Active Directory: in che cosa differiscono il processo di accesso al computer e il processo di accesso dell'utente?

10

Credo che sia corretto affermare che utenti e computer sono trattati come entità uguali rispetto ad Active Directory. Sia gli utenti che i computer dispongono di password e sia gli utenti che i computer devono accedere al dominio in modo indipendente.

Comprendo che il servizio NetLogon, che si avvia automaticamente, è responsabile per l'accesso di un computer al dominio all'avvio. A quel tempo, NetLogon utilizza una logica di localizzazione del controller di dominio tramite ricerche DNS per aiutarlo a individuare un controller di dominio .

Se il computer aveva già effettuato l'accesso al dominio in precedenza e sa già a quale sito appartiene, può iniziare con una query DNS specifica del sito per individuare un controller di dominio, se necessario deve tornare a uno più generale.

Per favore, correggimi se mi sbaglio in una qualsiasi delle mie ipotesi finora.

Quindi un utente, quando accede a un computer, ha un processo di localizzazione DC separato quando accede a un computer? O l'utente usa qualunque cosa il computer abbia già creato quando ha effettuato l'accesso? Sarebbe possibile per un computer e un utente connessi a quel computer avere DC di autenticazione diversi?

active-directory 
Ryan Ries
fonte

Risposte:

6

L'autenticazione dell'utente su AD è gestita dal computer, quindi utilizzerà l'idea del computer dello stato AD per gestire il processo di autenticazione. Un buon esempio di questo è con Sites.

  • Un utente che accede in modo interattivo a un computer nel sito Z eseguirà l'autenticazione con i controller di dominio nel sito Z (o, in caso contrario, verrà seguito il processo di identificazione di fallback).
  • Se lo stesso utente vola in tutto il paese e accede in modo interattivo su un nuovo computer, nel sito J, l'utente verrà autenticato rispetto ai controller di dominio nel sito J.

Pensandolo in un altro modo, un utente eredita la località dalla macchina su cui sta effettuando l'accesso.

È possibile che l'utente acceda a un controller di dominio diverso da quello a cui il computer ha effettuato l'accesso, soprattutto se il sito in cui si trova contiene più controller di dominio. Questo è il motivo per cui devi acquisire i registri di sicurezza di tutti i controller di dominio in un sito per avere un'idea precisa di chi ha effettuato l'accesso a cosa, dove.

sysadmin1138
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.