Was passiert wenn eine Rechner in die Domaine aufgenommen wird
Version vom 10. Oktober 2024, 04:51 Uhr von Thomas.will (Diskussion | Beiträge)
- Kerberos-Ticket-Austausch
- Der Rechner fordert ein Ticket Granting Ticket (TGT) vom Key Distribution Center (KDC) des Active Directory-Domänencontrollers (DC) an.
- Dabei authentifiziert sich der Benutzer mit einem Domänenkonto.
- Erstellung eines Maschinenkontos in Active Directory
- Der Domänencontroller erstellt ein Maschinenkonto für den Rechner in der Active Directory-Datenbank unter "Computers".
- Dieses Konto enthält eine Security Identifier (SID) und weitere Informationen wie den DNS-Namen des Rechners.
- DNS-Registrierung
- Der Rechner registriert seinen vollqualifizierten Domänennamen (FQDN) und seine IP-Adresse im DNS der Domäne, sodass er über DNS im Netzwerk aufgelöst werden kann.
- Zeitsynchronisation
- Der Rechner synchronisiert seine Zeit mit dem Domänencontroller, üblicherweise über NTP. Kerberos erfordert eine enge Synchronisation der Zeit (Abweichungen von mehr als 5 Minuten führen zu Ticket-Fehlern).
- LDAP-Verbindung
- Der Rechner kommuniziert über LDAP (Lightweight Directory Access Protocol) mit dem Domänencontroller, um Benutzerinformationen und Gruppenmitgliedschaften abzurufen, wenn dies für die Authentifizierung oder Autorisierung notwendig ist.
- Authentifizierung und Gruppenrichtlinien
- Nach dem Domänenbeitritt kann der Rechner Domänenbenutzer authentifizieren und, je nach Konfiguration, rudimentäre Gruppenrichtlinien (GPOs) anwenden.
- Maschinenpasswort
- Ein Maschinenpasswort wird zwischen dem Rechner und dem Domänencontroller ausgetauscht und automatisch alle 30 Tage erneuert, um die Sicherheit zu gewährleisten.