当我将windows计算机加入Active Directory域时实际发生了什么

Question

我在任何地方都找不到这些信息，而且我也没有时间自己设置一个广告服务器来玩耍。我不是AD方面的专家，所以如果我的一些术语有问题，请原谅。

当用户尝试将Windows (我们会说Windows 7)计算机加入到AD控制域时，实际发生了什么？这意味着AD服务器会检查哪些权限和帐户？从我所能搜集到的信息来看，在AD中似乎必须存在一个具有特定计算机名称的计算机对象。如果当前计算机在域中，并且用户试图更改名称，那么旧计算机将从域中删除吗？(不确定)。

我真的是在问，在加入域名的过程中，“加入域名”会在哪里失败。

例如: AD检查计算机名是否存在，然后检查这些用户权限，然后检查这些属性，等等，直到“允许计算机加入具有指定名称的域”。

根据我在网上发现的“加入AD域的问题”帖子的数量，我认为这对其他许多人来说是有帮助的。

Answer 1

假设这是一台新计算机，它没有映射到以前在域中的旧计算机名称...

在非常高的级别上:您在域加入操作中提供凭证。在AD端，它检查是否存在与您要加入的机器的计算机名对应的计算机帐户，在此场景中不存在。因此，它继续创建一个新的凭据(受perms和为join操作提供的凭据部分的限制)。在这一点上，计算机帐户和DC做了几个操作来设置密钥属性(其中不是最小的是秘密，也就是计算机帐户上的密码)&机器上的本地状态加入是记住manipulated...SIDs，存储秘密，等等。

如果前面的假设是不正确的，并且已经存在补偿帐户，它将重用现有的计算机帐户，而不是创建新的计算机帐户。但它可以确保您可以将新的秘密写入计算机帐户，这是域加入所需的一部分(在99%的情况下，它映射到拥有comp帐户，因为很少有人重新acl他们的计算机帐户，以只允许此权限)。

无论如何，这就是高层正在发生的事情。:)如果您想深入了解它，请启用netlogon日志记录并执行连接，然后查看日志。如果你想更深入地了解，请查看AD协议文档，它将非常深入。

Answer 2

在已经加入该域的任何系统的名为NETSETUP.LOG (路径"%systemroot%\debug\NETSETUP.LOG")的文件名中都提到了详细信息。