加入 AD 的机器的本地用户的上下文是域机器帐户还是本地机器帐户？

Question

我是一名开发人员，很好奇如何使用 Windows 服务器机器。

• A）我相信它们显示交互式登录屏幕，但在没有任何用户登录的情况下运行。
  正确的？

在(*)定义的上下文中，在该帐户下启动的 Windows AD 加入机器由 AD DC（域控制器）识别/保护：

• B) 本地机器账户（(*) 中的表 1 ）
• C) 域机器帐户（(*) 中的表 2 ）

加入 AD 的机器显示登录屏幕，此后允许进行 2 次基本登录：

• 1) 本地用户帐户
• 2) 域用户帐号

在哪种情况下 - B) 或 C) - 在 A) 之后运行以下内容，即在登录屏幕之后，进一步登录的本地用户 1)？

更新 1：
我知道流程的识别、模拟和委托是如何工作的。

这个问题是关于何时启动 Windows 机器并显示带有选项的交互式登录屏幕。

1）在任何（交互式）用户登录之前，它是在哪个机器帐户下启动的？当它显示登录屏幕？

2）
好吧，基本上我正在重写原始问题。

但是，阅读(*) 后，我无法理解为什么根本需要“计算机演示系统的机器 SID”（在表 1 中）。在将机器加入 AD 之前，它不用于访问其他机器，更不用说（将机器加入 AD 之后）似乎需要它。

更新 2：
此外，很难相信加入域之前机器的本地用户帐户与加入后相同。即使对于 AD 计算机的本地帐户，但不是工作组 1，DC 已识别计算机并保护信道。

从这个问题派生的子问题：

• 工作组 Windows 用户（或组）可以使用域帐户吗？但反之亦然？
• Windows AD DC 中的域管理员与管理员

引用：

• (*) Aaron Margosis 的博客机器 SID 和域 SID

相关问题：
- Windows 工作组 LocalSystem 与域（AD）LocalSystem [关闭]

Answer 1

你的问题没有说得很清楚......但是，它的基本工作原理如下：

• 在 Windows 机器上运行的每个进程都在用户帐户的上下文中运行；这可以是三个机器帐户之一（稍后会详细介绍）、本地用户帐户或域用户帐户。
• 进程可以由登录用户启动，也可以作为服务启动。
• 由登录用户启动的进程继承用户的安全上下文，并且它可以与用户的会话（键盘/鼠标/屏幕或 RDP）交互。
• 服务是在后台运行而无需用户直接交互的进程；它可以在系统启动时自动启动。服务也像任何交互式进程一样在用户帐户的安全上下文中运行；这可以是本地或域用户帐户，或系统帐户。服务不能直接与用户会话交互。
• 在本地用户帐户上下文中运行的进程只能访问本地机器上的资源（如果允许）；它没有用于登录其他系统的有效凭据，并且只能通过提供另一组凭据（域用户帐户或远程服务器上的本地用户帐户的凭据）才能连接到网络资源。
• 在域用户帐户上下文中运行的进程可以访问其他加入域的计算机上的本地资源（如果允许）和网络资源（如果允许）。
• 在系统上下文中运行的进程可以使用三个系统帐户之一：Local System、Local Service和Network Service。自 XP/2003（在此之前仅存在本地系统）以来，这些内置于每台 Windows 计算机中。
• 作为本地系统运行的进程在系统上具有完全权限；作为本地服务运行的进程具有较低的权限（与标准用户帐户相同）并且无法连接到网络资源；作为网络服务运行的进程具有与本地服务相同的本地权限，但可以访问网络。
• 在任何一种情况下，当在三个系统上下文之一中运行的进程连接到网络资源时（因此这仅适用于本地系统和网络服务，因为本地服务不能这样做），它使用远程系统进行身份验证域中计算机的计算机帐户。

把它们加起来：

• 如果该进程作为本地用户帐户运行，则它在远程系统上没有有效的登录凭据。
• 如果进程作为域用户帐户运行，则该用户帐户用于登录远程系统。
• 如果该进程作为本地系统或网络服务运行，它将使用域中计算机的计算机帐户登录到远程系统。

更新：

没有一个帐户可以“启动机器”。当您在登录屏幕上时，系统上运行着很多东西：基本系统服务、实际管理登录屏幕本身的程序，如果系统是服务器，则可能还有大量应用程序服务。这些进程中的每一个都可以在不同的用户帐户下运行。无论如何，大多数系统服务都使用三个系统帐户之一（本地系统、本地服务、网络服务）运行。您可以查看服务在ServicesMMC（和/或任务管理器）中运行的帐户。

正如那篇文章和许多其他文章所述，机器 SID 实际上并不需要或用于任何事情，除了作为本地用户帐户的 SID 的“前缀”（因此，在系统本身之外从未看到或引用它们） ); 网络身份验证代表系统使用计算机的域帐户。