服务器 Gind.cn
  1. 服务器 Gind.cn
  3. ADjoin的机器的本地用户的上下文是域计算机帐户还是本地计算机帐户?
Intereting Posts
Nagios服务检查 功率更高的PSU会自动吸引更多电量吗? 为什么目标接口没有捕获到ICMP报文? 监视应用程序的传出带宽 SFTP服务器为所有连接提供types2(协议错误) 从Debian中删除Apache 5 Ubuntu:截至2013年如何保持vpnc连接活着? 针对vSphere ESXi虚拟机pipe理程序的powershell保护? SQL Server 2000还原错误 Dovecot IMAP身份validation失败 cryptsetup luksOpen密钥文件不起作用 木偶生成系统单元文件? 在Amazon EC2上运行的Windows Server 2008上的RAID 10的软件实现 慢速md RAID-1arrays 推荐这个堆栈的书籍/资源:linux,lighttpd,postgres,webpy

ADjoin的机器的本地用户的上下文是域计算机帐户还是本地计算机帐户?

我是一名开发人员,对Windows服务器机器的使用感到好奇。

  • A)我相信他们显示交互式login屏幕,但没有任何用户曾经login运行。
    正确?

在(*)的定义的上下文中,引导的Windows ADjoin的机器在哪个帐户下由AD DC(域控制器)标识/保护:

  • B)本地机器帐户( (*)中的表1)
  • C)域计算机帐户( (*)中的表2)

ADjoin的机器显示login屏幕,此后可以进行2次基本login:

在上下文中,B)或C)在A)之后运行,即在login屏幕之后,进一步login的本地用户1)?

更新1:
我知道如何识别,模仿和授权stream程的工作。

这个问题是关于什么时候Windows机器启动,并显示交互式login屏幕的select。

1)在任何(交互式)用户login之前启动哪个机器帐户? 当它显示login屏幕?

2)
那么,基本上我正在重写原来的问题。

但是,读了(*)后 ,我不明白为什么需要“计算机DEMOSYSTEM的机器SID”(在表1中)。 在将机器连接到AD之前,不用于访问其他机器,甚至在将机器连接到AD之后似乎也不需要。

更新2:
另外,join域之前很难相信机器的本地用户帐号与join之后是一样的。 即使是AD计算机的本地帐户,计算机也被识别并且通道由DC保护,但是不适用于工作组1。

从这个问题分叉的问题:

  • 工作组Windows用户(或组)可以使用域帐户? 但反之亦然?
  • Windows AD DC中的域pipe理员与pipe理员

引:

  • (*) Aaron Margosis的博客机器SID和域SID

相关问题:
– Windows工作组LocalSystem与域(AD)LocalSystem [已closures]

你的问题没有说得很清楚……但是,下面是它的基本工作原理:

  • 运行在Windows机器上的每个进程都运行在用户帐户的上下文中; 这可以是三个机器账户之一(稍后更多),本地用户账户或域用户账户。
  • stream程可以由login用户或作为服务启动。
  • 由login用户启动的进程会inheritance用户的安全上下文,并且可以与用户的会话(键盘/鼠标/屏幕或RDP)进行交互。
  • 服务是一个在后台运行的过程,无需用户直接交互; 它可以在系统启动时自动启动。 服务也运行在用户帐户的安全上下文中,就像任何交互式进程一样; 这可以是本地或域用户帐户或系统帐户。 服务不能直接与用户会话进行交互。
  • 在本地用户帐户的上下文中运行的进程只能访问本地机器上的资源(如果允许)。 它没有有效的凭据login到其他系统,并且它只能通过提供另一组凭据(无论是域用户帐户还是远程服务器上的本地用户帐户)连接到networking资源。
  • 在域用户帐户的上下文中运行的进程可以访问其他域join的计算机上的本地资源(如果允许)和networking资源(如果允许)。
  • 在系统上下文中运行的进程可以使用三个系统帐户之一: Local SystemLocal ServiceNetwork Service 。 这些是自XP / 2003以来的每台Windows计算机内置的(之前只有本地系统存在)。
  • 以本地系统运行的进程对系统具有完全权限; 作为本地服务运行的进程具有较低的权限(与标准用户帐户相同)并且无法连接到networking资源; 作为networking服务运行的进程具有与本地服务相同的本地特权,但可以访问networking。
  • 在任何一种情况下,当在三个系统上下文之一中运行的进程连接到networking资源时(对于本地系统和networking服务,只有本地服务才可以这样做,因为本地服务不能这样做),它使用远程系统进行身份validation计算机的计算机帐户在域中。

把它们加起来:

  • 如果进程以本地用户帐户运行,则它在远程系统上没有有效的login凭据。
  • 如果进程作为域用户帐户运行,则此用户帐户用于login到远程系统。
  • 如果进程作为本地系统或networking服务运行,则使用域中计算机的计算机帐户login到远程系统。

更新:

没有一个帐户下的“机器启动”。 当你在login屏幕上时,系统上运行着很多东西:基本的系统服务,实际上pipe理login屏幕的程序,如果系统是服务器,可能还有大量的应用程序服务。 这些进程中的每一个都可以在不同的用户帐户下运行。 无论如何,大多数系统服务使用三个系统帐户之一(本地系统,本地服务,networking服务)运行。 您可以在Services MMC(和/或任务pipe理器)中看到服务运行的帐户。

如该文章和其他许多文章所述,机器SID除了作为本地用户帐户的SID的“前缀”之外实际上不需要或用于任何事情(因为这样,在系统本身之外从来没有被看到也没有被引用); 代表系统的networking身份validation使用计算机的域帐户。

本地帐户在join域或部分工作组的计算机上的工作方式完全相同。 它们与域名无关,也不是“由DC保护”或AD的任何其他部分。