Active Directory: ¿Cómo difieren el proceso de inicio de sesión de la computadora y el proceso de inicio de sesión del usuario?

10

Creo que es correcto decir que los usuarios y las computadoras son tratados como principales iguales con respecto a Active Directory. Tanto los usuarios como las computadoras tienen contraseñas, y tanto los usuarios como las computadoras deben iniciar sesión en el dominio de forma independiente.

Entiendo que el servicio NetLogon, que se inicia automáticamente, es responsable de iniciar una computadora en el dominio al inicio. En ese momento, NetLogon utiliza alguna lógica de localización de controlador de dominio a través de búsquedas de DNS para ayudarlo a localizar un controlador de dominio .

Si la computadora había iniciado sesión en el dominio anteriormente y ya sabe a qué sitio pertenece, puede comenzar con una consulta DNS específica del sitio para ubicar un DC, fallando de nuevo a uno más general si es necesario.

Corríjame si me equivoco en alguna de mis suposiciones hasta ahora.

Entonces, ¿un usuario, cuando inicia sesión en una computadora, tiene un proceso de localización de CC separado cuando inicia sesión en una computadora? ¿O el usuario usa lo que la computadora ya se le ocurrió cuando inició sesión? ¿Sería posible para una computadora y un usuario conectado a esa computadora tener diferentes DC de autenticación?

Ryan Ries
fuente

Respuestas:

6

La computadora maneja la autenticación de usuario a AD, por lo que utilizará la idea de la computadora del estado de AD para manejar el proceso de autenticación. Un buen ejemplo de esto es con los Sitios.

  • Un usuario que inicie sesión de forma interactiva en una computadora en el Sitio Z se autenticará con los Controladores de dominio en el Sitio Z (o, en su defecto, se seguirá el proceso de identificación alternativa).
  • Si el mismo usuario vuela por todo el país e inicia sesión de forma interactiva en una computadora nueva, en el Sitio J, el usuario se autenticará en los Controladores de dominio en el Sitio J.

Pensando de otra manera, un usuario hereda la localidad de la máquina en la que está iniciando sesión.

Es posible que el usuario inicie sesión en un DC diferente al que inició la computadora, especialmente si el sitio en el que se encuentra tiene más de un DC. Es por eso que debe capturar los registros de seguridad de todos los DC en un sitio para tener una idea precisa de quién inició sesión en qué y dónde.

sysadmin1138
fuente