題 為什麼要將計算機添加到Active Directory域?


我一直在玩Windows服務器和Active Directory很長一段時間。可以在AD中添加新用戶,然後將客戶端添加到域中。這將為用戶創建一個域帳戶。

我想知道在服務器管理器中將計算機添加到域的需要是什麼?為什麼將用戶添加到域中是不夠的?

我已經搜索了這個主題,但所有參考文獻都談到瞭如何,但我正在尋找原因?


2
2018-03-26 09:28


起源




答案:


您將計算機放入AD中的原因與將人員置於AD中的原因相同:管理和安全性。

您可以將用戶添加到域中,以便他們可以訪問不同的資源,還可以控制他們的訪問權限。計算機也是如此。正如你不允許的那樣 任何人 要登錄到域,您也不允許任何計算機訪問。

查看組策略,您將看到與計算機一樣多的管理標準。只需查看您擁有的控件,您就可以學到很多東西。


1
2018-03-26 13:19



如果計算機和用戶都有與之關聯的不同安全策略集,該怎麼辦?哪個優先 - Shurmajee
限制始終優先。 - Keltari


您將計算機加入域以進行集中管理。它使您可以使用其他Microsoft服務,例如組策略(使用每台計算機設置)和WSUS。此外,如果計算機加入域,則任何域用戶都可以在連接到網絡時登錄到該域。

組策略本身非常有用,因為您可以通過它輕鬆調整Windows計算機(或計算機組或所有計算機)上的每個設置。


1
2018-03-26 11:59



如果我將用戶添加到域中,那麼該域的其他用戶也可以通過該計算機登錄到該域,而無需真正添加該計算機 - Shurmajee


雖然集中安全性對管理很有用,但我給出的答案是它提供了一個通用的安全上下文。實際上,當計算機加入域時,可以訪問限制其權限的任何內容。如果計算機未加入域,則必須在每次訪問域資源時驗證安全上下文。這是因為默認情況下它不屬於Kerberos領域。這有一定程度的黑客攻擊,但是在共同的領域\域中提供的常見安全上下文似乎並不像你想要破解的東西。


0
2018-04-23 03:23