Vi que puedo hacerPC_APor ejemplo, Windows Server 2008, un controlador de dominio simplemente ejecutándolo. dcpromoDespués de eso, puedo crear un usuario, por ejemplo, George, que es un usuario en el dominio del controlador, por ejemplo, DOMAIN_ABC.
ahora voy a otroTARJETA DE CIRCUITO IMPRESOy si cambio el servidor DNS (en las propiedades) a "ver" el controlador de dominio que creé, luego en esa PC puedo iniciar sesión como DOMAIN_ABC/George aunque no había ninguna cuenta que George creó en esa PC.
Pero no puedo entender cómo funciona esto.
Quiero decir, cuando configuro como máquina servidor DNS de PC_B para que sea PC_A, entonces PC_A también es el controlador de dominio, me refiero no solo a actuar en relación con el mapeo de IP Nombre <->. Y luego, cuando abro PC_B y escribo DOMAIN_ABC/George y contraseña y presiono iniciar sesión, ¿qué sucede?
¿PC_B se comunica con PC_A y ve que es un usuario y acepta iniciar sesión aunque no hay una cuenta en PC_B?
¿Alguien podría explicar el concepto de dominios en máquinas con Windows?
Respuesta1
Bueno, para empezar, te perdiste un gran paso en todo este proceso: debes unir la PC al dominio para poder iniciar sesión como usuario en el dominio. También se perdió la función DNS del controlador de dominio; en términos generales, un controlador de dominio también será un servidor DNS (incluso su DC de respaldo también debería actuar como un servidor DNS de respaldo); sin embargo, estos son roles separados.
Cuando unes una PC al dominio, se agrega una entrada en Active Directory y otra entrada a la zona de búsqueda directa en el servidor DNS (que también debería ser tu controlador de dominio).
Entonces, ahora su DC sabe que la PC-A es parte del dominio A y que la PC-A se puede encontrar en IP*xxxx; también en la PC-A el nombre completo ahora será PCA.domainA.com. En este punto, esta computadora está autenticada para permitir inicios de sesión desde cuentas de dominio. Entonces, cuando inicie sesión por primera vez como usuario de dominio, el DC le indicará a la PC que agregue ese usuario a la computadora en el grupo particular en el que reside el usuario en AD.
Entonces, si tengo una cuenta en AD que es Administrador de dominio, se me agregará al grupo de Administradores locales en la PC-A cuando inicie sesión por primera vez. De hecho, creará una cuenta local en la PC para ese usuario autenticado; completo con datos de la aplicación y todos los demás permisos y directorios que recibiría un usuario local.
Tenga en cuenta que esta es una explicación muy básica y cosas como los perfiles móviles y la política de grupo pueden afectar la forma en que se maneja todo esto.
Respuesta2
Si la segunda máquinaperteneceal dominio, cualquier usuario de ese dominio puede iniciar sesión en cualquier máquina del dominio (sin perjuicio de ciertos permisos).
Entonces, digamos que su controlador de dominio es PC_A. Tu dominio es ABC. Entonces todas las máquinas en ese dominio serán machine.domain, o en su caso, PC_A.ABC.
La segunda máquina, PC_B, si se agrega al dominio, se convertirá en PC_B.ABC, y luego cualquier usuario registrado en la lista de usuarios de Active Directory podrá iniciar sesión en PC_Ao PC_B, porque el dominio cubre ambas máquinas.
¿Tiene sentido?