Cosa succede quando un computer si unisce a un dominio di Active Directory?

Quali modifiche vengono applicate a un client quando si unisce a un dominio AD?

Come dovrebbe comportarsi un membro del dominio quando è disconnesso dalla rete? Gli utenti sono in grado di accedere? I criteri per gli utenti del dominio verranno comunque applicati anche quando non si è in rete?

Se conosci una risorsa completa che fornisce un'introduzione completa ad Active Directory, pubblicale.

Grazie

Il motivo per cui puoi ancora accedere è perché il tuo account è memorizzato nella cache del computer. Si suppone infatti che funzioni in questo modo. Altrimenti non saresti mai in grado di usare un laptop fuori dalla rete senza avere un account locale su di esso. Che in un'impresa sarebbe un incubo.

Quando si accede al dominio per la prima volta, vengono configurate molte informazioni sul proprio account e sui relativi privilegi insieme a qualsiasi oggetto Criteri di gruppo (GPO). Ecco perché il primo accesso richiede così tanto tempo.

Unire un computer a un dominio AD crea un account nel dominio per il computer. Ciò consente al computer di esistere come individuo controllabile, configurabile, autenticato, nel dominio. Ciò significa che puoi forzare le politiche su tutto, dall'aspetto del desktop agli aggiornamenti di Windows a qualsiasi cosa configurabile in Windows al client, e può essere modificato anche in relazione all'utente che ha effettuato l'accesso al client.

Ecco la documentazione di Microsoft su come funziona l'accesso con l' articolo technet 2003 sull'accesso

Quando un computer viene unito a un dominio Windows, succedono ogni sorta di cose. I più importanti:

• Gli account utente nel dominio diventano utenti validi sul sistema e possono accedere ad esso (a meno che non vengano applicate restrizioni).
• Gli amministratori di dominio acquisiscono i diritti amministrativi sul sistema.
• Il computer stesso ottiene un account nel dominio e lo utilizza per l'autenticazione con altri computer.
• Gli account utente locali rimangono attivi e possono essere utilizzati per accedere al sistema; non sono riconosciuti da nessun altro computer nel dominio.
• Il nome del computer viene registrato nel dominio DNS (se supporta gli aggiornamenti dinamici, che dovrebbe).
• I criteri di gruppo definiti nel dominio e indirizzati ai computer influiscono sul sistema.
• I criteri di gruppo definiti nel dominio e indirizzati agli utenti incidono su qualsiasi utente del dominio che accede al computer.

Quando il computer è membro di un dominio ma non è in grado di connettersi a un controller di dominio, non è in grado di convalidare le credenziali dell'utente, pertanto qualsiasi accesso al dominio avrà esito negativo; l'eccezione è l'ultimo utente connesso, che per impostazione predefinita è memorizzato nella cache e ricordato, e può comunque accedere correttamente. Pertanto, se l'ultimo utente che ha effettuato l'accesso è stato DOMAIN \ UserA, un accesso disconnesso con lo stesso account utente avrà esito positivo, ma un accesso con, diciamo, DOMAIN \ UserB avrà esito negativo. (Questo comportamento è configurabile tramite criterio).

I criteri di gruppo rimangono applicati anche in uno scenario disconnesso.

1. Il client diventa un computer di dominio, piuttosto che un computer autonomo per gruppi di lavoro
2. È comunque possibile accedere a una workstation quando si estrae il cavo di rete a causa di un'impostazione imposta da Criteri di gruppo. Questa impostazione ( Computer-Politiche-Impostazioni di Windows-Politiche locali-Opzioni di sicurezza ) denominata Accesso interattivo: numero di accessi precedenti da memorizzare nella cache (nel caso in cui il controller di dominio non sia disponibile) causa questo comportamento ed è in base alla progettazione.
3. Quando si scollega il cavo, se un utente accede con un account di dominio che ha precedentemente effettuato l'accesso a quella workstation, la macchina ripristinerà l'ultimo set di criteri di gruppo che aveva quando il controller di dominio era disponibile.
4. Sicurezza delle credenziali memorizzata nella cache in Windows