当计算机加入 Active Directory 域时会发生什么？

Question

客户端加入 AD 域时会应用哪些更改？

域成员在与网络断开连接时应该如何表现？用户是否可以登录？离线时域用户策略是否仍然适用？

如果您知道提供对 Active Directory 的全面介绍的综合资源，请发布它们。

谢谢

Answer 1

当计算机加入 Windows 域时，会发生各种各样的事情。最重要的：

• 域中的用户帐户成为系统上的有效用户并可以登录（除非有限制）。
• 域管理员获得系统的管理权限。
• 计算机本身在域中获得一个帐户，并使用它来对其他计算机进行身份验证。
• 本地用户帐户保持活动状态，仍可用于登录系统；域中的任何其他计算机都无法识别它们。
• 计算机名称在域 DNS 中注册（如果它支持动态更新，它应该支持）。
• 在域中定义并针对计算机的组策略会影响系统。
• 在域中定义并针对用户的组策略会影响登录到计算机的任何域用户。

当计算机是域成员但无法连接到域控制器时，它无法验证用户凭据，因此任何域登录都会失败；例外是最后登录的用户，默认情况下会缓存并记住该用户，并且仍然可以成功登录。因此，如果最后登录的用户是 DOMAIN\UserA，则使用同一用户帐户断开连接的登录会成功，但使用 DOMAIN\UserB 登录将失败。（此行为可通过策略配置）。

即使在断开连接的情况下，组策略仍然适用。

Answer 2

您仍然可以登录的原因是因为您的帐户已缓存在计算机上。它实际上应该以这种方式工作。否则，如果没有本地帐户，您将永远无法在网络外使用笔记本电脑。这在企业中将是一场噩梦。

当您第一次登录域时，会配置有关您的帐户及其权限以及任何组策略对象 (GPO) 的大量信息。这就是为什么第一次登录需要这么长时间。

将计算机加入 AD 域会在域中为该计算机创建一个帐户。这允许计算机作为域中可控制、可配置、经过身份验证的个体存在。这意味着您可以对从桌面外观到 Windows 更新到 Windows 中可配置的任何内容到客户端的所有内容强制执行策略，并且它也可以相对于登录到客户端的用户进行更改。

这是微软关于登录如何与 2003 technet 关于登录的文章一起工作的文档

Answer 3

1. 客户端成为域计算机，而不是独立的工作组计算机
2. 由于组策略强加的设置，当您拔出网络电缆时，您仍然可以登录到工作站。此设置（Computer-Policies-Windows Settings-Local Policies-Security Options）称为Interactive Logon: Number of previous login to cache（如果域控制器不可用）会导致此行为，这是设计使然。
3. 当您拔下电缆时，如果用户使用先前登录到该工作站的域帐户登录，则计算机将恢复域控制器可用时的最后一组组策略。
4. Windows 中的缓存凭据安全性