Windowsサーバーをドメインコントローラーに昇格すると、サーバーでローカルアカウントにアクセスできなくなりましたが、ドメインコントローラーを通常のサーバーにデプロモートすると、ローカルアカウントにアクセスできました。では、サーバーのローカルアカウントはDCとして昇格させた後に保存されますか?そして、アクティブなディレクトリを削除した後でさえ、ドメインユーザーアカウントでクライアントマシンにログオンすることは可能ですか?なぜこれらのドメインアカウントは削除されませんでしたか?ドメインコントローラの削除後もドメインアカウントはどのように存在しますか?
通常のサーバーをドメインコントローラに昇格すると、ローカルグループとユーザーはのコンテナにあるドメイングループとユーザーになり、ADデータベースに格納されます。
DCを通常のメンバーサーバーに削除すると、ローカルユーザー&のグループは以前と同じように復元されますが、広告データベースが削除されて以来、他のドメインユーザーにはアクセスできなくなります。ドメインユーザーを使用してクライアントマシンにログオンできる理由は、ドメインユーザーの資格情報であり、パスワードはでローカルにキャッシュされます。です。ログイン時にDCが利用できない場合、OSはログインを許可し、キャッシュされたドメインユーザーの資格情報を使用します。しかし、それは以前にキャッシュされたドメインアカウントにのみ制限されているので、キャッシュされていないアカウントを使用してクライアントマシンにログインすることはできません。
@ Longfeiありがとうございました.. –
もう1つの疑問は、DCのローカルユーザーアカウントにアクセスできるかどうかです..? –
いいえ、すべてのローカルユーザーはDCに昇格した後にドメインユーザーになります。そのドメインコントローラを降格させた後にのみアクセスできます。 –
サーバーをドメインコントローラに昇格すると、サーバーの認証方法全体が変更されます。組み込みのWindows認証メカニズムの代わりに、アクティブディレクトリ認証がインストールされています(組み込みの認証を上書きしますが、完全に置き換えずにシステムに残りますが、これ以上使用されません)。
これは、AD認証ではアクティブなディレクトリ内のアカウントしか検索されないため、ローカルユーザーアカウントはまだ存在していても、アクティブになっていることを意味します。
サーバーを通常状態に戻した後、AD認証がアンインストールされ、組み込み認証が再度使用され、既存のローカルユーザーアカウントが評価されます。
ありがとう@Psi今、私はアクティブディレクトリのローカルおよびドメインユーザーについてのアイデアを持っていました。:) –
ここでは何もしません、serverfaultの質問 – 4c74356b41
今後この種の質問をするよりよいフォーラムがあります:https://social.technet.microsoft.com/Forums/en-US/home?forum=winserverDS –