домен, то какой-то другой пользователь домена может также войти в домен через этот компьютер, не добавляя его в действительности
Shurmajee

0

Хотя централизованная безопасность удобна для управления, я бы ответил, что она обеспечивает общий контекст безопасности. Фактически, когда компьютер присоединяется к домену, ему разрешается доступ к тому, что он чувствует, ограниченный его разрешениями. Если компьютер не присоединен к домену, вы должны проверять свой контекст безопасности каждый раз, когда вам требуется доступ к ресурсу домена. Это результат того, что он по умолчанию не является частью области Kerberos. Существует определенный уровень хакерских атак, но общий контекст безопасности, который предоставляется в общей области \ домене, не кажется тем, что вы хотите взломать.

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.