Bagaimana cara kerja domain Windows?

1

Saya melihat bahwa saya dapat membuat PC_A misalnya Windows Server 2008 sebagai pengontrol domain hanya dengan menjalankan dcpromoSetelah itu, saya dapat membuat pengguna misalnya George, yang merupakan pengguna dalam domain pengontrol misalnya DOMAIN_ABC.

Sekarang saya pergi ke PC_B lain dan jika saya mengubah server DNS (di properti) untuk " melihat " pengontrol domain yang saya buat, maka di PC itu saya bisa masuk sebagai DOMAIN_ABC / George walaupun tidak ada akun yang dibuat George di PC itu. .
Tapi saya tidak bisa mengerti cara kerjanya.

Maksud saya ketika saya menetapkan sebagai mesin server DNS PC_B menjadi PC_A maka PC_A juga merupakan pengontrol domain, maksud saya tidak hanya bertindak terkait dengan Nama <-> pemetaan IP? Dan kemudian ketika saya membuka PC_B dan ketik DOMAIN_ABC / George dan kata sandi dan tekan login, apa yang terjadi?
PC_B menghubungi PC_A dan melihatnya sebagai pengguna dan menerima login meskipun tidak ada akun di PC_B?

Bisakah seseorang menjelaskan konsep domain di Windows Machines?

windows windows-server-2008 windows-server-2003 windows-domain pengguna65971
sumber

Jawaban:

2

Untuk memulai, Anda melewatkan langkah besar dalam keseluruhan proses ini: Anda harus bergabung dengan PC ke domain, untuk masuk sebagai pengguna di domain. Anda juga melewatkan peran DNS dari pengontrol domain, secara umum pengontrol domain juga akan menjadi server DNS (bahkan DC cadangan Anda juga harus bertindak sebagai server DNS cadangan); namun ini adalah peran yang terpisah.

Saat Anda bergabung dengan PC ke domain, entri ditambahkan di Active Directory dan entri lain ditambahkan ke zona pencarian maju di server DNS (yang juga harus menjadi pengontrol domain Anda).

Jadi, sekarang DC Anda tahu bahwa PC-A adalah bagian dari domain A, dan bahwa PC-A dapat ditemukan di IP * xxxx, juga di PC-A nama lengkapnya sekarang adalah PCA.domainA.com. Pada titik ini, komputer ini diautentikasi untuk mengizinkan login dari akun domain. Jadi, ketika Anda masuk untuk pertama kalinya sebagai pengguna domain, DC akan memberi tahu PC untuk menambahkan pengguna itu ke komputer dalam kelompok tertentu yang berada di AD.

Jadi, jika saya memiliki akun pada AD yang merupakan Administrator Domain, saya akan ditambahkan ke grup Administrator Lokal pada PC-A, ketika saya masuk untuk pertama kalinya. Ini sebenarnya akan membuat akun lokal di PC untuk pengguna yang diautentikasi; lengkap dengan data aplikasi dan semua izin serta direktori lain yang akan diterima pengguna lokal.

Perlu diingat, ini adalah penjelasan yang sangat mendasar, dan hal-hal seperti Roaming Profiles dan Kebijakan Grup dapat memengaruhi cara semua ini ditangani.

Supercereal
sumber
@Kyle: Jadi pertama kali pengguna domain log ke PB_B DC dihubungi. Setelah itu, karena akun lokal dibuat, tidak perlu menghubungi DC.Apakah ini benar?
user65971
Tidak, itu masih akan mencari DC setiap kali dalam kasus perubahan akun atau kebijakan grup diubah. Namun jika dc tidak tersedia, ia akan masuk dengan kredensial yang di-cache.
Supercereal
@ user65971 Ingatlah bahwa salah satu alasan utama domain ada adalah untuk manajemen terpusat jika admin ingin mengubah kata sandi pengguna, komputer perlu berbicara dengan DC untuk mendapatkan informasi ini sehingga berupaya untuk mendapatkan DC setiap waktu. Tetapi pada saat yang sama memungkinkan pembuatan akun lokal yang akan men-cache kredensial sehingga pengguna dengan laptop atau pengguna di seluruh WAN yang cenderung memantul masih dapat masuk saat DC tidak tersedia.
Supercereal
@kyle: Saya buka Control Panel> Kelola Akun mesin PC_B dan satu-satunya pengguna adalah administrator lokal. Tidak ada akun George! Di mana menurut Anda akun lokal dibuat setelah login pertama kali ??
user65971
@kyle: Saya tidak terbiasa dengan hal ini. Jika saya login sebagai George, saya memang melihat akun George, tetapi bagaimana saya bisa melihat ini adalah hak istimewa? Jika saya login sebagai administrator lokal, saya tidak melihat George (saya berbicara tentang Control Panel>Manage Accounts) hanya admin lokal. Bisakah Anda membantu saya memahami hal ini? Selain itu, kapan saya harus melakukannya di command line create login [ABC\George] from windows, create user George for login [ABC\George]dll? Saya pikir ini telah dilakukan di PC_B tetapi tidak yakin mengapa
user65971
3

Jika mesin kedua milik domain, maka setiap pengguna di domain itu dapat masuk ke mesin apa pun di domain (terlepas dari izin tertentu).

Jadi pengontrol domain Anda, katakanlah adalah PC_A. Domain Anda adalah ABC. Jadi semua mesin di domain itu akan menjadi machine.domain, atau dalam kasus Anda PC_A.ABC,.

Mesin kedua PC_B,, jika ditambahkan ke domain, kemudian akan menjadi PC_B.ABC, dan kemudian setiap pengguna yang terdaftar dalam daftar pengguna Active Directory, akan dapat login ke PC_Aatau PC_B, karena domain mencakup kedua mesin.

Apakah itu masuk akal?


sumber
@ Randolph: Jadi PC_B memiliki 2 domain? Domain ABC dan domain thisPC lokal (atau )?
user65971
Hanya sedikit lebih cepat: P
Supercereal
Tidak, hanya ada satu domain ABC. Tetapi dua PC milik satu domain. Pikirkan itu seperti payung, atau bangunan. Segala sesuatu di bawah ini milik satu set aturan keamanan, yang disebut "Direktori Aktif". bahwa "AD" adalah domain Anda yang sebenarnya.
@Randolph: Tapi di PC_B jika saya klik tombol pengguna, saya melihat saya memiliki pilihan untuk login sebagai: ABC/George, ABC/Administratoratau WWSIIT0q12/Administratordi mana bagian terakhir (nama jelas seperti WWSIIT0q12) tampaknya menjadi nama PC lokal (saya pikir ini adalah apa yang saya dapatkan jika Saya lakukan hostnamedalam cmd). Jadi sepertinya saya bisa masuk sebagai administrator lokal (domain WWSIIT0q12) atau administrator domain ( ABC)
user65971
Ya, tidak ada yang menghentikan Anda dari masuk ke mesin lokal. Keuntungan untuk masuk ke domain, memberi Anda akses ke sumber daya bersama dari domain itu, termasuk file, printer, dll.