Я увидел, что я могу сделатьПК_Анапример, Windows Server 2008, контроллер домена, просто запустив dcpromoПосле этого я могу создать пользователя, например, George, который является пользователем в домене контроллера, например, DOMAIN_ABC.
Теперь я иду к другомуПК_Би если я изменю DNS-сервер (в свойствах) на "видеть«контроллер домена, который я создал, затем на этом ПК я могу войти как DOMAIN_ABC/George, хотя на этом ПК не было учетной записи George.
Но я не могу понять, как это работает.
Я имею в виду, когда я устанавливаю в качестве DNS-сервера машины PC_B PC_A, то PC_A также является контроллером домена, я имею в виду не только действие, связанное с сопоставлением имени <-> IP? А затем, когда я открываю PC_B и ввожу DOMAIN_ABC/George и пароль и нажимаю войти, что происходит?
PC_B связывается с PC_A и видит, что это пользователь, и принимает вход, хотя на PC_B нет учетной записи?
Может ли кто-нибудь объяснить концепцию доменов в Windows Machines?
решение1
Ну, для начала, вы пропустили большой шаг во всем этом процессе: вам нужно присоединить ПК к домену, чтобы войти в качестве пользователя домена. Вы также пропустили роль DNS контроллера домена, вообще говоря, контроллер домена также будет DNS-сервером (даже ваш резервный DC также должен выступать в качестве резервного DNS-сервера); однако это отдельные роли.
При присоединении ПК к домену добавляется запись в Active Directory, а другая запись добавляется в зону прямого просмотра на DNS-сервере (который также должен быть вашим контроллером домена).
Итак, теперь ваш DC знает, что PC-A является частью домена A, и что PC-A можно найти по адресу IP*xxxx, также на PC-A полное имя теперь будет PCA.domainA.com. На этом этапе этот компьютер аутентифицирован, чтобы разрешить входы с учетных записей домена. Итак, когда вы входите в систему в первый раз как пользователь домена, DC скажет ПК добавить этого пользователя на компьютер в определенной группе, в которой пользователь находится в AD.
Итак, если у меня есть учетная запись в AD, которая является администратором домена, я буду добавлен в группу локальных администраторов на ПК-А, когда я войду в систему в первый раз. Фактически, это создаст локальную учетную запись на ПК для этого аутентифицированного пользователя; полную с данными приложений и всеми другими разрешениями и каталогами, которые получит локальный пользователь.
Помните, что это очень простое объяснение, и на то, как все это обрабатывается, могут влиять такие вещи, как перемещаемые профили и групповая политика.
решение2
Если вторая машинапринадлежитв домен, то любой пользователь этого домена сможет войти в любую машину в домене (несмотря на определенные разрешения).
Итак, ваш контроллер домена, скажем PC_A, . Ваш домен — ABC. Таким образом, все машины в этом домене будут machine.domain, или, в вашем случае, PC_A.ABC.
Вторая машина, PC_B, если она добавлена в домен, станет PC_B.ABC, и тогда любые пользователи, зарегистрированные в списке пользователей Active Directory, смогут войти в PC_Aили PC_B, поскольку домен охватывает обе машины.
Имеет ли это смысл?