gpt4 book ai didi

active-directory - 当我将 Windows 计算机加入 Active Directory 域时实际发生了什么

转载 作者:行者123 更新时间:2023-12-04 08:32:21 25 4
gpt4 key购买 nike

我在任何地方都找不到这些信息,而且我也没有时间自己设置一个 AD 服务器来玩。我不是 AD 方面的专家,所以如果我的某些术语不正确,请原谅我。

当用户尝试将 Windows(我们称之为 Windows 7)计算机加入 AD 控制的域时,实际发生了什么?意思是AD服务器检查了哪些权限和帐户?从我能够搜集到的信息来看,计算机对象似乎必须以特定的计算机名称存在于 AD 中。然后看起来如果当前计算机在域中,并且用户正在尝试更改名称,那么旧计算机是否会从域中删除? (不确定)。

我真的想弄清楚在加入域的过程中“加入域”会在哪里失败。

类似于:AD 检查计算机名称是否存在,然后检查这些用户权限,然后检查这些属性等,直到“允许计算机加入具有指定名称的域”。

根据我在网上发现的“加入 AD 域时出现问题”线程的数量,我认为这对很多其他人都有帮助。

最佳答案

假设这是一台新计算机,没有映射到域中以前的旧计算机名称...

在非常高的级别:您在域加入操作中提供信用。在 AD 端,它检查是否存在与您要加入的计算机名称对应的计算机帐户,在这种情况下它不存在。因此它继续创建一个新的(受限于为加入操作提供的凭据的权限和限制)。此时,计算机帐户和 DC 执行一些操作来设置关键属性(其中最重要的是 secret ,也就是计算机帐户上的密码)和机器上的本地状态加入被操纵......记住 SID,存储的 secret 等。最后,您会被告知重新启动。

如果先前的假设不正确并且 comp acct 已经存在,它会重新使用现有的计算机帐户而不是创建一个新帐户。但它确保您可以将新的 secret 写入计算机帐户,这是域加入所需的一部分(在 99% 的情况下映射到拥有 comp 帐户,因为很少有人重新访问他们的计算机帐户以允许这样做许可)。

无论如何,这就是高层正在发生的事情。 :)如果您想深入了解它,请启用 netlogon 日志记录并进行连接,然后查看日志。如果您想更深入地了解,请查看 AD 协议(protocol)文档,它会非常深入。

关于active-directory - 当我将 Windows 计算机加入 Active Directory 域时实际发生了什么,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/13254905/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com