Que se passe-t-il lorsqu'un ordinateur rejoint un domaine Active Directory?

Quelles modifications sont appliquées à un client lorsqu'il rejoint un domaine AD?

Comment un membre du domaine est-il censé se comporter lorsqu'il est déconnecté du réseau? Les utilisateurs peuvent-ils se connecter? Les stratégies d'utilisateur de domaine s'appliqueront-elles toujours en dehors du réseau?

Si vous connaissez une ressource complète qui fournit une introduction complète à Active Directory, veuillez les publier.

Merci

La raison pour laquelle vous pouvez toujours vous connecter est que votre compte est mis en cache sur l'ordinateur. Il est en fait censé fonctionner de cette façon. Sinon, vous ne pourriez jamais utiliser un ordinateur portable hors du réseau sans avoir de compte local dessus. Ce qui dans une entreprise serait un cauchemar.

Lorsque vous vous connectez au domaine la première fois, un ensemble d'informations sur votre compte et ses privilèges ainsi que les objets de stratégie de groupe (GPO) sont configurés. C'est pourquoi la première connexion prend autant de temps.

Joindre un ordinateur à un domaine AD crée un compte dans le domaine de l'ordinateur. Cela permet à l'ordinateur d'exister en tant qu'individu contrôlable, configurable, authentifié dans le domaine. Cela signifie que vous pouvez forcer les stratégies sur tout, de l'apparence du bureau aux mises à jour Windows à tout ce qui est configurable dans Windows pour le client, et cela peut également être modifié par rapport à l'utilisateur connecté au client.

Voici la documentation de Microsoft sur le fonctionnement de la connexion avec l' article technet 2003 sur la connexion

Lorsqu'un ordinateur est joint à un domaine Windows, toutes sortes de choses se produisent. Les plus importants:

• Les comptes d'utilisateurs du domaine deviennent des utilisateurs valides sur le système et peuvent s'y connecter (sauf si des restrictions s'appliquent).
• Les administrateurs de domaine acquièrent des droits d'administration sur le système.
• L'ordinateur lui-même obtient un compte dans le domaine et l'utilise pour s'authentifier auprès d'autres ordinateurs.
• Les comptes d'utilisateurs locaux restent actifs et peuvent toujours être utilisés pour se connecter au système; ils ne sont reconnus par aucun autre ordinateur du domaine.
• Le nom de l'ordinateur est enregistré dans le domaine DNS (s'il prend en charge les mises à jour dynamiques, ce qu'il devrait faire).
• Les stratégies de groupe définies dans le domaine et ciblées sur les ordinateurs affectent le système.
• Les stratégies de groupe définies dans le domaine et ciblées sur les utilisateurs affectent tout utilisateur de domaine qui se connecte à l'ordinateur.

Lorsque l'ordinateur est membre d'un domaine mais ne peut pas se connecter à un contrôleur de domaine, il ne peut pas valider les informations d'identification de l'utilisateur, donc toute ouverture de session de domaine va échouer; l'exception est le dernier utilisateur connecté, qui est mis en cache et mémorisé par défaut et peut toujours se connecter avec succès. Par conséquent, si le dernier utilisateur connecté était DOMAIN \ UserA, une connexion déconnectée avec le même compte d'utilisateur réussira, mais une connexion avec, par exemple, DOMAIN \ UserB échouera. (Ce comportement est configurable via la stratégie).

Les stratégies de groupe restent appliquées même dans un scénario déconnecté.

1. Le client devient un ordinateur de domaine, plutôt qu'un compteur de groupe de travail autonome
2. Vous pouvez toujours vous connecter à un poste de travail lorsque vous retirez le câble réseau en raison d'un paramètre imposé par la stratégie de groupe. Ce paramètre ( Computer-Policies-Windows Settings-Local Policies-Security Options ) appelé Interactive Logon: Number of previous logons to cache (in case domain controller is not available) provoque ce comportement, et il est voulu par la conception même du produit.
3. Lorsque vous débranchez le câble, si un utilisateur se connecte avec un compte de domaine qui s'est précédemment connecté à ce poste de travail, la machine restaure le dernier ensemble de stratégies de groupe qu'il avait lorsque le contrôleur de domaine était disponible.
4. Sécurité des informations d'identification mises en cache dans Windows