Когато няма връзка към domain contrler какво се случва


4
Здравейте,
след лекцията снощи се замислих над един въпрос:
Ако настроим акаунтите на домейн контолера и имаме n на брой компютри на които всеки потребителски акаунт може да се логне както направи проврка в активаната директория, обаче ако по някаква причина компютъра загуби връзка със сървъра на който е Активната Директория или въобще загуби мрежа как даден потребителите ще може да се логне освен ако няма и локален акаунт?



Отговори



0
Ако нямаш наличен домейн контролер (един или втори на който се репликира информацията от 1вия) няма как да се логнат.
Така е навсякъде - дори най-стабилния WEB сървър ако някъде не се репликират (кешират или дублират директно) данните и той спре, WEB сайта ти умира. Няма значение дали е на най-стабилния Linux или е на Windows XP.
При локален акаунт отроизацията е ясна, но там (ако не са направени нужните настройки) е много възможно да няма информацията която имаш на домейна.

от ibalistix (0 точки)


2
Ако вече има създаден домейн акаунт на локалната машина, няма проблем да се логне и без наличен домейн, защото ще ползва локалния профил на акаунта (дори и да му е изтекла паролата на домейн акаунта - реално донейна му казва, че паролата е изтекла). Но ако още не е създаден профил на локалната машина на домейн акаунта на потребителя, няма как да стане, защото ще търси домейна за потвърждение, че този акаунт съществува. В този вариант, потребителя може да се логне само, ако има някакъв локален акаунт на машината (какъвто е local admistrator), който обаче няма да му осигури никакъв достъп до услугите предоставяни от домейн средата (за тях този акаунт е неизвестен). Накратко, ако домейн акаунт профила съществува на локалната машина - няма проблем, ако не е създаден преди това (докато домейн контролера го е имало) - няма как да стане без домей контролер.

от cherokee (1277 точки)


0
така е, при кеширан домейн профил на локалната машина може да се логнеш с него - даже да не е достъпен ДК, други услуги в активната директория са достъпни - като файлов сървър напр. Обикновено за сигурност се настройват уъркстейшъните да пазят не повече от 5 кеширани профила, както и време на валидност на акаунта - напр. 1 седмица, 1 месец. За да се избегне тази дупка в сигурността се прави задължителна проверка на акаунта в домейна при логване, но това се прави ако имаш поне 2ри ДК, за да не увисне съвсем работата при срив.

от plmb123 (130 точки)

0
Колегата е прав относно достъпа до някои услуги, но отново ще ти е необходим домейн акаунт, за да се уторизираш, ако са част от активната директория. Друг е момента, че ако ДК липсва много други услуги въобще няма и да са налични, защото ще им е нужен за работата им.

от cherokee (1277 точки)



2
Като имаме предвид, че става дума за уиндоус системи, бих казал следното:
- Тези въпроси, най-вероятно ще се разглеждат в по-голяма дълбочина в следващите модули.
- съвсем накратко, при логване в уин система указваш кой да те удостоверява - дали локалната система - SAM или конролера (ите) на съответния домейн. Това става със изписване на потребителя по следния начин 'domain(or PC)\username'. Тук вече има няколко варианта в зависимост от това какви потребители има създадени (активни, забранени) на системата, дали потребителя има домейнов профил и се е логвал на системата и т.н.

от explorerv (192 точки)


3

Аз се порових след всички отговори и прочетох доста интересни неща.

От Microsoft са отставили възможност да се настрова броят на кешираните логвания към клиентски компютър останал без връзка с домейн контролер. Тази настройка се прави с ключ от регистъра на локалният компютър и може да варира от 0 до 50 .

Ключът се казва CachedLogonsCount (REG_SZ)

и се намира в HLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENТ VERSION\WINLOGON

повече инфо: http://support.microsoft.com/kb/172931


от alekz (96 точки)


2
Когато един потребител се логва за първи път на дадена клиентска машина е необходимо той да има връзка с домейн контролера, след логването системата прави build на профила и след това дори и да няма връзка с DC логването е възможно, но ако се логваш за първи път и нямаш връзка с DC, тогава логването е невъзможно, защото системата няма просто от къде да си свали профила и креденциите към него

от petko9001 (294 точки)