Active Directory: en quoi le processus de connexion à l'ordinateur et le processus de connexion des utilisateurs diffèrent-ils?

Je pense qu'il est correct de dire que les utilisateurs et les ordinateurs sont traités comme des principes égaux par rapport à Active Directory. Les utilisateurs et les ordinateurs ont des mots de passe et les utilisateurs et les ordinateurs doivent se connecter au domaine indépendamment.

Je comprends que le service NetLogon, qui démarre automatiquement, est responsable de la connexion d'un ordinateur au domaine au démarrage. À ce moment, NetLogon utilise une logique de localisation de contrôleur de domaine via des recherches DNS pour l'aider à localiser un contrôleur de domaine .

Si l'ordinateur s'est connecté au domaine auparavant et sait déjà à quel site il appartient, il peut commencer par une requête DNS spécifique au site pour localiser un contrôleur de domaine, puis revenir à une requête plus générale si nécessaire.

Veuillez me corriger si je me trompe dans l'une de mes hypothèses jusqu'à présent.

Un utilisateur, lorsqu'il se connecte à un ordinateur, dispose-t-il d'un processus de localisation DC distinct lorsqu'il se connecte à un ordinateur? Ou l'utilisateur utilise-t-il tout ce que l'ordinateur a déjà créé lorsqu'il s'est connecté? Serait-il possible pour un ordinateur et un utilisateur connecté à cet ordinateur d'avoir des contrôleurs de domaine d'authentification différents?

L'authentification de l'utilisateur auprès d'AD est gérée par l'ordinateur, il utilisera donc l'idée de l'état AD de l'ordinateur pour gérer le processus d'authentification. Un bon exemple de cela est avec les sites.

• Un utilisateur se connectant de manière interactive à un ordinateur du site Z s'authentifiera auprès des contrôleurs de domaine du site Z (ou à défaut, le processus d'identification de secours sera suivi).
• Si le même utilisateur parcourt le pays et se connecte de manière interactive sur un nouvel ordinateur, sur le site J, l'utilisateur sera authentifié par rapport aux contrôleurs de domaine du site J.

En y réfléchissant autrement, un utilisateur hérite de la localité de la machine sur laquelle il se connecte.

Il est possible pour l'utilisateur de se connecter à un contrôleur de domaine différent de celui auquel l'ordinateur s'est connecté, en particulier si le site dans lequel il se trouve contient plus d'un contrôleur de domaine. C'est pourquoi vous devez capturer les journaux de sécurité de tous les contrôleurs de domaine d'un site pour avoir une idée précise de qui s'est connecté à quoi, où.