3

私はこの情報をどこにも見つけることができませんでした。また、自分で AD サーバーをセットアップして遊んでいる時間もありません。私は AD の専門家ではないので、用語の一部が間違っている場合はご容赦ください。

ユーザーが Windows (Windows 7 とします) マシンを AD 制御ドメインに参加させようとすると、実際にはどうなりますか? ADサーバーによってチェックされる権限とアカウントは何ですか? 私が調べたところ、特定のコンピューター名を持つ AD にコンピューター オブジェクトが存在するようです。また、現在のコンピューターがドメインにあり、ユーザーが名前を変更しようとすると、古いコンピューターがドメインから削除されるように見えますか? (わからない)。

ドメインに参加する過程で、「ドメインへの参加」がどこで失敗するかを突き止めたいと思っています。

つまり、ADはコンピューター名の存在を確認し、次にこれらのユーザー権限を確認し、次にこれらの属性を確認し、「コンピューターは指定された名前のドメインに参加することを許可されています」までチェックします。

私がオンラインで見つけた「ADドメインへの参加の問題」スレッドの数に基づいて、これは他の多くの人々にとって役立つと考えました。

4

2 に答える 2

1

これが、以前ドメインにあった古いコンピューター名にマップされていない新しいコンピューターであると仮定します...

大まかに言うと、ドメイン参加操作で資格情報を提供します。AD 側では、参加しているマシンのコンピューター名のコンピューター アカウントが存在するかどうかを確認しますが、このシナリオでは存在しません。そのため、先に進み、新しいものを作成します (結合操作のために提供された資格情報の一部でパーマとスロットリングの対象となります)。この時点で、コンピューター アカウントと DC はいくつかの操作を行って、キー プロパティを設定します (コンピューター アカウントのパスワードとも呼ばれるシークレット) と、参加しているマシンのローカル状態が操作されます... SID が記憶され、保存されたシークレットなど。最後に、再起動するように指示されます。

前の仮定が正しくなく、comp アカウントが既に存在する場合は、新しいアカウントを作成するのではなく、既存のコンピューター アカウントを再利用します。ただし、これにより、ドメイン参加の一部として必要なコンピューター アカウントに新しいシークレットを書き込むことができます (99% のケースでは、コンピューター アカウントを所有しているコンピューター アカウントにマップされます。許可)。

とにかく高いレベルで起こっていることです。:) さらに詳しく知りたい場合は、netlogon ログを有効にして参加し、ログを確認してください。さらに深く掘り下げたい場合は、非常に深い AD プロトコルのドキュメントを参照してください。

于 2012-11-06T16:33:37.343 に答える