Что такое учетная запись компьютера

Обновлено: 21.11.2024

Содержимое этого сообщения описывает метод, с помощью которого злоумышленник может сохранить административный доступ к Active Directory после того, как у него есть права уровня администратора домена в течение примерно 5 минут.

В этом посте рассказывается, как злоумышленник может использовать учетные данные учетной записи компьютера, чтобы сохранить их на предприятии, и как смягчить потенциальные проблемы безопасности.

Учетные записи компьютеров

Каждый компьютер, присоединенный к Active Directory (AD), имеет связанную учетную запись компьютера в AD. Учетная запись компьютера в AD является субъектом безопасности (так же, как учетные записи пользователей и группы безопасности) и поэтому имеет ряд атрибутов, которые совпадают с атрибутами учетных записей пользователей, включая идентификатор безопасности (SID), memberOf, lastlogondate, passwordlastset, и т. д. Учетные записи компьютеров могут принадлежать к группам безопасности и часто по разным причинам, чаще всего для фильтрации групповой политики, так что определенные групповые политики применяются только к определенным группам компьютеров (или нет).

Пароль учетной записи компьютера изначально устанавливается, когда компьютер присоединяется к домену, и используется для аутентификации почти так же, как пароль пользователя. Разница в том, что пароль компьютера не нужно регулярно менять, чтобы компьютер мог аутентифицироваться в домене (в отличие от учетных записей пользователей). Существует параметр, который настраивает, как часто *следует* изменять пароль учетной записи компьютера, и компьютеры в домене обычно меняют пароль своей учетной записи примерно каждые 30 дней (по умолчанию). При этом этот порог можно изменить, а процесс, используемый для изменения пароля учетной записи компьютера, можно полностью отключить.

Смена пароля учетной записи компьютера является скорее рекомендацией, чем правилом, и ранее я писал о том, как пароль учетной записи компьютера можно использовать для получения значительной власти над этой системой. Однако я не рассматривал другие аспекты, рассматриваемые в этой статье.

Учетные записи компьютеров являются членами группы AD «Компьютеры домена» по умолчанию и часто добавляются в группы Active Directory в целях управления групповыми политиками, хотя есть и другие причины для добавления учетных записей компьютеров в группы AD.

Распространенные примеры компьютеров в группах:

  • Контроллеры домена входят в группу «Контроллеры домена».
  • Контроллеры домена только для чтения (RODC) входят в группу «Контроллеры домена только для чтения».
  • Серверы Exchange часто являются членами различных групп Exchange AD, таких как «Серверы Exchange».

Компьютеры в качестве администраторов?

Очевидный вопрос: "Каково влияние компьютера в группе администраторов?"

Когда компьютер аутентифицируется в домене, как правило, через Kerberos, создается билет/токен, содержащий SID компьютера и все SID для групп безопасности, членом которых является компьютер, точно так же, как при входе пользователя в систему. Это означает, что аутентифицированный компьютер имеет такие же права на ресурсы в домене/лесу, как и пользователь, который является членом той же группы. Если учетная запись компьютера входит в группу администраторов, учетная запись компьютера имеет права администратора и, соответственно, любой администратор на этом компьютере может получить такие же права.

Учетные записи компьютеров могут иметь повышенные права доступа к ресурсам, включая полные права администратора для Active Directory.

Как компьютер использует эти права или доступ?

Системная учетная запись компьютера «владеет» билетом/токеном, содержащим идентификаторы SID, обладающие этими правами (технически «система» не является учетной записью, но в этом описании она подходит). Любой, у кого есть (локальные) административные права на компьютере, может изменить контекст своих прав на Систему, чтобы фактически стать владельцем прав учетной записи компьютера в AD. Mimikatz предоставляет возможность получить все билеты и токены Kerberos в системе, поэтому их повторное использование для получения этих прав является тривиальной задачей.

Обратите внимание, что функциональной разницы между учетной записью компьютера с правами и учетной записью службы с правами, учетные данные которой хранятся в системе, работающей как служба, нет. Оба они приводят к раскрытию учетных данных, если система скомпрометирована. Однако управление служебными учетными записями отличается от управления учетными записями компьютеров, и в большинстве случаев лучше использовать служебную учетную запись.

Повышение привилегий

Злоумышленник может повысить привилегии от получения административных прав на компьютере до повышенных прав в домене просто потому, что учетная запись компьютера присоединена к группе администраторов.

Например, если сервер администрирования присоединен к группе с правами резервного копирования на контроллерах домена, все, что нужно сделать злоумышленнику, — это скомпрометировать учетную запись администратора с правами на этот сервер администрирования, а затем получить системные права на этом сервере администрирования для компрометации. домен.

Очевидно, что для этого необходимо наличие нескольких элементов:

  1. Компрометация учетной записи с правами администратора на сервере администрирования.
  2. Учетной записи компьютера сервера администратора требуются права на контроллеры домена.

Основываясь на своем опыте, а также на опыте других, я пришел к выводу, что этот сценарий не только возможен, но и является реальностью во многих организациях.

Обратите внимание, что есть несколько других способов воспользоваться этим и подобными сценариями, и это не единственная потенциальная атака.

Использование и сохранение

Серебряный билет контроллера домена

Если злоумышленник сбросил базу данных Active Directory или узнал пароль учетной записи компьютера контроллера домена, злоумышленник может использовать серебряные билеты, чтобы нацелиться на службы контроллера домена в качестве администратора и остаться в Active Directory с полными правами администратора.

Как только злоумышленник узнает об учетной записи компьютера контроллера домена, эта информация может быть использована для создания серебряного билета, предоставляющего долгосрочные права администратора этому контроллеру домена.

Компьютеры также содержат службы, наиболее распространенной из которых является файловый ресурс Windows, использующий службу "cifs". Поскольку эта служба размещена на самом компьютере, данные пароля, необходимые для создания серебряного билета, представляют собой хэш пароля соответствующей учетной записи компьютера. Когда компьютер присоединяется к Active Directory, создается новый объект учетной записи компьютера, который связывается с компьютером. Пароль и связанный с ним хэш хранятся на компьютере, которому принадлежит учетная запись, а хэш пароля NTLM хранится в базе данных Active Directory на контроллерах домена для домена.

Если злоумышленник может получить права администратора на компьютере (чтобы получить доступ для отладки) или запустить код как локальную систему, злоумышленник может вывести хэш пароля учетной записи компьютера AD из системы с помощью Mimikatz (хэш пароля NTLM используется для шифрования билетов RC4 Kerberos): Mimikatz «привилегия::debug» «sekurlsa::logonpasswords» exit

Создайте серебряный билет для контроллера домена для подключения к удаленному взаимодействию PowerShell на контроллере домена с правами администратора


Создайте серебряный билет для контроллера домена для подключения к LDAP на контроллере домена с доступом администратора и запустите DCSYNC.

Создайте серебряный билет для службы ldap, чтобы получить права администратора для служб LDAP в целевой системе (включая Active Directory).

Используя серебряный билет LDAP, мы можем использовать Mimikatz и запускать DCSync для «репликации» учетных данных из контроллера домена.

Постоянство через учетную запись компьютера

Предполагая, что злоумышленник может скомпрометировать домен, скрытым способом сохранить повышенные права домена является добавление учетной записи компьютера (или группы, содержащей компьютеры), чтобы иметь права на области Active Directory, полезные для сохранения.

Этот метод имеет два аспекта:

  1. Компрометируйте пароль учетной записи компьютера на сервере администратора или резервном сервере в среде, обеспечивающей доступ к этой системе (отключите обновления пароля учетной записи компьютера, чтобы обеспечить непрерывный доступ). к учетной записи компьютера этого сервера (или группе, содержащей ее) к критическим компонентам AD.

Еще один способ использовать учетную запись компьютера для сохраняемости AD — поместить учетную запись компьютера в привилегированную группу, в которой есть другие учетные записи. Вот типичный пример: есть группа под названием «Резервные копии AD», в которой есть учетная запись службы в качестве участника с именем «svc-backup».

При перечислении членства в группе администраторов домена (которая имеет полные права администратора AD, а также полные права администратора контроллеров домена в домене) мы видим, что включена группа «Резервные копии AD». Это общепринятая конфигурация, хотя членство в качестве администратора домена было бы еще хуже. В идеале группа резервного копирования или учетная запись службы должны быть только членами группы «Операторы резервного копирования» в домене, чтобы выполнять резервное копирование данных домена AD.

Атакующий добавляет скомпрометированную учетную запись компьютера в группу «Резервные копии AD» и больше ничего не делает. Учетная запись компьютера ADSAP01 теперь предоставляет злоумышленнику полные права администратора домена и всех контроллеров домена, а также возможность по желанию запускать DCSync Mimikatz для извлечения данных пароля для любой учетной записи.

Смягчение

Самый простой способ решить эту проблему — убедиться, что учетные записи компьютеров не являются членами групп администраторов. Создайте эту политику и применяйте ее, регулярно проверяя группы администраторов на наличие учетных записей компьютеров.
Сканировать это с помощью PowerShell довольно просто, поскольку все, что нужно сделать, — это найти все группы, в названии которых есть слово «admin» (или аналогичное имя, настроенное для среды), и пометить любого члена, тип объекта которого = «компьютер». '.

Вот быстрый сценарий PowerShell (требуется модуль Active Directory PowerShell), который будет искать группы «администраторов» и определять группы с учетными записями компьютеров в качестве участников.

Import-Module ActiveDirectory

$AdminGroupsWithComputersAsMembersCountHashTable = @<>

[array]$DomAdminGroups = get-adgroup -filter
[int]$DomAdminGroupsCount = $DomAdminGroups.Count
Write-Output «Сканирование групп администраторов $DomAdminGroupsCount в $ForestDomainItem на наличие учетных записей компьютеров в качестве участников»

ForEach ($DomAdminGroupsItem в $DomAdminGroups)
[array] $GroupContainsComputerMembers = Get-ADGroupMember $DomAdminGroupsItem.DistinguishedName -Recursive | Где $AdminGroupsWithComputersAsMembersCountHashTable.Set_Item($DomAdminGroupsItem.DistinguishedName,$GroupContainsComputerMembers.Count)
[int]$DomainAdminGroupsWithComputersCount = $DomainAdminGroupsWithComputersCount + $GroupContainsComputerMembersCount
>

Write-Output «$DomainOutput» Группы администраторов содержат учетные записи компьютеров».
$AdminGroupsWithComputersAsMembersCountHashTable

Как всегда, этот скрипт предоставляется «как есть».

PowerView, теперь интегрированный в PowerSploit, включает возможность идентификации компьютеров в группах администраторов:

Get-NetGroup -AdminCount | Get-NetGroupMember-Recurse | ?

Еще один способ смягчения последствий – обеспечить смену паролей всех учетных записей компьютеров каждые 30–60 дней, особенно серверов (контроллеров домена!).

Учетная запись компьютера или учетная запись LocalSystem — это встроенная учетная запись с высокими привилегиями, имеющая доступ практически ко всем ресурсам на локальном компьютере. Учетная запись не связана ни с одной учетной записью пользователя, вошедшего в систему. Службы запускаются как LocalSystem для доступа к сетевым ресурсам, предоставляя учетные данные компьютера удаленным серверам в формате \$. Предопределенное имя учетной записи компьютера — NT AUTHORITY\SYSTEM. Вы можете использовать его для запуска службы и предоставления контекста безопасности для этой службы.

Преимущества использования учетной записи компьютера

Учетная запись компьютера дает следующие преимущества:

Неограниченный локальный доступ: учетная запись компьютера обеспечивает полный доступ к локальным ресурсам компьютера.

Автоматическое управление паролями: избавляет вас от необходимости менять пароли вручную. Учетная запись является членом Active Directory, и пароль учетной записи изменяется автоматически. Использование учетной записи компьютера избавляет от необходимости регистрировать имя субъекта-службы для службы.

Ограниченные права доступа за пределами компьютера: список управления доступом по умолчанию в доменных службах Active Directory (AD DS) разрешает минимальный доступ к учетным записям компьютеров. В случае доступа неавторизованного пользователя служба будет иметь только ограниченный доступ к ресурсам в вашей сети.

Оцените состояние безопасности учетных записей компьютеров

Некоторые потенциальные проблемы и связанные с ними меры по их устранению при использовании учетной записи компьютера перечислены в следующей таблице:

Проблема Устранение
Учетные записи компьютеров могут быть удалены и повторно -создание, когда компьютер выходит из домена и снова присоединяется к нему. Подтвердите необходимость добавления компьютера в группу Active Directory и проверьте, какая учетная запись компьютера была добавлена ​​в группу, используя примеры сценариев в следующем раздел этой статьи.
Если вы добавите учетную запись компьютера в группу, все службы, работающие как LocalSystem на этом компьютере, получат права доступа группы. Будьте избирательно относится к членству в группах вашей учетной записи компьютера. Не делайте учетную запись компьютера членом каких-либо групп администраторов домена, поскольку связанная служба имеет полный доступ к доменным службам Active Directory.
Неверные сетевые настройки по умолчанию для LocalSystem. Не думайте, что учетная запись компьютера по умолчанию имеет ограниченный доступ к сетевым ресурсам. Вместо этого внимательно проверьте членство в группах для учетной записи.
Неизвестные службы, работающие под учетной записью LocalSystem. Убедитесь, что все службы, работающие под учетной записью LocalSystem, принадлежат Microsoft. услуги или доверенные службы от третьих лиц.

Найти службы, работающие под учетной записью компьютера

Чтобы найти службы, работающие в контексте LocalSystem, используйте следующий командлет PowerShell:

Чтобы найти учетные записи компьютеров, входящие в определенную группу, запустите следующий командлет PowerShell:

Чтобы найти учетные записи компьютеров, входящие в группы администраторов удостоверений (администраторы домена, администраторы предприятия и администраторы), запустите следующий командлет PowerShell:

Переход из учетных записей компьютеров

Учетные записи компьютеров — это учетные записи с высоким уровнем привилегий, и их следует использовать только в том случае, если вашей службе требуется неограниченный доступ к локальным ресурсам на компьютере, а вы не можете использовать управляемую учетную запись службы (MSA).

Узнайте у владельца службы, можно ли запустить его службу с помощью MSA, и используйте групповую управляемую учетную запись службы (gMSA) или автономную управляемую учетную запись службы (sMSA), если ваша служба ее поддерживает.

Используйте учетную запись пользователя домена только с теми разрешениями, которые необходимы для запуска вашей службы.

Дальнейшие шаги

Дополнительные сведения о защите сервисных аккаунтов см. в следующих статьях:

В этой главе рассматриваются следующие цели, указанные Microsoft для раздела «Управление пользователями, компьютерами и группами» экзамена «Управление и обслуживание среды Microsoft Windows Server 2003»:

Создание учетных записей пользователей и управление ими.

  • Создавайте и изменяйте учетные записи пользователей с помощью консоли "Пользователи и компьютеры Active Directory".
  • Создавайте и изменяйте учетные записи пользователей с помощью автоматизации.
  • Импортировать учетные записи пользователей.

Основной функцией сетевого администратора является создание учетных записей пользователей и управление ими, поскольку учетные записи пользователей необходимы пользователям для аутентификации в сети и определения того, к каким ресурсам пользователь может получить доступ.

Для небольшой сети создание и изменение учетных записей пользователей по одной с помощью инструмента управления не занимает много времени. Но в сети с сотнями или тысячами пользователей имеет смысл использовать инструменты, автоматизирующие процесс. Если данные о пользователях существуют в другой форме, например в базе данных новых сотрудников, вы можете создать учетные записи пользователей, импортировав их из совместимого файла.

Создавать группы и управлять ими.

  • Создавайте и изменяйте группы с помощью консоли Active Directory Users and Computers.
  • Определение и изменение области действия группы.
  • Управление членством в группах.
  • Найти группы домена, в которые входит пользователь.
  • Создавайте и изменяйте группы с помощью автоматизации.

Для простоты сетевого администрирования мы можем создавать групповые объекты и назначать этим объектам права доступа к ресурсам. Затем, сделав учетные записи пользователей членами группы, мы можем предоставить им доступ, который был назначен объектам группы.

Управление локальными, перемещаемыми и обязательными профилями пользователей.

  • Создавать и изменять локальные профили пользователей.
  • Создавать и изменять перемещаемые профили пользователей.
  • Создавайте и применяйте обязательные профили пользователей.

Настройки рабочей среды пользователя хранятся в профиле пользователя. Любые изменения, которые пользователь вносит в среду (Избранное, элементы меню «Пуск», значки, цвета, «Мои документы», «Рабочий стол», локальные настройки, настройки для конкретных приложений), сохраняются, когда пользователь выходит из системы. Профиль перезагружается, когда пользователь снова входит в систему.

Администраторам важно знать, как управлять профилями пользователей, чтобы настройки пользователей сохранялись от сеанса к сеансу. При правильном управлении это также гарантирует, что пользователи будут видеть один и тот же рабочий стол, где бы они ни вошли в систему.

Создание и управление учетными записями компьютеров в среде Active Directory.

Каждый компьютер под управлением Windows NT, Windows 2000/2003 или Windows XP, являющийся членом домена, имеет учетную запись компьютера в этом домене. Учетная запись компьютера является участником безопасности, и ее можно аутентифицировать и предоставить разрешения на доступ к ресурсам. Учетная запись компьютера автоматически создается для каждого компьютера, работающего под управлением перечисленных операционных систем, когда компьютер присоединяется к домену.

Устранение неполадок с учетными записями пользователей.

  • Устранение неполадок с блокировкой аккаунта.
  • Устранение неполадок, связанных со свойствами учетной записи пользователя.

С большой группой пользователей каждый день обязательно будут поступать звонки от пользователей, у которых проблемы со своими аккаунтами. Одной из системных настроек, которая часто приводит к звонкам о проблемах, является блокировка учетной записи: пользователь не может войти в систему, потому что учетная запись была отключена после того, как было введено слишком много неправильных паролей. Другие проблемы могут возникнуть из-за неправильных настроек в учетных записях пользователей.

Устранение проблем с аутентификацией пользователей.

Иногда пользователь не может войти в сеть. Это может быть вызвано простыми факторами, такими как ошибка пользователя при вводе идентификатора пользователя и пароля, или более сложными проблемами, такими как невозможность использования учетной записи компьютера. Сетевой администратор должен иметь возможность определить причину проблемы и оперативно исправить ситуацию.

Устранение неполадок с учетными записями компьютеров.

  • Диагностика и устранение проблем, связанных с учетными записями компьютеров, с помощью оснастки MMC "Пользователи и компьютеры Active Directory".
  • Сбросить учетные записи компьютеров.

Если учетная запись компьютера работает неправильно, вход в домен с компьютера может быть невозможен. В этом случае необходимо сбросить учетную запись компьютера и снова включить компьютер в домен. Этот процесс восстанавливает безопасные отношения между компьютером и доменом, членом которого он является.

Контур

Введение

    Создание учетных записей пользователей и управление ими

  • Добавление пользователей в группы
  • Экономия времени с помощью пользовательских шаблонов

  • Создание и изменение локальных профилей пользователей
  • Создание и изменение перемещаемых профилей пользователей
  • Создание и применение обязательных профилей пользователей

Создание групп и управление ими

    Четыре функциональных уровня предметной области

  • Локальные группы домена
  • Глобальные группы
  • Универсальные группы
  • Рекомендуемая последовательность групп
  • Создание и изменение групп с помощью консоли пользователей и компьютеров Active Directory

    Добавление учетных записей в группы с помощью инструментов командной строки

Создание и управление учетными записями компьютеров в среде Active Directory

    Создание учетных записей компьютеров с помощью консоли Active Directory Users and Computers

Краткое содержание главы

Примените свои знания

Стратегии изучения

Изучая этот раздел, обязательно выполняйте все описанные действия. Изучите Active Directory Users and Computers, создание пользователей и групп, сброс учетных записей пользователей и компьютеров, а также определение перемещаемых профилей и обязательных профилей. Microsoft гордится новыми инструментами управления каталогами из командной строки — dsquery, dsadd, dsmod и dsget. — поэтому убедитесь, что вы знаете, для чего предназначен каждый из них, а также как его использовать. Также убедитесь, что понимаете конвейерную передачу — отправку вывода одной команды в качестве ввода другой.

Используйте как ldifde, так и csvde, но не тратьте часы на их работу. Поймите, для чего они нужны, и познакомьтесь со структурой команд. Работайте над упражнениями, пока не сможете авторитетно объяснить коллеге ldifde и csvde.

Вам потребуется доступ к контроллеру домена Windows Server 2003. Многие инструменты являются новыми или отличаются от тех, что доступны в Windows 2000, поэтому не пытайтесь обойтись контроллером домена Windows 2000.

Введение

Начиная с этой главы, вы узнаете о некоторых повседневных обязанностях администратора Windows Server 2003. Вы можете быть уверены, что будете выполнять задачи, описанные в этой главе, очень часто. В этой главе обсуждается создание и управление учетными записями пользователей, групповых учетных записей и учетных записей компьютеров, а также настройка перемещаемых профилей. Устранение неполадок также является важной частью работы. Устранение неполадок заключается в том, чтобы помочь пользователям понять, почему они не могут подключиться к сети — будь то из-за заблокированных учетных записей пользователей, неработающих учетных записей компьютеров или по другим причинам. Мы начнем с учетных записей пользователей. Давайте приступим!

В этом видео рассматриваются учетные записи компьютеров в Active Directory. Каждый раз, когда вы добавляете компьютер в домен, для него создается учетная запись компьютера в базе данных Active Directory. В этом видео показано, как работают эти учетные записи компьютеров и как сбросить учетную запись компьютера, если пароль в учетной записи компьютера не синхронизируется с паролем, хранящимся на локальном компьютере.

Учетная запись компьютера
Учетная запись компьютера в Active Directory очень похожа на учетную запись пользователя в Active Directory. По сути, учетная запись компьютера и учетная запись пользователя создаются из одних и тех же атрибутов. Как и учетная запись пользователя, учетная запись компьютера имеет пароль. В отличие от учетной записи пользователя, этот пароль генерируется случайным образом.Этот пароль предоставляется домену при запуске компьютера, что позволяет создать безопасное соединение между компьютером и контроллером домена. Этот пароль автоматически меняется через 30 дней. Если компьютер не подключался к домену более 30 дней, он все равно сможет получить доступ к домену. Пароль учетной записи компьютера будет изменен при следующем подключении компьютера к домену.

Сохранение учетной записи компьютера
Иногда пароль, используемый на локальном компьютере, и пароль, хранящийся в домене для учетной записи компьютера, не синхронизируются. Когда это произойдет, вы получите сообщение «Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом». В этом случае компьютер необходимо будет повторно добавить в домен.

Предварительные учетные записи компьютеров
Учетная запись компьютера автоматически создается для компьютера, когда он добавляется в домен. Вы также можете вручную создать учетную запись компьютера заранее, прежде чем компьютер будет добавлен в домен. Когда это делается, это называется предварительным этапом. Существует ряд причин, по которым может потребоваться предварительная подготовка учетной записи компьютера:

1) Решения для развертывания, такие как решения для развертывания Windows (WDS), можно настроить для использования только предварительных учетных записей. Это останавливает развертывание компьютеров, если для них не созданы учетные записи компьютеров. По сути, это накладывает некоторые элементы управления на образы, развернутые с помощью таких систем, как WDS.

2) Предварительная учетная запись компьютера гарантирует, что компьютер будет помещен в правильное организационное подразделение. Если вы не используете предварительно настроенную учетную запись компьютера, учетная запись компьютера будет создана в расположении компьютеров по умолчанию. К OU компьютеров нельзя применять дополнительные групповые политики, поэтому это ограничивает возможности администрирования компьютера. Предварительная подготовка компьютера гарантирует, что администраторы смогут управлять компьютером с помощью групповой политики, как только компьютер будет добавлен в домен.

3) При создании предварительной учетной записи компьютера разрешения могут быть назначены для предварительной учетной записи. Эти разрешения позволяют любому пользователю, которого вы выберете, иметь возможность добавить компьютер в домен с этим именем компьютера. Обычно для добавления компьютера в домен требуется пользователь, который является членом группы администраторов.

Демонстрация
Чтобы выполнить администрирование учетных записей компьютеров в Active Directory, откройте «Пользователи и компьютеры Active Directory» из инструментов администрирования в меню «Пуск».

Если вы выберете учетную запись компьютера, вы можете получить доступ к свойствам учетной записи компьютера, щелкнув правой кнопкой мыши и выбрав свойства. Вкладка свойств содержит информацию о компьютере, например тип компьютера, например, «рабочая станция или сервер» или контроллер домена с настройкой или без настройки в качестве сервера глобального каталога.

Чтобы создать предварительную учетную запись компьютера, откройте раздел Пользователи и компьютеры Active Directory. Внутри учетных записей пользователей Active Directory перейдите к подразделению, в котором вы хотите создать учетную запись компьютера. В диалоговом окне нового компьютера вы также можете установить учетную запись пользователя, которой будет разрешено добавить компьютер в домен.

Чтобы добавить компьютер в домен, откройте проводник Windows, щелкните компьютер правой кнопкой мыши и выберите свойства. В свойствах системы выберите опцию изменения настроек, а затем нажмите кнопку изменения. Это позволит вам удалить или добавить компьютер в домен.

Чтобы сбросить пароль учетной записи компьютера, щелкните правой кнопкой мыши учетную запись компьютера и выберите "Сбросить учетную запись". Компьютер нужно будет удалить из домена и снова добавить. Когда вы удаляете компьютер из домена и помещаете его в рабочую группу, вам не нужно перезагружать компьютер перед тем, как снова добавить его в домен. После добавления в домен вам потребуется перезагрузить компьютер, чтобы завершить процесс.

Теги урока: 70-640-active-directory Вернуться к: 70-640 Введение в Active Directory > Обслуживание объектов Active Directory

Хотите улучшить этот вопрос? Обновите вопрос, чтобы он соответствовал теме сбоя сервера.

Закрыт 7 лет назад.

Я уже провел поиск по этому вопросу, но до сих пор не понимаю. Может ли кто-нибудь объяснить их различия как можно проще? Кажется, что они делают почти одно и то же.

2 ответа 2

Kerberos указывает, что аутентификация исходит от известного компьютера с отметкой времени, соответствующей серверу аутентификации (контроллеру домена). Пароль компьютера — это то, как AD гарантирует, что машина известна. Он недоступен для пользователя.

Иными словами, учетные записи компьютеров могут аутентифицировать пользователей через AD. Этот метод позволяет таким приложениям, как EasySSO для Atlassian, аутентифицировать пользователей, имитируя ПК

Один для пользователя, другой для компьютера, присоединенного к домену.

Компьютеры также нуждаются в учетных записях для определенных операций — среди прочего, им разрешено даже взаимодействовать с Active Directory или загружать их групповые политики (которые не привязаны к пользователю в их хранилище). Таким образом, когда вы присоединяете компьютер к домену, он получает для этого собственную учетную запись (и автоматически управляет своим паролем).

Попробуйте найти книгу по Active Directory, которая поможет вам ознакомиться с основами.

Я просто изучаю концепции шаг за шагом, и документация также не очень хорошо объясняет различия. Я не уверен, зачем нужны учетные записи компьютеров, если можно просто применить групповые политики к учетным записям пользователей или группам пользователей. Кроме того, НЕОБХОДИМО заменить чтение документации или книг. Если бы была реальная лекция или обучающий курс, я бы пошла. Но, как я уже сказал, я изучаю это просто для удовольствия.

@shadowz1337 Хорошо, вы попали в место, где вопросы новичков не приветствуются в соответствии с FAQ (вы читали это, или?). Итак, идите и учитесь читать, пожалуйста. Есть курсы для админов-любителей - попробуй их найти. И нет, многие настройки в групповой политике предназначены не для пользователя, а для компьютера. И как компьютер узнает, что он должен принять вход пользователя?

документация не очень хорошо объясняет различия. тогда вам нужно прочитать лучше написанную документацию. Компьютеры аутентифицируются в AD при запуске. Это обеспечивает лучшую безопасность для учетных записей пользователей и самого домена, проверяя, что машина, выдающая себя за «workstation_No7», действительно является «workstation_No7», а не самозванцем. Кроме того, поскольку сам компьютер аутентифицирован в домене сам по себе, могут быть предприняты дальнейшие действия для установки программного обеспечения на компьютер, блокировки настроек и т. д.

Читайте также: