Bir bilgisayar bir Active Directory etki alanına katıldığında ne olur?

Bir istemciye bir AD etki alanına katıldığında hangi değişiklikler uygulanır?

Bir etki alanı üyesinin ağ bağlantısı kesildiğinde nasıl davranması gerekir? Kullanıcılar giriş yapabilir mi? Alan adı kullanıcı politikaları ağ dışındayken de geçerli olacak mı?

Active Directory'ye kapsamlı bir giriş sağlayan kapsamlı bir kaynak biliyorsanız, lütfen bunları gönderin.

Teşekkürler

Hala giriş yapabilmenizin nedeni, hesabınızın bilgisayarda önbelleğe alınmış olmasıdır. Aslında bu şekilde çalışması gerekiyordu. Aksi takdirde, üzerinde yerel bir hesap olmadan hiçbir zaman ağ dışında bir dizüstü bilgisayar kullanamazsınız. Hangi bir kuruluşta bir kabus olurdu.

Etki alanına ilk kez giriş yaptığınızda, hesabınız ve bu grupların ayrıcalıkları ile birlikte Grup İlkesi Nesneleri (GPO'lar) yapılandırılır. Bu yüzden ilk giriş çok uzun sürüyor.

Bir bilgisayarı bir AD etki alanına katmak, bilgisayarın etki alanında bir hesap oluşturur. Bu, bilgisayarın etki alanında denetlenebilir, yapılandırılabilir, kimliği doğrulanmış, bireysel olarak var olmasını sağlar. Bu, masaüstü görünümden Windows güncellemelerine, Windows'da istemciye yapılandırılabilen her şeye kadar her şeyi politikalara zorlayabileceğiniz anlamına gelir ve istemcide oturum açan kullanıcıya göre de değiştirilebilir.

Microsoft'un oturum açma ile ilgili 2003 technet makalesi ile nasıl çalıştığı hakkındaki belgeleri

Bir bilgisayar bir Windows etki alanına katıldığında, her şey olur. En önemlileri:

• Etki alanındaki kullanıcı hesapları sistemde geçerli kullanıcılar haline gelir ve sistemde oturum açabilir (kısıtlamalar uygulanmadığı sürece).
• Alan adı yöneticileri sistem üzerinde yönetici haklarına sahiptir.
• Bilgisayarın kendisi etki alanında bir hesap alır ve bunu diğer bilgisayarlara karşı kimlik doğrulaması yapmak için kullanır.
• Yerel kullanıcı hesapları etkin kalır ve sistemde oturum açmak için kullanılabilir; etki alanındaki başka bir bilgisayar tarafından tanınmazlar.
• Bilgisayar adı etki alanı DNS'sine kaydedilir (dinamik güncelleştirmeleri destekliyorsa, olması gerekir).
• Etki alanında tanımlanan ve bilgisayarları hedefleyen Grup İlkeleri sistemi etkiler.
• Etki alanında tanımlanan ve kullanıcıları hedefleyen grup ilkeleri, bilgisayarda oturum açan tüm etki alanı kullanıcılarını etkiler.

Bilgisayar bir etki alanının üyesiyse ancak etki alanı denetleyicisine bağlanamıyorsa, kullanıcı kimlik bilgilerini doğrulayamaz, bu nedenle etki alanı oturum açma işlemi başarısız olur; istisna, varsayılan olarak önbelleğe alınan ve hatırlanan ve yine de başarıyla oturum açabilen son oturum açan kullanıcıdır. Bu nedenle, son oturum açan kullanıcı DOMAIN \ UserA ise, aynı kullanıcı hesabıyla bağlantısı kesilmiş bir oturum açma başarılı olur, ancak örneğin DOMAIN \ UserB ile oturum açma başarısız olur. (Bu davranış ilke ile yapılandırılabilir).

Grup İlkeleri bağlantısı kesilmiş bir senaryoda bile uygulanmaya devam eder.

1. İstemci, bağımsız bir çalışma grubu hesaplayıcısı yerine etki alanı bilgisayarı olur
2. Grup İlkesi tarafından uygulanan bir ayar nedeniyle ağ kablosunu çıkardığınızda yine de bir iş istasyonuna giriş yapabilirsiniz. Etkileşimli Oturum Açma adı verilen bu ayar ( Bilgisayar-İlkeleri-Windows Ayarları-Yerel İlkeler-Güvenlik Seçenekleri ) : Önbelleğe alınacak önceki oturum açma sayısı (etki alanı denetleyicisi kullanılamıyorsa) bu davranışa neden olur ve tasarım gereğidir.
3. Kabloyu çıkardığınızda, kullanıcı daha önce bu iş istasyonuna giriş yapmış bir etki alanı hesabıyla oturum açarsa, makine etki alanı denetleyicisi kullanılabilir olduğunda sahip olduğu son Grup İlkesi kümesini geri yükler.
4. Windows'da önbelleğe alınmış kimlik bilgileri güvenliği