Как домены Windows работают?
Я видел, что могу сделать PC_A, например, Windows Server 2008 контроллер домена просто путем выполнения dcpromo После этого я могу создать пользователя, например, George, который является пользователем в домене контроллера, например, DOMAIN_ABC.
Теперь я перехожу к другому PC_B и если я изменяю сервер DNS (в свойствах) для "видения" контроллера домена, я создал, затем в том, что ПК, я могу войти в систему как DOMAIN_ABC/George, хотя не было никакой учетной записи George, созданный в том ПК.
Но я не могу понять, как это работает.
Я имею в виду, когда я установил как машина сервера DNS PC_B, чтобы быть PC_A затем, PC_A является также контроллером домена, я означаю не только действовать, имея отношение к Имени <-> отображение IP? И затем когда я открываю PC_B и ввожу DOMAIN_ABC/George и пароль и вход в систему нажатия, что происходит?
PC_B связывается с PC_A и видит, что это - пользователь и принимает вход в систему, хотя нет никакой учетной записи в PC_B?
Кто-то мог объяснить понятие доменов в Windows Machines?
2 ответа
Ну, для запуска Вы пропустили большой шаг в этом целом процессе: необходимо соединить ПК с доменом для вхождения в систему в качестве пользователя на домене. Вы также пропустили роль DNS контроллера домена, вообще говоря, контроллер домена также будет сервером DNS (даже Ваш резервный DC должен также действовать как резервный сервер DNS); однако это отдельные роли.
Когда Вы соединяете ПК с доменом, запись добавляется в Active Directory, и другая запись добавляется к, вперед ищут зону на сервере DNS (который должен также быть Вашим контроллером домена).
Так, теперь Ваш DC знает, что ПК-A является частью домена A, и что ПК-A может быть найден в IP*x.x.x.x, также на ПК-A, полным именем теперь будет PCA.domainA.com. На данном этапе этот компьютер аутентифицируется для разрешения логинов от учетных записей домена. Так, когда Вы войдете в систему впервые как пользователь домена, DC скажет ПК добавлять, что пользователь к компьютеру в конкретной группе, что пользователь находится в AD.
Так, если у меня будет учетная запись на AD, который является Администратором домена, то я буду добавлен к группе локальных администраторов на ПК-A, когда я войду в систему впервые. Это на самом деле создаст локальную учетную запись на ПК для того аутентифицируемого пользователя; вместе с данными приложения и всеми другими полномочиями и каталогами локальный пользователь получил бы.
Следует иметь в виду, это - очень простое объяснение, и вещи как Профили роуминга и Групповая политика могут влиять, как все это обрабатывается.
Если вторая машина принадлежит домену, то любой пользователь на том домене может войти в любую машину на домене (несмотря на определенные полномочия).
Так Ваш контроллер домена, скажем, PC_A. Ваш домен ABC. Таким образом, все машины на том домене будут machine.domain, или в Вашем случае, PC_A.ABC.
Вторая машина, PC_B, если это будет добавлено к домену, то затем станет PC_B.ABC, и затем любые пользователи, зарегистрированные в списке Active Directory пользователей, смогут войти PC_A или PC_B, потому что домен покрывает обе машины.
Это имеет смысл?