Active Directory: Como o processo de logon do computador e o processo de logon do usuário são diferentes?

10

Acredito que seja correto dizer que usuários e computadores são tratados como iguais em relação ao Active Directory. Os usuários e computadores possuem senhas e os usuários e computadores são obrigados a fazer logon no domínio de forma independente.

Eu entendo que o serviço NetLogon, que é iniciado automaticamente, é responsável por registrar um computador no domínio na inicialização. Nesse momento, o NetLogon usa alguma lógica de localizador de controlador de domínio por meio de pesquisas de DNS para ajudá-lo a localizar um controlador de domínio .

Se o computador tiver feito logon no domínio antes e já souber a qual site pertence, ele poderá começar com uma consulta DNS específica do site para localizar um DC, voltando a um mais geral, se necessário.

Por favor corrija-me se estiver errado em qualquer uma das minhas suposições até agora.

Então, um usuário, ao fazer login em um computador, tem um processo de localização de DC separado quando ele faz logon em um computador? Ou o usuário usa o que o computador já criou quando se conectou? Seria possível que um computador e um usuário conectado àquele computador tivessem diferentes CDs de autenticação?

    
por Ryan Ries 20.09.2012 / 23:42

1 resposta

6

A autenticação do usuário para o AD é feita pelo computador, portanto, ele usará a idéia do estado do AD do computador para lidar com o processo de autenticação. Um bom exemplo disso é com o Sites.

  • Um usuário registrando interativamente em um computador no Site Z autenticará os controladores de domínio no Site Z (ou, na falta disso, o processo de identificação de fallback será seguido).
  • Se o mesmo usuário voa pelo país e faz login interativamente em um novo computador, no Site J, o usuário será autenticado em relação aos controladores de domínio no site J.

Pensando nisso de outra forma, um usuário herda a localidade da máquina na qual ele está fazendo login.

É possível que o usuário efetue login em um DC diferente daquele em que o computador efetuou login, especialmente se o site em que ele está contiver mais de um DC. É por isso que você precisa capturar os registros de segurança de todos os DCs em um site para ter uma ideia precisa de quem fez o login, onde.

    
por 20.09.2012 / 23:56