我无法在任何地方找到此信息,而且我没有时间自己设置AD服务器来玩。我不是AD的专家,所以如果我的某些术语不合适,请原谅我。
当用户尝试将Windows(我们称之为Windows 7)计算机加入AD控制域时,实际发生了什么?是什么意思AD服务器检查了哪些权限和帐户?从我能够得到的东西来看,似乎计算机对象在AD中具有特定的计算机名称。然后它看起来如果当前计算机在域中,并且用户正在尝试更改名称,那么旧计算机将从域中删除? (不确定)。
在加入域名的过程中,我真的要弄清楚“加入域名”会失败的地方。
类似于:AD检查计算机名称的存在,然后检查这些用户权限,然后检查这些属性等,直到“允许计算机加入具有指定名称的域”。
我认为这会对很多其他人有所帮助,基于我在网上找到的“加入AD域”问题的数量,半答案。
答案 0 :(得分:1)
假设这是一台新计算机,它没有映射到以前在域中的旧计算机名称...
在非常高的级别:您在域加入操作中提供信用。在AD端,它会检查您要加入的计算机的计算机名称是否存在计算机帐户,在这种情况下它不会。因此它继续并创建一个新的(受限于为连接操作提供的凭据部分的perms和throttling)。此时计算机acct& DC执行一些操作来设置关键属性(其中最重要的是秘密,也就是计算机帐户上的密码)&操作机器加入时的本地状态...记住SID,存储密码等。结束时,系统会告知您重新启动。
如果先前的假设不正确并且已存在compac,则它会重用现有的计算机帐户而不是创建新帐户。但它确保您可以将新秘密写入计算机帐户,这是域加入的一部分(在99%的案例中,映射为拥有该帐户,因为很少有人重新使用他们的计算机帐户来允许这样做权限)。
无论如何,这就是高水平的情况。 :) 如果您想深入了解它,请启用netlogon日志记录并进行连接,然后查看日志。如果你想更深入一点,请查看非常深入的AD协议文档。
答案 1 :(得分:0)
在已加入域的任何系统的名为NETSETUP.LOG(路径“%systemroot%\ debug \ NETSETUP.LOG”)的文件名中都提到了详细信息。