Active Directory: Wie unterscheiden sich der Computeranmeldevorgang und der Benutzeranmeldevorgang?

10

Ich halte es für richtig zu sagen, dass Benutzer und Computer in Bezug auf Active Directory als gleichberechtigte Prinzipien behandelt werden. Sowohl Benutzer als auch Computer haben Kennwörter, und sowohl Benutzer als auch Computer müssen sich unabhängig voneinander bei der Domäne anmelden.

Ich verstehe, dass der NetLogon-Dienst, der automatisch gestartet wird, für die Anmeldung eines Computers bei der Domäne beim Start verantwortlich ist. Zu diesem Zeitpunkt verwendet NetLogon eine Domänencontroller-Locator-Logik über DNS-Lookups, um einen Domänencontroller zu finden .

Wenn sich der Computer zuvor bei der Domäne angemeldet hat und bereits weiß, zu welcher Site er gehört, kann er mit einer standortspezifischen DNS-Abfrage zum Auffinden eines Domänencontrollers beginnen und gegebenenfalls zu einer allgemeineren Abfrage zurückkehren.

Bitte korrigieren Sie mich, wenn ich in einer meiner bisherigen Annahmen falsch liege.

Hat ein Benutzer beim Anmelden an einem Computer einen separaten DC-Locator-Prozess, wenn er sich an einem Computer anmeldet? Oder verwendet der Benutzer das, was der Computer bereits bei der Anmeldung gefunden hat? Wäre es möglich, dass ein Computer und ein an diesem Computer angemeldeter Benutzer unterschiedliche Authentifizierungs-DCs haben?

Ryan Ries
quelle

Antworten:

6

Die Benutzerauthentifizierung bei AD wird vom Computer verarbeitet, sodass der Authentifizierungsprozess anhand der Idee des Computers zum AD-Status ausgeführt wird. Ein gutes Beispiel hierfür sind Websites.

  • Ein Benutzer, der sich interaktiv bei einem Computer in Site Z anmeldet, authentifiziert sich bei den Domänencontrollern in Site Z (andernfalls wird der Fallback-Identifizierungsprozess befolgt).
  • Wenn derselbe Benutzer im ganzen Land fliegt und sich interaktiv an einem neuen Computer an Standort J anmeldet, wird der Benutzer gegenüber den Domänencontrollern an Standort J authentifiziert.

Anders ausgedrückt: Ein Benutzer erbt die Lokalität von dem Computer, auf dem er sich anmeldet.

Der Benutzer kann sich bei einem anderen Domänencontroller als dem anmelden, bei dem sich der Computer angemeldet hat, insbesondere wenn auf der Site, auf der er sich befindet, mehr als ein Domänencontroller vorhanden ist. Aus diesem Grund müssen Sie die Sicherheitsprotokolle aller Domänencontroller auf einer Site erfassen, um eine genaue Vorstellung davon zu erhalten, wer sich wo wo angemeldet hat.

sysadmin1138
quelle