web-dev-qa-db-ja.com

Windows Active DirectoryはコンピューターのIDをどのように確認しますか?

簡単な質問のようですが、GoogleまたはWindowsのサポートページ/フォーラムで回答を見つけることができません。

ドメイン管理者が、ドメインに「ワークステーションをドメインに追加」権限を使用してドメインに最大10台のコンピューターを追加できるようにする自動権限を削除する場合、Active Directoryは、実際のコンピューターの1つが接続/接続されていることをどのように認識しますか。 ?新しいコンピューターの名前を変更するだけでユーザーが新しいコンピューター(つまり、コンピューターアカウント)を追加する機能を拒否するというセキュリティコントロールを簡単に無効にすることができるため、名前に基づくだけではないことを前提としています。すでに認可されたものと同じです。

このコンピューターの検証では、定義済みのキーまたはトークンがドメインに接続しているコンピューターに存在する必要がありますか?

2

Active Directoryのほとんどのエントリと同様に、コンピューターアカウントには、オブジェクトを識別する主要な方法として機能するグローバル一意識別子(GUID)があります。コンピューター名はコンピューターアカウントオブジェクトのプロパティであり、前述のとおり、変更できます。ただし、名前を変更してもGUIDは変更されません。

ドメインメンバーコンピューターはADのKerberosプリンシパルでもあります。つまり、ドメインコントローラーには、コンピューターがオンラインになったときにコンピューターを認証するために使用できるアカウントパスワードハッシュが関連付けられています。このパスワードはコンピューターアカウントオブジェクトに関連付けられているため、名前を変更しても変更されません。

コンピューターの名前を変更すると、DNSの問題が発生する可能性がありますが、名前を変更したコンピューターには、なりすまそうとしているコンピューターアカウントの正しいパスワードがありません。したがって、ADの観点からは、コンピューターがそれが言うとおりの人物ではないことは明らかです。

1
PwdRsch