¿Qué sucede cuando una computadora se une a un dominio de Active Directory?

¿Qué cambios se aplican a un cliente cuando se une a un dominio AD?

¿Cómo se supone que debe comportarse un miembro del dominio cuando está desconectado de la red? ¿Los usuarios pueden iniciar sesión? ¿Se aplicarán las políticas de usuario de dominio cuando esté fuera de la red?

Si conoce un recurso integral que ofrece una introducción completa a Active Directory, publíquelos.

Gracias

La razón por la que aún puede iniciar sesión es porque su cuenta está almacenada en caché en la computadora. De hecho, se supone que funciona de esa manera. De lo contrario, nunca podría usar una computadora portátil fuera de la red sin tener una cuenta local. Lo que en una empresa sería una pesadilla.

Cuando inicia sesión en el dominio por primera vez, se configura un montón de información sobre su cuenta y sus privilegios junto con cualquier Objeto de directiva de grupo (GPO). Es por eso que el primer inicio de sesión tarda tanto.

Unir una computadora a un dominio AD crea una cuenta en el dominio para la computadora. Esto permite que la computadora exista como un individuo controlable, configurable, autenticado e individual en el dominio. Esto significa que puede forzar políticas sobre todo, desde la apariencia del escritorio hasta las actualizaciones de Windows y cualquier cosa configurable en Windows para el cliente, y también se puede cambiar en relación con el usuario que inició sesión en el cliente.

Aquí está la documentación de Microsoft sobre cómo funciona el inicio de sesión con el artículo de Technet 2003 sobre el inicio de sesión

Cuando una computadora se une a un dominio de Windows, suceden todo tipo de cosas. Los mas importantes:

• Las cuentas de usuario en el dominio se convierten en usuarios válidos en el sistema y pueden iniciar sesión en él (a menos que se apliquen restricciones).
• Los administradores de dominio adquieren derechos administrativos en el sistema.
• La computadora misma obtiene una cuenta en el dominio y la usa para autenticarse en otras computadoras.
• Las cuentas de usuario locales permanecen activas y aún se pueden usar para iniciar sesión en el sistema; no son reconocidos por ninguna otra computadora en el dominio.
• El nombre de la computadora se registra en el dominio DNS (si admite actualizaciones dinámicas, lo que debería).
• Las políticas de grupo definidas en el dominio y dirigidas a las computadoras afectan el sistema.
• Las políticas de grupo definidas en el dominio y dirigidas a los usuarios afectan a cualquier usuario de dominio que inicie sesión en la computadora.

Cuando la computadora es miembro de un dominio pero no puede conectarse a un controlador de dominio, no puede validar las credenciales del usuario, por lo que cualquier inicio de sesión de dominio fallará; la excepción es el último usuario que inició sesión, que por defecto se almacena en caché y se recuerda, y aún puede iniciar sesión correctamente. Entonces, si el último usuario que inició sesión fue DOMINIO \ UsuarioA, un inicio de sesión desconectado con la misma cuenta de usuario tendrá éxito, pero un inicio de sesión con, por ejemplo, DOMINIO \ UsuarioB fallará. (Este comportamiento es configurable a través de la política).

Las políticas de grupo permanecen aplicadas incluso en un escenario desconectado.

1. El cliente se convierte en una computadora de dominio, en lugar de un compilador independiente de grupo de trabajo
2. Todavía puede iniciar sesión en una estación de trabajo cuando desconecta el cable de red debido a una configuración impuesta por la Política de grupo. Esta configuración ( Computadora-Políticas-Configuración de Windows-Políticas locales-Opciones de seguridad ) denominada Inicio de sesión interactivo: Número de inicios de sesión anteriores en caché (en caso de que el controlador de dominio no esté disponible) provoca este comportamiento, y es por diseño.
3. Cuando desconecta el cable, si un usuario inicia sesión con una cuenta de dominio que ya inició sesión en esa estación de trabajo, la máquina restaurará el último conjunto de Políticas de grupo que tenía cuando el controlador de dominio estaba disponible.
4. Seguridad de credenciales almacenadas en caché en Windows