Eu vi que posso fazerPC_Apor exemplo, Windows Server 2008, um controlador de domínio simplesmente executando. dcpromoDepois disso, posso criar um usuário, por exemplo, George, que é um usuário no domínio do controlador, por exemplo, DOMAIN_ABC.
Agora eu vou para outroPC_Be se eu mudar o servidor DNS (nas propriedades) para "ver"o controlador de domínio que criei, então naquele PC posso fazer login como DOMAIN_ABC/George embora não houvesse nenhuma conta que George criou naquele PC.
Mas não consigo entender como isso funciona.
Quero dizer, quando eu defino como a máquina do servidor DNS de PC_B como PC_A, então PC_A também é o controlador de domínio, quero dizer, não apenas agindo em relação ao mapeamento de Nome <-> IP? E então quando eu abro PC_B e digito DOMAIN_ABC/George e senha e pressiono login, o que acontece?
PC_B contata PC_A e vê que é um usuário e aceita login embora não haja conta em PC_B?
Alguém poderia explicar o conceito de domínios em máquinas Windows?
Responder1
Bem, para começar, você perdeu um grande passo em todo esse processo: você precisa associar o PC ao domínio, para poder fazer login como usuário no domínio. Você também perdeu a função DNS do controlador de domínio; de modo geral, um controlador de domínio também será um servidor DNS (até mesmo seu controlador de domínio de backup também deve atuar como um servidor DNS de backup); no entanto, essas são funções separadas.
Quando você ingressa um PC no domínio, uma entrada é adicionada no Active Directory e outra entrada é adicionada à zona de pesquisa direta no servidor DNS (que também deve ser seu controlador de domínio).
Então, agora seu DC sabe que PC-A faz parte do domínio A, e que PC-A pode ser encontrado em IP*xxxx, também no PC-A o nome completo agora será PCA.domainA.com. Neste ponto, este computador está autenticado para permitir logins de contas de domínio. Portanto, quando você fizer login pela primeira vez como usuário de domínio, o DC dirá ao PC para adicionar esse usuário ao computador no grupo específico em que o usuário reside no AD.
Portanto, se eu tiver uma conta no AD que seja Administrador de Domínio, serei adicionado ao grupo Administradores Locais no PC-A, quando fizer login pela primeira vez. Na verdade, ele criará uma conta local no PC para esse usuário autenticado; completo com dados do aplicativo e todas as outras permissões e diretórios que um usuário local receberia.
Tenha em mente que esta é uma explicação muito básica, e coisas como Perfis de Roaming e Política de Grupo podem afetar a forma como tudo isso é tratado.
Responder2
Se a segunda máquinapertenceao domínio, qualquer usuário nesse domínio poderá fazer login em qualquer máquina do domínio (não obstante certas permissões).
Então, seu controlador de domínio, digamos, é PC_A. Seu domínio é ABC. Portanto, todas as máquinas nesse domínio serão machine.domain, ou no seu caso, PC_A.ABC.
A segunda máquina, PC_B, se for adicionada ao domínio, se tornará PC_B.ABC, e então qualquer usuário registrado na lista de usuários do Active Directory poderá fazer login em PC_Aou PC_B, porque o domínio abrange ambas as máquinas.
Isso faz sentido?