我无法在任何地方找到此信息,而且我真的没有时间自己设置 AD 服务器来玩弄。我不是 AD 方面的专家,所以如果我的某些术语有问题,请原谅我。
当用户尝试将 Windows(我们会说 Windows 7)机器加入 AD 控制的域时,实际发生了什么?这意味着 AD 服务器检查哪些权限和帐户?从我能够搜集到的内容来看,似乎一个计算机对象必须以特定的计算机名称存在于 AD 中。然后看起来如果当前计算机在域中,并且用户正在尝试更改名称,那么旧计算机会从域中删除?(没有把握)。
我真的想弄清楚在加入域的过程中“加入域”会失败的地方。
就像这样:AD检查计算机名称是否存在,然后检查这些用户权限,然后检查这些属性等,直到“允许计算机加入具有指定名称的域”。
根据我在网上找到的“加入 AD 域的问题”线程的数量,我认为这对很多其他人会有帮助。
假设这是一台新计算机,它没有映射到以前在域中的旧计算机名称...
在非常高的级别:您在域加入操作中提供信用。在 AD 端,它会检查您要加入的计算机的计算机名称是否存在计算机帐户,在这种情况下它不存在。所以它继续创建一个新的(受为加入操作提供的凭据部分的权限和限制)。此时,计算机帐户和 DC 执行一些操作来设置关键属性(其中最重要的是秘密,也就是计算机帐户上的密码)和机器加入的本地状态被操纵......记住了 SID,存储的秘密等。在结束时,您会被告知重新启动。
如果前面的假设不正确并且一个压缩帐户已经存在,它会重用一个现有的计算机帐户,而不是创建一个新帐户。但它确保您可以向计算机帐户写入一个新的秘密,这是加入域所需的一部分(在 99% 的情况下,它映射到拥有该压缩帐户,因为很少有人重新访问他们的计算机帐户以允许这样做允许)。
无论如何,这就是高水平正在发生的事情。:) 如果您想深入了解它,请启用 netlogon 日志记录并加入,然后查看日志。如果您还想更深入,请查看 AD 协议文档,该文档将非常深入。
任何已加入域的系统的名为 NETSETUP.LOG(路径“%systemroot%\debug\NETSETUP.LOG”)的文件名中都提到了所有细节。