如果我有一個名為「HOUSE」且使用者為「JOHN」的網域,是否可以將本機使用者名為「JOHN」的 PC 重新命名為「HOUSE」?
所以兩者都是 HOUSE\JOHN。
編輯:我應該補充一下,PC位於域“HOUSE”上。
答案1
是的,它會讓您建立一個與網域同名的網域電腦物件。但是,預設上下文(在登入畫面上)將是網域登錄,而不是本機登錄,並且需要有效的網域憑證進行身份驗證。
如果您設法本機登入 PC,它不會授予您網域級存取權限。網域和電腦的名稱僅供您參考。帳戶由各種 id 進行內部引用。擁有相同的名字並不會讓你溜進後門。 Active Directory 正確地將網域和電腦識別為具有單獨權限集的不同本機電腦。
將名稱設為相同只會使選擇所需的上下文變得更加困難。
答案2
回覆您的評論:
我並不是想解決某些問題,我只是想知道是否可以在不知道網域的“HOUSE\JOHN”密碼的情況下欺騙“HOUSE\JOHN”(網域\使用者)的使用者名稱。 (電腦名稱\使用者)
我假設您指的是存取共享或其他內容。
不,如果您將電腦命名為 DOMAINNAME 並使用與網域帳戶同名的本機使用者帳戶,您將無法存取網域帳戶的內容。
如果資源使用 Kerberos,它將請求 Kerberos 票證。在提供使用來自核准的工作站的使用者密碼雜湊加密的時間戳記後,您可以從網域控制器取得 Kerberos 票證。網域控制器不會因為名稱相似而「愚弄」而向本機帳戶頒發 Kerberos 票證。 (這過於簡單化了;還有更多關於 Kerberos 的信息這裡和這裡.)
如果資源使用 NTLM,它將向資源發送當前密碼的單向雜湊。 (也是一種簡化;看更多這裡.)
(Active Directory 會將 House 網域中名為 House 的 PC 視為 HOUSE\House。 這裡是一篇關於 AD 命名約定的文章。