Was passiert, wenn ein Computer einer Active Directory-Domäne beitritt?

Welche Änderungen werden auf einen Client angewendet, wenn dieser einer AD-Domäne beitritt?

Wie soll sich ein Domänenmitglied verhalten, wenn es nicht mit dem Netzwerk verbunden ist? Können sich Benutzer anmelden? Werden Domänenbenutzerrichtlinien auch außerhalb des Netzwerks angewendet?

Wenn Sie eine umfassende Ressource kennen, die eine umfassende Einführung in Active Directory bietet, veröffentlichen Sie diese bitte.

Vielen Dank

Der Grund, warum Sie sich immer noch anmelden können, ist, dass Ihr Konto auf dem Computer zwischengespeichert ist. Es soll tatsächlich so funktionieren. Andernfalls können Sie einen Laptop außerhalb des Netzwerks niemals ohne ein lokales Konto verwenden. Was in einem Unternehmen ein Albtraum wäre.

Wenn Sie sich zum ersten Mal bei der Domäne anmelden, werden eine Reihe von Informationen zu Ihrem Konto und seinen Berechtigungen sowie zu Gruppenrichtlinienobjekten (Group Policy Objects, GPOs) konfiguriert. Deshalb dauert die erste Anmeldung so lange.

Durch das Hinzufügen eines Computers zu einer AD-Domäne wird ein Konto in der Domäne für den Computer erstellt. Dies ermöglicht es dem Computer, als steuerbares, konfigurierbares, authentifiziertes Individuum in der Domäne zu existieren. Dies bedeutet, dass Sie Richtlinien für alle Bereiche erzwingen können, vom Desktop-Erscheinungsbild über Windows-Aktualisierungen bis hin zu allen in Windows konfigurierbaren Elementen, und dass diese auch in Bezug auf den am Client angemeldeten Benutzer geändert werden können.

Hier finden Sie die Microsoft-Dokumentation zur Funktionsweise der Anmeldung mit dem 2003 Technet-Artikel zur Anmeldung

Wenn ein Computer zu einer Windows-Domäne hinzugefügt wird, passieren alle möglichen Dinge. Die wichtigsten:

• Benutzerkonten in der Domäne werden zu gültigen Benutzern im System und können sich dort anmelden (sofern keine Einschränkungen gelten).
• Domänenadministratoren erwerben Administratorrechte auf dem System.
• Der Computer selbst erhält ein Konto in der Domäne und verwendet es, um sich bei anderen Computern zu authentifizieren.
• Lokale Benutzerkonten bleiben aktiv und können weiterhin zur Anmeldung am System verwendet werden. Sie werden von keinem anderen Computer in der Domäne erkannt.
• Der Computername wird im Domain-DNS registriert (sofern er dynamische Updates unterstützt, sollte er dies tun).
• Gruppenrichtlinien, die in der Domäne definiert sind und auf Computer ausgerichtet sind, wirken sich auf das System aus.
• Gruppenrichtlinien, die in der Domäne definiert sind und auf Benutzer ausgerichtet sind, wirken sich auf alle Domänenbenutzer aus, die sich am Computer anmelden.

Wenn der Computer Mitglied einer Domäne ist, aber keine Verbindung zu einem Domänencontroller herstellen kann, können die Benutzeranmeldeinformationen nicht überprüft werden, sodass die Domänenanmeldung fehlschlägt. Die Ausnahme ist der zuletzt angemeldete Benutzer, der standardmäßig zwischengespeichert und gespeichert ist und sich weiterhin erfolgreich anmelden kann. Wenn der zuletzt angemeldete Benutzer DOMÄNE \ BenutzerA war, ist eine getrennte Anmeldung mit demselben Benutzerkonto erfolgreich, eine Anmeldung mit beispielsweise DOMÄNE \ BenutzerB schlägt jedoch fehl. (Dieses Verhalten kann über eine Richtlinie konfiguriert werden.)

Gruppenrichtlinien bleiben auch in einem nicht verbundenen Szenario angewendet.

1. Der Client wird zu einem Domänencomputer und nicht zu einem eigenständigen Arbeitsgruppencomputer
2. Sie können sich weiterhin bei einer Arbeitsstation anmelden, wenn Sie das Netzwerkkabel aufgrund einer durch die Gruppenrichtlinie festgelegten Einstellung herausziehen. Diese Einstellung ( Computer-Richtlinien-Windows-Einstellungen-Lokale Richtlinien-Sicherheitsoptionen ) mit der Bezeichnung Interaktive Anmeldung: Anzahl der vorherigen Anmeldungen, die zwischengespeichert werden sollen (falls der Domänencontroller nicht verfügbar ist), verursacht dieses Verhalten und ist beabsichtigt .
3. Wenn Sie das Kabel abziehen und sich ein Benutzer mit einem Domänenkonto anmeldet, das zuvor bei dieser Arbeitsstation angemeldet war, stellt der Computer den letzten Satz von Gruppenrichtlinien wieder her, über den er verfügte, als der Domänencontroller verfügbar war.
4. Sicherheit zwischengespeicherter Anmeldeinformationen in Windows