即使在删除域控制器后,域帐户如何存在?
How are the domain accounts existing even after the deletion of the domain controller?
当我将 windows 服务器提升为域控制器时,服务器中的本地帐户无法访问,但是当我将域控制器取消提升为普通服务器时,本地帐户可以访问。那么服务器升级为DC后,本地账号存放在哪里呢?即使在删除活动目录后,我也可以使用域用户帐户登录到客户端计算机,这怎么可能?为什么那些域帐户没有被删除?
当您将服务器提升为域控制器时,您更改了服务器的整个身份验证方法。安装了 Active Directory 身份验证而不是内置的 Windows 身份验证机制(它覆盖了内置的身份验证,但没有完全取代它,它仍然保留在系统上但不会再被使用)。
这意味着,您的本地用户帐户仍然存在(甚至仍然处于活动状态),但登录时不再考虑它们,因为 AD 身份验证仅查找活动目录中的帐户。
将服务器恢复正常后,卸载AD-auth,再次使用内置身份验证,评估您仍然存在的本地用户帐户。
当您将普通服务器提升为域控制器时,本地组和用户将成为位于 Builtin 容器中的域组和用户,它们存储在 AD 数据库中。
如果将DC移除到普通成员服务器,那么本地用户和组将像以前一样恢复,但其他域用户将无法访问,因为广告数据库已被移除。您可以使用域用户登录客户端计算机的原因是域用户的凭据和密码缓存在本地。如果您登录时 DC 不可用,OS 将允许您使用缓存的域用户凭据登录。但仅限于之前缓存过的域帐号,不能使用未缓存过的帐号登录客户端。
当我将 windows 服务器提升为域控制器时,服务器中的本地帐户无法访问,但是当我将域控制器取消提升为普通服务器时,本地帐户可以访问。那么服务器升级为DC后,本地账号存放在哪里呢?即使在删除活动目录后,我也可以使用域用户帐户登录到客户端计算机,这怎么可能?为什么那些域帐户没有被删除?
当您将服务器提升为域控制器时,您更改了服务器的整个身份验证方法。安装了 Active Directory 身份验证而不是内置的 Windows 身份验证机制(它覆盖了内置的身份验证,但没有完全取代它,它仍然保留在系统上但不会再被使用)。
这意味着,您的本地用户帐户仍然存在(甚至仍然处于活动状态),但登录时不再考虑它们,因为 AD 身份验证仅查找活动目录中的帐户。
将服务器恢复正常后,卸载AD-auth,再次使用内置身份验证,评估您仍然存在的本地用户帐户。
当您将普通服务器提升为域控制器时,本地组和用户将成为位于 Builtin 容器中的域组和用户,它们存储在 AD 数据库中。
如果将DC移除到普通成员服务器,那么本地用户和组将像以前一样恢复,但其他域用户将无法访问,因为广告数据库已被移除。您可以使用域用户登录客户端计算机的原因是域用户的凭据和密码缓存在本地。如果您登录时 DC 不可用,OS 将允许您使用缓存的域用户凭据登录。但仅限于之前缓存过的域帐号,不能使用未缓存过的帐号登录客户端。