当我将 Windows 服务器提升为域控制器时,服务器中的本地帐户无法访问,但是当我将域控制器提升为普通服务器时,本地帐户可以访问。那么服务器的本地账户在提升为 DC 后会存储在哪里呢?即使在删除活动目录之后,我也可以使用域用户帐户登录到客户端计算机,这怎么可能?为什么那些域帐户没有被删除?
问问题
61 次
2 回答
1
当您将普通服务器提升为域控制器时,本地组和用户将成为位于Builtin容器中的域组和用户,它们存储在 AD 数据库中。
如果您将 DC 移至普通成员服务器,则本地用户和组将像以前一样恢复,但由于广告数据库已被删除,其他域用户将无法访问。您可以使用域用户登录客户端计算机的原因是域用户的凭据和密码在本地缓存。如果您登录时 DC 不可用,操作系统将允许您使用缓存的域用户凭据登录。但仅限于之前缓存过的域账号,不能使用没有缓存过的账号登录客户端。
于 2017-03-06T09:39:39.603 回答
0
当您将服务器提升为域控制器时,您更改了服务器的整个身份验证方法。安装了 Active Directory 身份验证机制,而不是内置的 Windows 身份验证机制(它覆盖了内置的身份验证机制,但并未完全取代它,它仍然保留在系统上,但不再使用)。
这意味着,您的本地用户帐户仍然存在(甚至仍然处于活动状态),但在登录时不再考虑它们,因为 AD 身份验证仅在活动目录中查找帐户。
将服务器恢复正常后,卸载 AD-auth,并再次使用内置身份验证,评估您仍然存在的本地用户帐户。
于 2017-03-04T11:53:16.950 回答