컴퓨터가 Active Directory 도메인에 가입하면 어떻게됩니까?

클라이언트가 AD 도메인에 가입 할 때 어떤 변경 사항이 클라이언트에 적용됩니까?

네트워크 연결이 끊어졌을 때 도메인 구성원은 어떻게 행동해야합니까? 사용자가 로그인 할 수 있습니까? 네트워크 외부에서도 도메인 사용자 정책이 계속 적용됩니까?

Active Directory에 대한 포괄적 인 소개를 제공하는 포괄적 인 리소스를 알고 있다면 게시하십시오.

감사

여전히 로그인 할 수있는 이유는 계정이 컴퓨터에 캐시되어 있기 때문입니다. 실제로 그런 식으로 작동해야합니다. 그렇지 않으면 로컬 계정이 없어도 네트워크 외부에서 랩톱을 사용할 수 없습니다. 기업에서 악몽이 될 것입니다.

도메인에 처음 로그인하면 계정 및 그룹 권한과 그룹 정책 개체 (GPO)에 대한 많은 정보가 구성됩니다. 첫 로그인 시간이 오래 걸리는 이유입니다.

컴퓨터를 AD 도메인에 가입 시키면 컴퓨터의 도메인에 계정이 생성됩니다. 이를 통해 컴퓨터는 도메인에서 제어 가능하고 구성 가능하며 인증 된 개인으로 존재할 수 있습니다. 즉, 데스크톱 모양에서 Windows 업데이트, Windows에서 구성 가능한 항목, 클라이언트에 이르기까지 모든 것에 대한 정책을 강제 할 수 있으며 클라이언트에 로그인 한 사용자에 따라 변경 될 수 있습니다.

다음은 로그인과 관련하여 2003 technet에서 로그인이 작동하는 방법에 대한 Microsoft의 문서입니다.

컴퓨터가 Windows 도메인에 가입되면 모든 종류의 일이 발생합니다. 가장 중요한 것들 :

• 도메인의 사용자 계정은 시스템에서 유효한 사용자가되며 로그온 할 수 있습니다 (제한 사항이없는 한).
• 도메인 관리자는 시스템에 대한 관리 권한을 얻습니다.
• 컴퓨터 자체는 도메인의 계정을 가져 와서이를 사용하여 다른 컴퓨터에 대해 인증합니다.
• 로컬 사용자 계정은 활성 상태로 유지되며 여전히 시스템에 로그온하는 데 사용될 수 있습니다. 도메인의 다른 컴퓨터에서는 인식되지 않습니다.
• 컴퓨터 이름이 도메인 DNS에 등록됩니다 (동적 업데이트를 지원하는 경우).
• 도메인에 정의되어 있고 컴퓨터를 대상으로하는 그룹 정책은 시스템에 영향을줍니다.
• 도메인에 정의되어 있고 사용자를 대상으로하는 그룹 정책은 컴퓨터에 로그온 한 모든 도메인 사용자에게 영향을줍니다.

컴퓨터가 도메인의 구성원이지만 도메인 컨트롤러에 연결할 수없는 경우 사용자 자격 증명의 유효성을 검사 할 수 없으므로 도메인 로그온이 실패합니다. 마지막으로 로그온 한 사용자는 예외이며, 기본적으로 캐시되고 기억되며 여전히 성공적으로 로그온 할 수 있습니다. 따라서 마지막으로 로그온 한 사용자가 DOMAIN \ UserA 인 경우 동일한 사용자 계정으로 연결이 끊어진 로그온은 성공하지만 DOMAIN \ UserB로 로그온하면 실패합니다. 이 동작은 정책을 통해 구성 할 수 있습니다.

연결이 끊긴 시나리오에서도 그룹 정책은 계속 적용됩니다.

1. 클라이언트는 독립형 작업 그룹 컴퓨터가 아닌 도메인 컴퓨터가됩니다.
2. 그룹 정책의 설정으로 인해 네트워크 케이블을 뽑아도 여전히 워크 스테이션에 로그인 할 수 있습니다. 대화 형 로그온 : 이 설정 ( 컴퓨터 정책 -Windows 설정-로컬 정책-보안 옵션 ) : 대화 형 로그온 : 캐시 할 이전 로그온 수 (도메인 컨트롤러를 사용할 수없는 경우) 가이 동작을 유발하며 의도적으로 설계된 동작입니다.
3. 케이블을 뽑을 때 사용자가 이전에 해당 워크 스테이션에 로그인 한 도메인 계정으로 로그인하면 컴퓨터는 도메인 컨트롤러를 사용할 수 있었을 때 마지막으로 사용한 그룹 정책을 복원합니다.
4. Windows의 캐시 된 자격 증명 보안