사용자가 "JOHN"인 "HOUSE"라는 도메인이 있는 경우 "JOHN"이라는 로컬 사용자가 있는 PC 이름을 "HOUSE"로 바꿀 수 있습니까?
그러면 둘 다 HOUSE\JOHN이 됩니다.
편집: 추가해야 할 점은 PC가 "HOUSE" 도메인에 있다는 것입니다.
답변1
예, 도메인과 동일한 이름을 가진 도메인 컴퓨터 개체를 만들 수 있습니다. 그러나 로그인 화면의 기본 컨텍스트는 로컬 로그인이 아닌 도메인 로그인이며 인증하려면 유효한 도메인 자격 증명이 필요합니다.
PC에 로컬로 로그인하는 경우 도메인 수준 액세스 권한이 부여되지 않습니다. 도메인과 컴퓨터의 이름은 참조용 레이블일 뿐입니다. 계정은 내부적으로 다양한 ID로 참조됩니다. 이름이 같다고 해서 백도어에 빠져들지는 않습니다. Active Directory는 도메인과 컴퓨터를 별도의 권한 집합이 있는 별도의 로컬로 올바르게 인식합니다.
이름을 동일하게 설정하면 원하는 컨텍스트를 선택하기가 더 어려워집니다.
답변2
귀하의 의견에 대한 답변:
뭔가를 해결하려는 것이 아니라 도메인의 "HOUSE\JOHN" 비밀번호를 모르고 "HOUSE\JOHN"(도메인\사용자)의 사용자 이름을 스푸핑할 수 있는지 궁금했습니다. (PC 이름\사용자)
나는 당신이 공유에 액세스하는 것을 언급하고 있다고 가정합니다.
아니요, 컴퓨터 이름을 DOMAINNAME으로 지정하고 도메인 계정과 동일한 이름의 로컬 사용자 계정을 사용하는 경우 도메인 계정의 항목에 액세스할 수 없습니다.
리소스가 Kerberos를 사용하는 경우 Kerberos 티켓을 요청합니다. 승인된 워크스테이션에서 사용자의 비밀번호 해시로 암호화된 타임스탬프를 제공한 후 도메인 컨트롤러로부터 Kerberos 티켓을 받습니다. 도메인 컨트롤러는 비슷한 이름 때문에 로컬 계정에 Kerberos 티켓을 발급하도록 "속지" 않습니다. (지나치게 단순화한 것입니다. Kerberos에 대한 추가 정보가 있습니다.여기그리고여기.)
리소스가 NTLM을 사용하는 경우 현재 암호의 단방향 해시를 리소스로 보냅니다. (또한 단순화되었습니다. 더 보기여기.)
(Active Directory는 House 도메인에 있는 House라는 PC를 HOUSE\House로 간주합니다. 여기AD 명명 규칙에 대한 기사입니다.)