Windows

AD加入機器的本地使用者的上下文是域機器帳戶還是本地機器帳戶?

  • March 24, 2017

我是一名開發人員,很好奇如何使用 Windows 伺服器機器。

  • A)我相信他們會顯示互動式登錄螢幕,但在沒有任何使用者登錄的情況下執行。

正確的?

(*)定義的上下文中,啟動的 Windows AD 加入機器由 AD DC(域控制器)辨識/保護:

  • B) 本地機器賬號((*)中的表1 )
  • C) 域機賬號((*)中的表2 )

加入 AD 的機器顯示登錄螢幕,此後允許 2 次基本登錄:

    1. 本地使用者帳戶
    1. 域使用者帳號

在哪種情況下 - B) 或 C) - 在 A) 之後執行以下內容,即在登錄螢幕之後,進一步登錄的本地使用者 1)?

更新 1:

我知道流程的辨識、模擬和委派是如何工作的。

這個問題是關於 Windows 機器何時啟動並顯示帶有選項的互動式登錄螢幕。

1)在任何(互動式)使用者登錄之前,它在哪個機器帳戶下啟動?當它顯示登錄螢幕?

2)

嗯,基本上我正在重寫原來的問題。

但是,在閱讀(*)之後,我無法理解為什麼根本需要“電腦 DEMOSYSTEM 的機器 SID”(在表 1 中)。在將機器加入AD之前不用於訪問其他機器,更不用說在(將機器加入AD)之後似乎需要。

更新2:

此外,很難相信加入域之前機器的本地使用者帳戶與加入後相同。即使對於 AD 電腦的本地帳戶,但對於工作組一,電腦也被辨識並且通道由 DC 保護。

從這個問題派生的子問題:

引用:

相關問題:

-Windows工作組 LocalSystem 與域 (AD) LocalSystem$$ closed $$

你的問題沒有很清楚地說明……但是,它的基本工作原理如下:

  • 在 Windows 機器上執行的每個程序都在使用者帳戶的上下文中執行;這可以是三個機器帳戶之一(稍後會詳細介紹)、本地使用者帳戶或域使用者帳戶。
  • 程序可以由登錄使用者啟動,也可以作為服務啟動。
  • 由登錄使用者啟動的程序會繼承使用者的安全上下文,並且它可以與使用者的會話(鍵盤/滑鼠/螢幕或 RDP)進行互動。
  • 服務是在後台執行而無需直接使用者互動的程序;它可以在系統啟動時自動啟動。服務也執行在使用者帳戶的安全上下文中,就像任何互動式程序一樣;這可以是本地或域使用者帳戶,也可以是系統帳戶。服務不能直接與使用者會話互動。
  • 在本地使用者帳戶的上下文中執行的程序只能訪問本地機器上的資源(如果允許);它沒有登錄到其他系統的有效憑據,並且只能通過提供另一組憑據(域使用者帳戶或遠端伺服器上的本地使用者帳戶的憑據)來連接到網路資源。
  • 在域使用者帳戶的上下文中執行的程序可以訪問其他加入域的電腦上的本地資源(如果允許)和網路資源(如果允許)。
  • 在系統上下文中執行的程序可以使用三個系統帳戶之一Local SystemLocal ServiceNetwork Service。自 XP/2003 以來,這些都是內置於每台 Windows 電腦的(在此之前只有本地系統存在)。
  • 作為本地系統執行的程序對系統具有完全權限;作為本地服務執行的程序具有較低的權限(與標準使用者帳戶相同)並且無法連接到網路資源;作為網路服務執行的程序具有與本地服務相同的本地權限,但可以訪問網路。
  • 在任何一種情況下,當在三個系統上下文之一中執行的程序連接到網路資源時(因此這僅適用於本地系統和網路服務,因為本地服務無法做到這一點),它使用遠端系統進行身份驗證電腦在域中的電腦帳戶。

把它們加起來:

  • 如果該程序作為本地使用者帳戶執行,則它在遠端系統上沒有有效的登錄憑據。
  • 如果程序作為域使用者帳戶執行,則此使用者帳戶用於登錄遠端系統。
  • 如果程序作為本地系統或網路服務執行,它將使用域中電腦的電腦帳戶登錄到遠端系統。

更新:

沒有一個帳戶可以“啟動機器”。當您在登錄螢幕時,系統上執行著很多東西:基本系統服務、實際管理登錄螢幕本身的程序,如果系統是伺服器,可能還有大量應用程序服務。這些程序中的每一個都可以在不同的使用者帳戶下執行。無論如何,大多數係統服務都使用三個系統帳戶(本地系統、本地服務、網路服務)之一執行。Services您可以在MMC(和/或任務管理器)中查看服務執行的帳戶。

正如那篇文章和許多其他文章所述,機器 SID 實際上並不需要或用於任何事情,除了作為本地使用者帳戶的 SID 的“前綴”(因此,在系統本身之外從未見過或引用); 網路身份驗證代表系統使用電腦的域帳戶。

引用自:https://serverfault.com/questions/173550