Ich habe gesehen, dass ich es schaffen kannPC_Aeinem Domänencontroller, z. B. Windows Server 2008, einfach durch Ausführen dcpromovon Danach kann ich einen Benutzer, z. B. George, erstellen, der ein Benutzer in der Domäne des Controllers, z. B. DOMAIN_ABC, ist.
Jetzt gehe ich zu einem anderenPC_Bund wenn ich den DNS-Server (in den Eigenschaften) ändere auf "sehen" den Domänencontroller, den ich erstellt habe, dann kann ich mich auf diesem PC als DOMAIN_ABC/George anmelden, obwohl auf diesem PC kein von George erstelltes Konto vorhanden ist.
Aber ich kann nicht verstehen, wie das funktioniert.
Ich meine, wenn ich PC_A als DNS-Server-Rechner von PC_B einstelle, dann ist PC_A auch der Domänencontroller, ich meine, er fungiert nicht nur in Bezug auf die Zuordnung von Name <-> IP? Und wenn ich dann PC_B öffne und DOMAIN_ABC/George und das Passwort eingebe und auf „Anmelden“ drücke, was passiert dann?
PC_B kontaktiert PC_A, sieht, dass es sich um einen Benutzer handelt, und akzeptiert die Anmeldung, obwohl auf PC_B kein Konto vorhanden ist?
Könnte jemand bitte das Konzept von Domänen in Windows-Rechnern erklären?
Antwort1
Nun, zunächst einmal haben Sie einen wichtigen Schritt in diesem gesamten Prozess übersehen: Sie müssen den PC der Domäne hinzufügen, um sich als Benutzer bei der Domäne anmelden zu können. Sie haben auch die DNS-Rolle des Domänencontrollers übersehen. Im Allgemeinen ist ein Domänencontroller auch ein DNS-Server (sogar Ihr Backup-DC sollte auch als Backup-DNS-Server fungieren); dies sind jedoch unterschiedliche Rollen.
Wenn Sie einen PC zur Domäne hinzufügen, wird ein Eintrag im Active Directory hinzugefügt und ein weiterer Eintrag wird zur Forward-Lookupzone auf dem DNS-Server hinzugefügt (der auch Ihr Domänencontroller sein sollte).
Ihr DC weiß jetzt also, dass PC-A Teil von Domäne A ist und dass PC-A unter IP*xxxx zu finden ist. Außerdem lautet der vollständige Name von PC-A jetzt PCA.domainA.com. An diesem Punkt ist dieser Computer authentifiziert, um Anmeldungen von Domänenkonten aus zuzulassen. Wenn Sie sich also zum ersten Mal als Domänenbenutzer anmelden, weist der DC den PC an, diesen Benutzer dem Computer in der bestimmten Gruppe hinzuzufügen, in der sich der Benutzer in AD befindet.
Wenn ich also ein Konto bei AD habe, das ein Domänenadministrator ist, werde ich bei meiner ersten Anmeldung zur Gruppe der lokalen Administratoren auf PC-A hinzugefügt. Es wird tatsächlich ein lokales Konto auf dem PC für diesen authentifizierten Benutzer erstellt; komplett mit App-Daten und allen anderen Berechtigungen und Verzeichnissen, die ein lokaler Benutzer erhalten würde.
Bedenken Sie, dass dies eine sehr grundlegende Erklärung ist und Dinge wie Roaming-Profile und Gruppenrichtlinien Einfluss darauf haben können, wie all dies gehandhabt wird.
Antwort2
Wenn die zweite Maschinegehörtzur Domäne, dann kann sich jeder Benutzer dieser Domäne bei jedem Computer in der Domäne anmelden (ungeachtet bestimmter Berechtigungen).
Ihr Domänencontroller ist also beispielsweise PC_A. Ihre Domäne ist ABC. Alle Maschinen in dieser Domäne sind also machine.domain, oder in Ihrem Fall PC_A.ABC.
Der zweite Computer , PC_Bwird, sofern er der Domäne hinzugefügt wird, zu PC_B.ABC, und alle in der Active Directory-Benutzerliste registrierten Benutzer können sich dann bei PC_Aoder anmelden PC_B, da die Domäne beide Computer umfasst.
Ist das sinnvoll?