私は作ることができることを知りましたPC_Aたとえば、Windows Server 2008 のドメイン コントローラーは、これを実行するだけで作成dcpromoできます。その後、コントローラー (DOMAIN_ABC など) のドメイン内のユーザー (George など) を作成できます。
今は別のところへ行きますPC_Bそして、DNSサーバー(プロパティ内)を「見る「私が作成したドメイン コントローラーの場合、その PC に George が作成したアカウントがなくても、DOMAIN_ABC/George としてログインできます。
しかし、これがどのように機能するのか理解できません。
つまり、PC_B の DNS サーバー マシンを PC_A に設定すると、PC_A はドメイン コントローラーにもなります。つまり、名前 <-> IP マッピングに関連する動作だけを行うのではないということですか? 次に、PC_B を開いて、DOMAIN_ABC/George とパスワードを入力してログインを押すと、何が起こりますか? PC_B は
PC_A に接続し、それがユーザーであることを確認し、PC_B にアカウントがなくてもログインを受け入れますか?
Windows マシンのドメインの概念を説明していただけますか?
答え1
まず、このプロセス全体の中で大きなステップを忘れています。ドメインのユーザーとしてログインするには、PC をドメインに参加させる必要があります。また、ドメイン コントローラーの DNS の役割を忘れています。一般的に、ドメイン コントローラーは DNS サーバーにもなります (バックアップ DC もバックアップ DNS サーバーとして機能する必要があります)。ただし、これらは別々の役割です。
PC をドメインに参加させると、Active Directory にエントリが追加され、DNS サーバー (ドメイン コントローラーでもある必要があります) の前方参照ゾーンに別のエントリが追加されます。
これで、DC は PC-A がドメイン A の一部であること、PC-A が IP*xxxx にあることを認識し、PC-A のフルネームは PCA.domainA.com になります。この時点で、このコンピューターはドメイン アカウントからのログインを許可するように認証されます。したがって、ドメイン ユーザーとして初めてログインすると、DC は PC に、そのユーザーが AD に所属する特定のグループのコンピューターにそのユーザーを追加するように指示します。
したがって、AD にドメイン管理者のアカウントがある場合、初めてログインすると、PC-A のローカル管理者グループに追加されます。これにより、認証されたユーザーのローカル アカウントが PC 上に作成され、アプリ データや、ローカル ユーザーが受け取るその他のすべての権限とディレクトリが完備されます。
これは非常に基本的な説明であり、移動プロファイルやグループ ポリシーなどが、これらすべての処理方法に影響を与える可能性があることに留意してください。
答え2
2台目のマシンが属するドメインに追加すると、そのドメイン上のすべてのユーザーは、特定の権限にかかわらず、ドメイン上の任意のマシンにログインできるようになります。
たとえば、ドメイン コントローラが だとしますPC_A。ドメインが だとします。したがって、そのドメイン上のすべてのマシンは、つまり、あなたの場合は にABCなります。machine.domainPC_A.ABC
2 番目のマシンPC_Bがドメインに追加されると となり、ドメインが両方のマシンをカバーするため、Active Directory のユーザー リストに登録されているすべてのユーザーがまたは にPC_B.ABCログインできるようになります。PC_APC_B
それは理にかなっていますか?