我认为关于 Active Directory,用户和计算机被视为平等主体的说法是正确的。用户和计算机都有密码,要求用户和计算机都独立登录域。
我了解自动启动的 NetLogon 服务负责在启动时将计算机登录到域。那时,NetLogon 通过 DNS 查找使用一些域控制器定位器逻辑来帮助它定位域控制器。
如果计算机之前登录过该域并且已经知道它属于哪个站点,它可以从特定于站点的 DNS 查询开始以定位 DC,如果有必要则故障返回到更通用的 DC。
如果到目前为止我的任何假设有误,请纠正我。
那么用户在登录计算机时,是否在他/她登录计算机时有一个单独的DC定位器进程?或者用户是否使用计算机在登录时已经出现的任何内容?一台计算机和登录该计算机的用户是否可能拥有不同的身份验证 DC?
AD 的用户身份验证由计算机处理,因此它将使用计算机的 AD 状态概念来处理身份验证过程。一个很好的例子就是网站。
换个角度想,用户从他们登录的机器上继承了位置。
用户可以登录与计算机登录的 DC 不同的 DC,尤其是当他们所在的站点中有多个 DC 时。这就是为什么您必须捕获站点中所有 DC 的安全日志才能准确了解谁在何处登录了什么。