域用户的登录过程和GC的关系
根域为contoso.msft,dc为dc1.contoso.msft,dc2.contoso.msft同时也是GC,所处站点site 1;
子域为child.contoso.msft,dc为child-dc.child.contoso.msft,所处站点site 2不是GC;在域child.contoso.msft上有用户john用于验证本实验!
2. Gc存储着森林中所有域的域分区的所有对象的部分属性
同时还存储着林中所有通用组的成员列表,在域用户登录的过程中和查询过程中,GC发挥着重要的作用;或者可以说没有GC域用户在一般情况下就不能登录,这里为什么说是在一般情况下,因为有特例(后面再说)!
先说说域用户的登录过程和GC的关系:首先域用户要想登录成功,必须从所在域的dc那里成功构建“安全访问令牌”,没有这个安全访问令牌域用户是不能登录的;那么这个域用户所在域的dc是如何来为用户成功构建安全访问令牌呢?要成功构建安全访问令牌必须满足三个条件:
a. 从dc那里取得这个域用户的SID
b. 从DC那里取得这个域用户所具有的权限
c. 取得这个域用户的所属组:包括本地域组、全局组、通用组;本地域组和全局组可以向dc查询,但是通用组只有由DC向GC去查询,因为只有GC存储了通用组的成员列表;这里不管这个用户是否属于某个通用组,都要去查询GC来确定这个用户是否属于某个通用组。
综合以上三个因素,所以当GC不在线的情况下,即使当前域的dc是ok的,当前域的dns是ok的,同样用户不能登录域!
结合实例就是:当contoso.msft中的dc2.contoso.msft(同时也是GC)宕机的情况下,其子域中的用户john是不能登录其所在的域child.contoso.msft的,即使child-dc.child.comtoso.msft是正常的!
例外:
a 域管理员组的成员不受此限制
b 登陆过的客户端可以使用本机的缓存来登录
c 2003的域模式如果为默认的混合模式,在这种情况下通用组是不可用的,所以这个时候是不用去查询GC来确定通用组的情况的!
3. 通用组成员缓存
那如何在GC不在线的情况下,也能让域用户顺利登录呢?
解决问题的方法就是使用通用组成员缓存(当然了,在每个站点都设置GC就不提了,这样做就要考虑硬件成本,毕竟GC会复制大量信息;单域的情况下除外,单域中建议所有的dc都提升为GC,这个时候是不会增加复制流量的);要想在GC不在线的情况下,域用户也能登录;那就必须使用缓存,使用客户机的缓存(前提是此用户必须在这个客户机上登录)或使用dc缓存(这样即使此用户没有在这台客户机上登录,也能登录;当然了要有缓存信息的话,必须要在域中的某个地方登录);这个缓存在dc上信息的可以在dc上看的到的。
4.验证
首先在child-dc.child.contoso.msft上新建一个用户john,然后在dc上看一下;这个用户的msds-cached-membership属性,是空的,是not set!这个属性就是缓存用户的通用组和全局组的信息的!
a. 首先来看一下,在哪里设置通用组成员缓存
b. 禁用dc2.contoso.msft的网卡(相当于GC不可用),在域child.contoso.msft内用用户john在xp客户端登录,这时会发现登录不了(即使这个时候dc和dns都是ok的)
c. 启用GC,用john在child-dc.child.contoso.msft上登录(没有多余的客户端了,前提是修改默认域控制器策略允许john在本地登录),以让child-dc.child.contoso.msft从GC上缓存该用户的通用组和全局组的信息!
这个时候john用户在child-dc.child.contoso.msft上是可以登录的;注销;用administrator登录看看这个用户的缓存的信息:
d. 禁用GC,在xp客户端上用john登录!这个时候你会发现即使gc不在线,即使这个用户以前没有在xp这台客户端上登录过(一点要在本域的其他地方登陆过),它照样能登录成功。
转载于:https://blog.51cto.com/wuxiaohui/414419
域用户的登录过程和GC的关系相关推荐
- 域用户指定计算机,什么是AD域,如何设置AD域用户仅登录到指定的计算机
什么是AD域? 简单理解:Active Directory域内的directory database(目录数据库)是被用来存储用户账户.计算机账户.打印机和共享文件夹等对象,而提供目录服务的组件就是A ...
- ad用户文件服务器登录过程初始化失败,域用户无法登录域故障处理(AD问题).docx...
域用户无法登录域故障处理 问题) (AD 系统故障记录 故障记录日期:2010-01-14 主机名及 IP: FS03(192.168.2.246) 主机系统及应用:DC FileServer 系统状 ...
- 限制域用户多点登录--脚本
在51上看到一篇不错的博文,转载下备以后工作中使用.有机会做一个实验,一并上传博文. 文章出自:http://chongerfei.blog.51cto.com 在微软的AD域中,任何 ...
- 要管理组策略 您必须以域用户账户登录此计算机,组策略设置:使普通用户登陆域控制器的电脑...
域控制器是什么?如何设置域控制器中的组策略,让一般域用户可以登陆作为域控制器的电脑?具体内容如下所示. 域控制器包含了由域的账户.密码.属于这个域的计算机等信息构成的数据库,负责对整个Windows域 ...
- 通过域策略登录脚本收集域用户的登录/注销信息
1.我们需要在域控制器上新建一个隐藏的共享文件夹 shoujifile$,专门用于存放收集到的资料,如下图所示: 登录和注销脚本代码如下: '收集域用户注销计算机信息 On Error Resum ...
- 给2016域用户限制登录时间并创建和删除一个OU
限定新员工李铭的登陆时间是周一到周五的早八点到晚八点 第一步:点击"AD用户和计算机",点击N02.com,选择User 第二步:右击USERS,点击新建用户liming 第三 ...
- 设置域用户登录主目录
1.1.1 设置用户登录主目录 用户主目录可以让域用户访问到网络上服务器上的共享目录.域用户在登录后会根据用户帐户指定的主目录,自动为该用户映射一个网络驱动器. 以下步骤将会将销售部门的用户的主目录映 ...
- 域用户登录方法在计算机上不被允许,允许普通域用户登录域控制器
允许普通域用户登录域控制器 域控制器默认不允许普通域用户登录,如果你想修改此默认设置,需要编辑链接在"Domain Controllers"组织单元上的"Default ...
- 如何使用LDAP用户单点登录到Horizon桌面和应用
一直以来,Horizon View对MS AD的强依赖导致国内众多LDAP用户引进Horizon View变得非常困难.因为要部署Horizon View就一定要新建MS AD并且将LDAP的用户连同 ...
最新文章
- 我焦躁,并不只是心里承受,还是因为我上面担着。
- 关于程序中数据库报错“父项未找到”
- php 复制文件夹并压缩到最小_php在线压缩并下载压缩文件的方法
- java中ra怎么解释_JAVA个人相关知识总结
- mysql英文介绍_每日科技英文48: MySQL C API简介
- 计算机操作系统——处理机调度算法
- 【caffe-windows】 caffe-master 之图片转换成lmdb or leveldb
- 在Ubuntu 18.04中更改时区
- 【前端】jQuery学习内容概览
- 引领移动协同需求Cnskype结合微信企业号推出企业办公、通讯整合方案
- 索尼koov机器人比赛_搭上“想象”去成长 索尼KOOV可编程教育机器人评测
- shopex mysql索引_shopex数据库访问
- matlab 仿真步长,[转载]matlab 仿真步长设置
- 1022 - 快手短视频广告主接入实践笔记
- BCS2022|“体系化防御,数字化运营” 奇安信终端安全能力再升级
- sqlDbx连接oracle64位
- 交换机与二层转发原理
- (字节跳动公司中山大学合作)IOS科研实训个人报告
- 前端实现播放实时监控视频笔记(hls http-flv)
- 游戏编程中的人工智能技术