Tôi đã chơi xung quanh với máy chủ windows và thư mục Active khá lâu. Người ta có thể chỉ cần thêm một người dùng mới trong AD và sau đó thêm ứng dụng khách vào miền. điều này sẽ tạo một tài khoản miền cho người dùng.
Tôi tự hỏi cần thêm máy tính vào miền trong trình quản lý máy chủ là gì? Tại sao thêm người dùng vào miền là không đủ?
Tôi đã tìm kiếm về chủ đề này nhưng tất cả các tài liệu tham khảo nói về làm thế nào nhưng tôi đang tìm kiếm tại sao?
Câu trả lời:
Bạn đặt máy tính vào AD vì lý do tương tự bạn đặt người vào AD: Quản lý và bảo mật.
Bạn thêm người dùng vào miền của mình để cấp cho họ quyền truy cập vào các tài nguyên khác nhau, nhưng cũng để kiểm soát quyền truy cập của họ. Điều tương tự cũng xảy ra với máy tính. Giống như bạn không cho phép bất cứ ai đăng nhập vào miền, bạn cũng không cho phép bất kỳ máy tính nào truy cập.
Nhìn vào chính sách nhóm, bạn sẽ thấy nhiều tiêu chí quản lý cho máy tính như mọi người. Bạn có thể học được rất nhiều chỉ cần nhìn vào các điều khiển bạn có.
Bạn tham gia máy tính vào miền để quản lý tập trung. Nó cho phép bạn sử dụng các dịch vụ khác của Microsoft, như Chính sách nhóm (với mỗi cài đặt máy tính) và WSUS. Ngoài ra, nếu một máy tính được nối vào một tên miền, bất kỳ người dùng tên miền nào cũng có thể đăng nhập vào nó trong khi kết nối với mạng.
Chính sách nhóm cực kỳ hữu ích, vì bạn có thể điều chỉnh gần như mọi cài đặt trên máy tính Windows (hoặc nhóm máy tính hoặc tất cả máy tính của bạn) thông qua nó.
Mặc dù bảo mật tập trung là tốt cho quản lý, câu trả lời tôi sẽ đưa ra là nó cung cấp một bối cảnh bảo mật chung. Hiệu quả khi máy tính được nối với một miền, nó được phép truy cập bất cứ thứ gì nó cảm thấy bị giới hạn trong các quyền của nó. Nếu máy tính không được kết nối với tên miền, bạn phải xác minh bối cảnh bảo mật của mình mỗi lần bạn phải truy cập tài nguyên miền. Đây là kết quả của việc nó không phải là một phần của vương quốc Kerberos theo mặc định. Có một mức độ hack nhất định xung quanh vấn đề này, nhưng bối cảnh bảo mật phổ biến trong một lĩnh vực chung \ domain cung cấp dường như không giống như thứ gì đó bạn muốn hack xung quanh.