¿Cómo Windows Active Directory verifica la identidad de una computadora?

3

Parece una pregunta simple pero no puedo encontrar la respuesta en las páginas / foros de soporte de Google o Windows.

Si un administrador de dominio decide eliminar el derecho automático para que los usuarios del dominio puedan agregar hasta 10 computadoras a un dominio usando el derecho 'agregar estaciones de trabajo al dominio', entonces, ¿cómo sabe Active Directory cuando una de esas computadoras reales es adjunto / adjuntando? Supongo que no solo se basa en el nombre, ya que es fácil cambiar el nombre de su computadora a cualquier cosa, por lo que sería fácil anular el control de seguridad de negar al usuario la posibilidad de agregar nuevas computadoras (es decir, cuentas de computadora) con solo cambiar el nombre de una computadora a Lo mismo que uno ya autorizado.

¿Esta verificación del equipo requiere una clave o token predefinidos para estar presente en la computadora que se adjunta al dominio?

    
pregunta David Scholefield 21.11.2016 - 18:04
fuente

1 respuesta

1

Como la mayoría de las entradas en Active Directory, las cuentas de computadora tienen un identificador único global (GUID) que sirve como la forma principal en que se identifica su objeto. El nombre de la computadora es una propiedad del objeto de la cuenta de la computadora y, como usted dijo, se puede cambiar. Pero el cambio de nombre no cambia el GUID.

Las computadoras miembros del dominio también son principales de Kerberos en el AD, lo que significa que los controladores de dominio tienen un hash de contraseña de cuenta asociado que pueden usar para autenticar la computadora cuando se conecta. Esta contraseña está asociada con el objeto de cuenta de computadora, por lo que cambiar su nombre no cambia esto.

El cambio de nombre de una computadora podría potencialmente causar algunos problemas de DNS, pero la computadora cuyo nombre ha cambiado aún no tendrá la contraseña correcta para la cuenta de la computadora que está intentando suplantar. Entonces, desde una perspectiva de AD, está claro que la computadora no es quien dice que es.

    
respondido por el PwdRsch 21.11.2016 - 18:20
fuente

Lea otras preguntas en las etiquetas