Warum Computer zur Active Directory-Domäne hinzufügen?

2

Ich habe eine ganze Weile mit Windows Server und Active Directory rumgespielt. Man kann einfach einen neuen Benutzer in AD hinzufügen und dann den Client zur Domäne hinzufügen. Dadurch wird ein Domänenkonto für den Benutzer erstellt.

Ich frage mich, wozu der Domäne im Server-Manager Computer hinzugefügt werden müssen. Warum reicht es nicht aus, der Domain einen Benutzer hinzuzufügen?

Ich habe zu diesem Thema gesucht, aber alle Referenzen sprechen darüber, wie es geht, aber ich suche nach dem Warum?

windows windows-server-2008 active-directory Shurmajee
quelle

Antworten:

1

Sie versetzen Computer aus demselben Grund in AD wie Benutzer: Verwaltung und Sicherheit.

Sie fügen Ihrer Domain Benutzer hinzu, um ihnen Zugriff auf verschiedene Ressourcen zu gewähren, aber auch, um deren Zugriff zu steuern. Dasselbe gilt für Computer. Genau so, wie du es nicht zulässt jemand Um sich in der Domain anzumelden, erlauben Sie auch keinem Computer Zugriff.

Wenn Sie sich die Gruppenrichtlinien ansehen, sehen Sie genau so viele Verwaltungskriterien für Computer wie für Personen. Sie können viel lernen, wenn Sie nur die Steuerelemente betrachten, die Sie haben.

Keltari
quelle
Was ist, wenn dem Computer und dem Benutzer unterschiedliche Sicherheitsrichtlinien zugeordnet sind? Welcher von ihnen hat Priorität?
Shurmajee
Einschränkungen haben immer Vorrang.
Keltari
1

Sie fügen der Domäne Computer für die zentrale Verwaltung hinzu. Hiermit können Sie andere Microsoft-Dienste wie Gruppenrichtlinien (mit Einstellungen pro Computer) und WSUS verwenden. Wenn ein Computer einer Domäne angehört, kann sich jeder Domänenbenutzer anmelden, während er mit dem Netzwerk verbunden ist.

Gruppenrichtlinien sind für sich genommen äußerst nützlich, da Sie nahezu alle Einstellungen auf einem Windows-Computer (oder einer Gruppe von Computern oder allen Ihren Computern) über diese Richtlinie anpassen können.

Crimius
quelle
1
Wenn ich einen Benutzer zu einer Domäne hinzufüge, kann sich auch ein anderer Benutzer der Domäne über diesen Computer bei der Domäne anmelden, ohne diesen Computer wirklich hinzuzufügen
Shurmajee
0

Während zentralisierte Sicherheit für das Management hilfreich ist, ist die Antwort, die ich geben würde, dass sie einen gemeinsamen Sicherheitskontext bietet. Tatsächlich kann der Computer, wenn er einer Domäne angehört, auf alles zugreifen, was er für beschränkt hält. Wenn der Computer nicht zur Domäne gehört, müssen Sie den Sicherheitskontext jedes Mal überprüfen, wenn Sie auf eine Domänenressource zugreifen müssen. Dies ist darauf zurückzuführen, dass es standardmäßig nicht Teil des Kerberos-Bereichs ist. Es gibt ein gewisses Maß an Hacks, aber der allgemeine Sicherheitskontext, der in einem gemeinsamen Bereich \ Domäne bereitgestellt wird, scheint nicht etwas zu sein, um das Sie herumhacken möchten.

an idiot sometimes
quelle