O contexto do usuário local da máquina conectada ao AD é uma conta de máquina de domínio ou de uma conta de máquina local?

Question

O contexto do usuário local da máquina conectada ao AD é uma conta de máquina de domínio ou de uma conta de máquina local?

#1 resposta do (9 votos)
#2 resposta do (2 votos)

1

Eu sou um desenvolvedor e curioso como as máquinas servidoras Windows são usadas.

A) Acredito que eles mostram a tela de login interativa, mas são executados sem que nenhum usuário tenha feito login.
Correto?

No contexto da definição de (* ) , sob a qual a conta inicializada do Windows AD é identificada / protegida pelo AD DC (Controlador de Domínio):

B) Conta de máquina local (Tabela 1 em (*) )
C) Conta de máquina de domínio (Tabela 2 em (*) )

Tela de login de exibição de máquina anexada ao AD, permitindo 2 logins básicos a seguir:

1) Conta de usuário local
2) Conta de usuário do domínio

Em qual contexto - B) ou C) - executa o seguinte após A), ou seja, após a tela de login, o usuário local logado adicional 1)?

Atualização 1:
Eu sei como a identificação, personificação e delegação de processos funcionam.

Esta questão é sobre quando uma máquina Windows é inicializada e mostra a tela de login interativa com opções.

1) Em que conta de máquina é inicializada antes de qualquer login de usuário (interativo)? quando mostra a tela de login?

2)
Bem, basicamente estou reescrevendo as perguntas originais.

Mas, depois de ler (*) , não consigo entender porque o "SID da máquina para o computador DEMOSYSTEM" (na Tabela 1) é necessário. Ele não é usado para acessar outra máquina antes de conectar a máquina ao AD, muito menos parece ser necessário depois (unir uma máquina ao AD).

Atualização 2:
Além disso, é difícil acreditar que a conta de usuário local da máquina antes de ingressar no domínio seja a mesma que após a união. O computador é identificado e o canal é protegido por DC, mesmo para a conta local do computador AD, mas não para o grupo de trabalho um.

Subquestões da pergunta:

Citado:

(*) Máquina do blog de Aaron Margosis SIDs e SIDs de Domínio

Pergunta relacionada:
- Grupo de trabalho do Windows LocalSystem vs. domain (AD) LocalSystem [closed]

windows active-directory user-accounts domain-controller windows-authentication

por Gennady Vanin Геннадий Ванин 23.08.2010 / 15:40

2 respostas

2

As contas locais funcionam exatamente da mesma maneira em computadores que fazem parte do domínio ou fazem parte de um grupo de trabalho. Eles não têm nada a ver com o domínio e não são "protegidos por um DC" ou qualquer outra parte do AD.

por 24.08.2010 / 17:50

Tags windows active-directory user-accounts domain-controller windows-authentication

Onde começar a aprender sobre Networking Raid Data Help

score 9 · Accepted Answer

Sua pergunta não é muito clara ... mas, como funciona, basicamente:

Cada processo executado em uma máquina Windows é executado no contexto de uma conta de usuário; isso pode ser uma das três contas de máquina (mais sobre isso depois), uma conta de usuário local ou uma conta de usuário de domínio.
Um processo pode ser iniciado por um usuário conectado ou por um serviço.
Um processo iniciado por um usuário conectado herda o contexto de segurança do usuário e pode interagir com a sessão do usuário (teclado / mouse / tela ou RDP).
Um serviço é um processo executado em segundo plano sem interação direta do usuário; pode ser iniciado automaticamente quando o sistema é iniciado. Um serviço também é executado no contexto de segurança de uma conta de usuário, assim como qualquer processo interativo; isso pode ser uma conta de usuário local ou de domínio ou uma conta do sistema. Um serviço não pode interagir diretamente com as sessões do usuário.
Um processo em execução no contexto de uma conta de usuário local só pode acessar recursos na máquina local (se permitido); ele não possui credenciais válidas para fazer logon em outros sistemas e pode se conectar a recursos de rede apenas fornecendo outro conjunto de credenciais, seja de uma conta de usuário de domínio ou de uma conta de usuário local no servidor remoto.
Um processo em execução no contexto de uma conta de usuário de domínio pode acessar recursos locais (se permitido) e recursos de rede (se permitido) em outros computadores associados ao domínio.
Um processo em execução no contexto do sistema pode usar uma das três contas do sistema: Local System , Local Service e Network Service . Estes são embutidos em todos os computadores Windows desde o XP / 2003 (antes apenas existia o Sistema Local).
Um processo em execução como Sistema Local tem privilégios totais no sistema; um processo em execução como Serviço local tem privilégios mais baixos (o mesmo que contas de usuário padrão) e não pode se conectar a recursos de rede; um processo em execução como Serviço de Rede tem os mesmos privilégios locais que o Serviço Local, mas pode acessar a rede.
Em qualquer caso, quando um processo em execução em um dos três contextos do sistema se conecta a um recurso de rede (portanto, isso só é verdadeiro para Sistema Local e Serviço de Rede, como Serviço Local não pode fazer isso), ele é autenticado sistema remoto usando a conta de máquina do computador no domínio.

Para resumir:

Se o processo for executado como uma conta de usuário local, ele não terá credenciais válidas de logon em sistemas remotos.
Se o processo for executado como uma conta de usuário de domínio, essa conta de usuário será usada para fazer logon em sistemas remotos.
Se o processo for executado como Sistema Local ou Serviço de Rede, ele efetuará logon em sistemas remotos usando a conta de computador do computador no domínio.

Atualização:

Não há uma única conta na qual "a máquina é inicializada". Quando você está na tela de logon, há muitas coisas sendo executadas no sistema: serviços básicos do sistema, os programas que realmente gerenciam a própria tela de logon e, possivelmente, muitos serviços de aplicativos, se o sistema for um servidor. Cada um desses processos pode ser executado em uma conta de usuário diferente. A maioria dos serviços do sistema, de qualquer forma, é executada usando uma das três contas do sistema (Sistema Local, Serviço Local, Serviço de Rede). Você pode ver em qual conta um serviço é executado como no Services MMC (e / ou no Gerenciador de Tarefas).

O SID da máquina, conforme declarado por esse artigo e muitos outros, não é realmente necessário ou usado para nada, além de ser um "prefixo" para os SIDs de contas de usuários locais (que, como tais, nunca são vistas nem referenciadas fora o próprio sistema); autenticação de rede em nome do sistema usa a conta de domínio do computador.