Điều gì xảy ra khi một máy tính tham gia miền Active Directory?

Những thay đổi nào được áp dụng cho máy khách khi nó tham gia vào miền AD?

Làm thế nào là một thành viên tên miền phải cư xử khi bị ngắt kết nối mạng? Người dùng có thể đăng nhập không? Chính sách người dùng tên miền vẫn sẽ áp dụng khi tắt mạng?

Nếu bạn biết về một tài nguyên toàn diện cung cấp phần giới thiệu toàn diện về Active Directory, vui lòng gửi chúng.

Cảm ơn

Lý do bạn vẫn có thể đăng nhập là vì tài khoản của bạn được lưu trữ trên máy tính. Đó là thực tế để làm việc theo cách đó. Nếu không, bạn sẽ không bao giờ có thể sử dụng máy tính xách tay ngoài mạng mà không có tài khoản cục bộ trên đó. Mà trong một doanh nghiệp sẽ là một cơn ác mộng.

Khi bạn đăng nhập vào miền lần đầu tiên, một loạt thông tin về tài khoản của bạn và đó là đặc quyền cùng với bất kỳ Đối tượng chính sách nhóm (GPO) nào được định cấu hình. Đó là lý do tại sao lần đăng nhập đầu tiên mất nhiều thời gian như vậy.

Tham gia máy tính vào miền AD sẽ tạo một tài khoản trong miền cho máy tính. Điều này cho phép máy tính tồn tại dưới dạng cá nhân có thể điều khiển, cấu hình, xác thực, trong miền. Điều này có nghĩa là bạn có thể buộc các chính sách về mọi thứ, từ giao diện máy tính để bàn đến các bản cập nhật Windows cho bất kỳ thứ gì có thể định cấu hình trong windows cho máy khách và nó cũng có thể được thay đổi so với người dùng đã đăng nhập vào máy khách.

Dưới đây là tài liệu của Microsoft về cách đăng nhập hoạt động với bài viết kỹ thuật 2003 về đăng nhập

Khi một máy tính được nối với một miền Windows, tất cả mọi thứ sẽ xảy ra. Những điều quan trọng nhất:

• Tài khoản người dùng trong miền trở thành người dùng hợp lệ trên hệ thống và có thể đăng nhập vào tài khoản đó (trừ khi áp dụng các hạn chế).
• Quản trị viên tên miền có được quyền quản trị trên hệ thống.
• Bản thân máy tính có một tài khoản trong miền và sử dụng nó để xác thực với các máy tính khác.
• Tài khoản người dùng cục bộ vẫn hoạt động và có thể được sử dụng để đăng nhập vào hệ thống; chúng không được công nhận bởi bất kỳ máy tính nào khác trong miền.
• Tên máy tính được đăng ký trong DNS tên miền (nếu nó hỗ trợ các cập nhật động, thì nó nên).
• Chính sách nhóm được xác định trong miền và nhắm mục tiêu đến máy tính ảnh hưởng đến hệ thống.
• Chính sách nhóm được xác định trong miền và nhắm mục tiêu đến người dùng ảnh hưởng đến bất kỳ người dùng miền nào đăng nhập vào máy tính.

Khi máy tính là thành viên của một tên miền nhưng không thể kết nối với bộ điều khiển miền, nó không thể xác thực thông tin đăng nhập của người dùng, do đó, bất kỳ đăng nhập tên miền nào cũng sẽ thất bại; ngoại lệ là lần đăng nhập cuối cùng của người dùng, theo mặc định được lưu vào bộ nhớ cache và ghi nhớ, và vẫn có thể đăng nhập thành công. Vì vậy, nếu người dùng đăng nhập lần cuối là DOMAIN \ UserA, đăng nhập bị ngắt kết nối với cùng một tài khoản người dùng sẽ thành công, nhưng đăng nhập với, giả sử, DOMAIN \ UserB sẽ thất bại. (Hành vi này có thể cấu hình thông qua chính sách).

Chính sách nhóm vẫn được áp dụng ngay cả trong một kịch bản bị ngắt kết nối.

1. Máy khách trở thành một máy tính miền, thay vì một trình biên dịch nhóm làm việc độc lập
2. Bạn vẫn có thể đăng nhập vào máy trạm khi bạn rút cáp mạng ra do cài đặt được áp đặt bởi Chính sách nhóm. Cài đặt này ( Chính sách máy tính-Cài đặt Windows-Tùy chọn bảo mật chính sách cục bộ ) được gọi là Đăng nhập tương tác: Số lần đăng nhập trước đó vào bộ đệm (trong trường hợp bộ điều khiển miền không khả dụng) gây ra hành vi này và do thiết kế.
3. Khi bạn rút cáp, nếu người dùng đăng nhập bằng tài khoản miền đã đăng nhập trước đó vào máy trạm đó, máy sẽ khôi phục bộ Chính sách nhóm cuối cùng có khi bộ điều khiển miền khả dụng.
4. Bảo mật thông tin lưu trữ trong Windows