Ist es möglich, einem Computer denselben Namen wie einer Domäne zu geben?

Question 1

Ja, Sie können damit ein Domänencomputerobjekt mit demselben Namen wie die Domäne erstellen. Der Standardkontext (auf dem Anmeldebildschirm) ist jedoch die Domänenanmeldung und nicht die lokale Anmeldung, und zur Authentifizierung sind gültige Domänenanmeldeinformationen erforderlich.

Wenn Sie sich lokal am PC anmelden können, wird Ihnen kein Zugriff auf Domänenebene gewährt. Die Namen der Domäne und des Computers sind nur Bezeichnungen zu Ihrer Information. Konten werden intern durch verschiedene IDs referenziert. Der gleiche Name führt nicht dazu, dass Sie sich durch die Hintertür einschleichen können. Active Directory erkennt die Domäne und den Computer korrekt als unterschiedliche lokale Konten mit separaten Berechtigungssätzen.

Wenn Sie die Namen gleich festlegen, wird es schwieriger, den gewünschten Kontext auszuwählen.

Answer

Ja, Sie können damit ein Domänencomputerobjekt mit demselben Namen wie die Domäne erstellen. Der Standardkontext (auf dem Anmeldebildschirm) ist jedoch die Domänenanmeldung und nicht die lokale Anmeldung, und zur Authentifizierung sind gültige Domänenanmeldeinformationen erforderlich.

Wenn Sie sich lokal am PC anmelden können, wird Ihnen kein Zugriff auf Domänenebene gewährt. Die Namen der Domäne und des Computers sind nur Bezeichnungen zu Ihrer Information. Konten werden intern durch verschiedene IDs referenziert. Der gleiche Name führt nicht dazu, dass Sie sich durch die Hintertür einschleichen können. Active Directory erkennt die Domäne und den Computer korrekt als unterschiedliche lokale Konten mit separaten Berechtigungssätzen.

Wenn Sie die Namen gleich festlegen, wird es schwieriger, den gewünschten Kontext auszuwählen.

Question 2

Als Antwort auf Ihren Kommentar:

Ich versuche nicht, etwas zu lösen, ich habe mich nur gefragt, ob ich den Benutzernamen „HOUSE\JOHN“ (Domäne\Benutzer) vortäuschen kann, ohne das Kennwort der Domäne „HOUSE\JOHN“ zu kennen. (PC-Name\Benutzer)

Ich gehe davon aus, dass Sie den Zugriff auf Freigaben oder was auch immer meinen.

Nein, wenn Sie Ihren Computer DOMAINNAME nennen und ein lokales Benutzerkonto mit demselben Namen wie ein Domänenkonto verwenden, erhalten Sie keinen Zugriff auf die Inhalte des Domänenkontos.

Wenn die Ressource Kerberos verwendet, wird ein Kerberos-Ticket angefordert. Sie erhalten ein Kerberos-Ticket vom Domänencontroller, nachdem Sie einen mit dem Passwort-Hash des Benutzers verschlüsselten Zeitstempel von einer genehmigten Arbeitsstation bereitgestellt haben. Der Domänencontroller lässt sich nicht dazu „verleiten“, einem lokalen Konto aufgrund ähnlicher Namen ein Kerberos-Ticket auszustellen. (Das ist eine Vereinfachung; weitere Informationen zu Kerberos finden Sie unterHierUndHier.)

Wenn die Ressource NTLM verwendet, wird ein Einweg-Hash des aktuellen Passworts an die Ressource gesendet. (Auch eine Vereinfachung; siehe mehrHier.)

(Active Directory würde den PC mit dem Namen „Haus“ in der Domäne „Haus“ als „HAUS\Haus“ betrachten. Hierist ein Artikel zu AD-Namenskonventionen.)

Answer

Als Antwort auf Ihren Kommentar:

Ich versuche nicht, etwas zu lösen, ich habe mich nur gefragt, ob ich den Benutzernamen „HOUSE\JOHN“ (Domäne\Benutzer) vortäuschen kann, ohne das Kennwort der Domäne „HOUSE\JOHN“ zu kennen. (PC-Name\Benutzer)

Ich gehe davon aus, dass Sie den Zugriff auf Freigaben oder was auch immer meinen.

Nein, wenn Sie Ihren Computer DOMAINNAME nennen und ein lokales Benutzerkonto mit demselben Namen wie ein Domänenkonto verwenden, erhalten Sie keinen Zugriff auf die Inhalte des Domänenkontos.

Wenn die Ressource Kerberos verwendet, wird ein Kerberos-Ticket angefordert. Sie erhalten ein Kerberos-Ticket vom Domänencontroller, nachdem Sie einen mit dem Passwort-Hash des Benutzers verschlüsselten Zeitstempel von einer genehmigten Arbeitsstation bereitgestellt haben. Der Domänencontroller lässt sich nicht dazu „verleiten“, einem lokalen Konto aufgrund ähnlicher Namen ein Kerberos-Ticket auszustellen. (Das ist eine Vereinfachung; weitere Informationen zu Kerberos finden Sie unterHierUndHier.)

Wenn die Ressource NTLM verwendet, wird ein Einweg-Hash des aktuellen Passworts an die Ressource gesendet. (Auch eine Vereinfachung; siehe mehrHier.)

(Active Directory würde den PC mit dem Namen „Haus“ in der Domäne „Haus“ als „HAUS\Haus“ betrachten. Hierist ein Artikel zu AD-Namenskonventionen.)

Ist es möglich, einem Computer denselben Namen wie einer Domäne zu geben?

Antwort1

Antwort2

verwandte Informationen