Domain

域管理員可以使用其使用者名登錄域機器,但在本地?

  • October 18, 2021

我的問題如下:

如果域管理員是每個本地管理員組的成員,這是否意味著域管理員使用者 - 比如說“測試”,可以通過(比如說 RDP)本地登錄到域機器,例如輸入 - “dom_machine\測試”?

另外,你為什麼看不到net user在域機器上執行所有域管理員呢?

我沒有測試環境來檢查它,所以我很樂意知道。

謝謝!

Tl;博士:

不,它不是那樣工作的。你好像混淆了一些東西!;)

更長的版本:

有權在域電腦上做某事和讓使用者在該電腦上本地創建是有區別的。

正常登錄時發生的情況是,加入域的電腦詢問域控制器使用者是否存在於該域中。如果您將域部分更改為本地電腦的名稱。它不再詢問域控制器,而是詢問本地電腦是否存在使用者。如果您沒有在該機器上創建相同的使用者。它不會讓你進入。所以這只是你在哪裡創建使用者的問題。

您希望在域控制器上創建使用者的原因是,與必須在每台電腦上單獨創建使用者相比,在域控制器上更易於管理。因為每次您需要更改該使用者的任何內容(例如密碼)時,您都必須訪問每台機器並在那裡進行更改。

當您嘗試以域使用者身份執行某些操作時,電腦會詢問域控制器(如果是本地使用者,則詢問本地電腦)使用者擁有什麼權限,以及域控制器中指定的權限是否與權限匹配這是執行任務所需的,它將繼續。否則它會告訴你你沒有權利去做你想做的事情。

因此,雖然域管理員可能在本地管理員組中(具有與本地管理員相同的權限),但與在本地電腦上創建帳戶不同。


**關於net user命令:**該命令獲取本地帳戶列表。而且由於它不會向域控制器詢問在那裡創建的使用者,因此它不會顯示這些使用者。(這是設計使然,因為這將是一個安全漏洞,讓域使用者了解在域中創建的所有使用者。)


我建議您閱讀有關域網路概念的更多資訊。我不知道你的設置是什麼樣的。但是我感覺您只在域控制器上創建了域管理員?如果是這種情況,那麼您將錯過域控制器帶來的許多功能!我建議您將使用者從本地電腦移動到域控制器!

引用自:https://serverfault.com/questions/1080879