Windows Active DirectoryはコンピューターのIDをどのように確認しますか?
簡単な質問のようですが、GoogleまたはWindowsのサポートページ/フォーラムで回答を見つけることができません。
ドメイン管理者が、ドメインに「ワークステーションをドメインに追加」権限を使用してドメインに最大10台のコンピューターを追加できるようにする自動権限を削除する場合、Active Directoryは、実際のコンピューターの1つが接続/接続されていることをどのように認識しますか。 ?新しいコンピューターの名前を変更するだけでユーザーが新しいコンピューター(つまり、コンピューターアカウント)を追加する機能を拒否するというセキュリティコントロールを簡単に無効にすることができるため、名前に基づくだけではないことを前提としています。すでに認可されたものと同じです。
このコンピューターの検証では、定義済みのキーまたはトークンがドメインに接続しているコンピューターに存在する必要がありますか?
Active Directoryのほとんどのエントリと同様に、コンピューターアカウントには、オブジェクトを識別する主要な方法として機能するグローバル一意識別子(GUID)があります。コンピューター名はコンピューターアカウントオブジェクトのプロパティであり、前述のとおり、変更できます。ただし、名前を変更してもGUIDは変更されません。
ドメインメンバーコンピューターはADのKerberosプリンシパルでもあります。つまり、ドメインコントローラーには、コンピューターがオンラインになったときにコンピューターを認証するために使用できるアカウントパスワードハッシュが関連付けられています。このパスワードはコンピューターアカウントオブジェクトに関連付けられているため、名前を変更しても変更されません。
コンピューターの名前を変更すると、DNSの問題が発生する可能性がありますが、名前を変更したコンピューターには、なりすまそうとしているコンピューターアカウントの正しいパスワードがありません。したがって、ADの観点からは、コンピューターがそれが言うとおりの人物ではないことは明らかです。