Що відбувається, коли комп'ютер приєднується до домену Active Directory?

Які зміни застосовуються до клієнта, коли він приєднується до домену AD?

Як повинен поводитись член домену при відключенні від мережі? Чи користувачі можуть увійти? Чи застосовуватимуться політики користувачів домену, коли вони не в мережі?

Якщо ви знаєте про всебічний ресурс, який забезпечує всебічне введення в Active Directory, будь ласка, опублікуйте їх.

Дякую

Причина, по якій ви все одно можете ввійти в систему, полягає в тому, що ваш обліковий запис кешовано на комп’ютері. Насправді належить так працювати. Інакше ви ніколи не зможете користуватися ноутбуком поза мережею, не маючи на ньому локальний обліковий запис. Що на підприємстві було б кошмаром.

Коли ви вперше входите в домен, ви налаштовуєте купу інформації про ваш обліковий запис і його привілеї, а також будь-які об’єкти групової політики (GPO). Ось чому перше вхід займає так багато часу.

Приєднання комп'ютера до домену AD створює обліковий запис у домені для комп'ютера. Це дозволяє комп'ютеру існувати як контрольована, конфігурувана, автентифікована особа у домені. Це означає, що ви можете змусити політику щодо всього, від зовнішнього вигляду робочого столу до оновлень Windows, до всього, що налаштовується у Windows для клієнта, і це може бути змінено відносно користувача, який також увійшов у клієнт.

Ось документація Microsoft про те, як працює логін із статтею про технікум 2003 про вхід

Коли комп'ютер приєднується до домену Windows, трапляються всілякі речі. Найважливіші з них:

• Облікові записи користувачів у домені стають дійсними користувачами системи та можуть входити в неї (якщо не застосовуються обмеження).
• Адміністратори домену набувають адміністративні права в системі.
• Сам комп’ютер отримує обліковий запис у домені та використовує його для аутентифікації на інших комп'ютерах.
• Локальні облікові записи користувачів залишаються активними і їх можна використовувати для входу в систему; їх не розпізнає жоден інший комп'ютер у домені.
• Ім'я комп'ютера реєструється у DNS домену (якщо він підтримує динамічні оновлення, які він повинен).
• Групова політика, визначена в домені та спрямована на комп'ютери, впливає на систему.
• Групова політика, визначена в домені та орієнтована на користувачів, впливає на будь-якого користувача домену, який увійшов до комп'ютера.

Коли комп'ютер є членом домену, але не може підключитися до контролера домену, він не може перевірити облікові дані користувачів, тому будь-яке вхід у систему домену не вдасться; виняток - останній користувач, який увійшов до системи, який за замовчуванням кешований і запам'ятовується, і все ще може успішно входити в систему. Отже, якщо останнім користувачем, який увійшов у систему, був DOMAIN \ UserA, відключений вхід із тим самим обліковим записом користувача буде успішним, але вхід із, скажімо, DOMAIN \ UserB не вдасться. (Така поведінка може бути налаштована за допомогою політики).

Групова політика залишається застосована навіть за відключеного сценарію.

1. Клієнт стає доменним комп'ютером, а не окремим комп’ютером робочої групи
2. Ви все ще можете увійти на робочу станцію, коли витягуєте мережевий кабель через налаштування, встановлене груповою політикою. Цей параметр ( Computer-Policies-Windows Settings-Local Policies-Security Options ) під назвою Interactive Logon: Кількість попередніх входів для кешування (у випадку, якщо контролер домену недоступний) викликає таку поведінку, і це задумано.
3. Якщо ви відключите кабель від мережі, якщо користувач увійде в обліковий запис домену, який попередньо увійшов у цю робочу станцію, машина відновить останній набір групових політик, який він мав, коли контролер домену був доступний.
4. Безпека кешованих облікових даних у Windows