我看到我可以做電腦_A例如 Windows Server 2008 網域控制站只需運行dcpromo之後,我可以建立一個使用者(例如 George),它是控制器網域(例如 DOMAIN_ABC)中的使用者。
現在我去另一個電腦_B如果我將 DNS 伺服器(在屬性中)更改為“看「我創建的網域控制器,然後在那台電腦中我可以以 DOMAIN_ABC/George 身份登錄,儘管在那台電腦中沒有創建帳戶 George。
但我無法理解這是如何工作的。
我的意思是,當我將 PC_B 的 DNS 伺服器電腦設定為 PC_A 時,那麼 PC_A 也是網域控制器,我的意思是不僅涉及名稱 <-> IP 映射?然後,當我打開 PC_B 並輸入 DOMAIN_ABC/George 和密碼並按登入時,會發生什麼?
PC_B 聯繫 PC_A,發現它是用戶並接受登錄,儘管 PC_B 中沒有帳戶?
有人可以解釋一下 Windows 機器中網域的概念嗎?
答案1
好吧,首先,您錯過了整個過程中的一個重要步驟:您需要將 PC 加入網域,以便以網域使用者的身分登入。您也錯過了網域控制器的 DNS 角色,一般來說,網域控制器也將成為 DNS 伺服器(甚至您的備份 DC 也應該充當備份 DNS 伺服器);然而,這些是不同的角色。
當您將 PC 加入網域時,一個項目將會新增至 Active Directory 中,另一個項目將會新增至 DNS 伺服器(也應該是您的網域控制站)上的正向尋找區域。
因此,現在您的 DC 知道 PC-A 是網域 A 的一部分,並且可以在 IP*xxxx 處找到 PC-A,而且在 PC-A 上,全名現在將為 PCA.domainA.com。此時,該電腦已通過身份驗證,允許從網域帳戶登入。因此,當您第一次以網域使用者身分登入時,DC會告訴PC將該使用者新增至該使用者在AD中所在的特定群組中的電腦。
因此,如果我在 AD 上有一個網域管理員帳戶,那麼當我第一次登入時,我將被新增到 PC-A 上的本機管理員群組。它實際上會在 PC 上為該經過身份驗證的使用者建立一個本機帳戶;包含應用程式資料以及本機使用者將收到的所有其他權限和目錄。
請記住,這是一個非常基本的解釋,漫遊設定檔和群組原則等內容可能會影響所有這些的處理方式。
答案2
如果第二台機器屬於到網域,那麼該網域上的任何使用者都可以登入該網域上的任何電腦(儘管有某些權限)。
所以你的網域控制器,可以說是PC_A。您的網域是ABC.因此,該網域上的所有電腦都將是machine.domain,或者在您的情況下是PC_A.ABC。
第二台計算機PC_B,如果新增到網域中,則將變為PC_B.ABC,然後在 Active Directory 使用者清單中註冊的任何使用者都將能夠登入PC_A或PC_B,因為網域涵蓋了兩台電腦。
那有意義嗎?