ActiveDirectory/Join/Rejoin: различия между версиями
Liannnix (обсуждение | вклад) Нет описания правки |
Olga kmv (обсуждение | вклад) мНет описания правки |
||
| (не показана 1 промежуточная версия 1 участника) | |||
| Строка 1: | Строка 1: | ||
Повторный ввод машины в домен с уже существующей учётной записью в домене | Повторный ввод машины в домен с уже существующей учётной записью в домене | ||
Информация актуальна только в случае установленных обновлений от 11 октября 2022 года и позже для Windows Server 2019 и Windows 10 22H2. На поведение машин под управлением ОС ALT данные обновления не влияют. | {{attention|Информация актуальна только в случае установленных обновлений от 11 октября 2022 года и позже для Windows Server 2019 и Windows 10 22H2. На поведение машин под управлением ОС ALT данные обновления не влияют.}} | ||
==Различия между Alt Linux и Windows== | ==Различия между Alt Linux и Windows== | ||
| Строка 21: | Строка 21: | ||
*:# Пользователь из группы администраторов домена. | *:# Пользователь из группы администраторов домена. | ||
*: В случае, когда контроллером домена является Windows Server 2019, пользователь без дополнительных прав по умолчанию имеет возможность ввести в домен не более 10 рабочих станций Windows 10 (изменить это число можно отредактировав атрибут ms-DS-MachineAccountQuota в оснастке Active Directory Service Interfaces Editors (ADSI Edit)), в то же время ввод в домен рабочих станций ALT Workstation без дополнительных прав невозможен. | *: В случае, когда контроллером домена является Windows Server 2019, пользователь без дополнительных прав по умолчанию имеет возможность ввести в домен не более 10 рабочих станций Windows 10 (изменить это число можно отредактировав атрибут ms-DS-MachineAccountQuota в оснастке Active Directory Service Interfaces Editors (ADSI Edit)), в то же время ввод в домен рабочих станций ALT Workstation без дополнительных прав невозможен. | ||
Когда контроллером домена является ALT Server с Samba 4.19.9, ввод в домен рабочих станций ALT Workstation и Windows 10 пользователем, не наделённым дополнительными правами, невозможен. | *:Когда контроллером домена является ALT Server с Samba 4.19.9, ввод в домен рабочих станций ALT Workstation и Windows 10 пользователем, не наделённым дополнительными правами, невозможен. | ||
*'''Обновления безопасности и их влияние''' | *'''Обновления безопасности и их влияние''' | ||
| Строка 29: | Строка 29: | ||
*:Эти обновления добавляют дополнительные проверки безопасности. Подробности можно найти по [https://support.microsoft.com/ru-ru/topic/kb5020276-netjoin-изменения-защиты-присоединения-к-домену-2b65a0f3-1f4c-42ef-ac0f-1caaf421baf8 ссылке]. | *:Эти обновления добавляют дополнительные проверки безопасности. Подробности можно найти по [https://support.microsoft.com/ru-ru/topic/kb5020276-netjoin-изменения-защиты-присоединения-к-домену-2b65a0f3-1f4c-42ef-ac0f-1caaf421baf8 ссылке]. | ||
==Поведение контроллеров доменов== | ==Поведение контроллеров доменов== | ||
Основное различие между доменами с контроллерами доменов | Основное различие между доменами с контроллерами доменов ALT Server с Samba 4.19.9 и Windows Server 2019 заключается в том, что в домен Samba ввести рабочую станцию, может только администратор домена и пользователь наделённый дополнительными правами, в домен на Windows рабочую станцию может ввести любой пользователь. Остальные различия в поведении, определяется на уровне вводимых рабочих станций и групповых политик. | ||
==Поведение рабочих станций== | ==Поведение рабочих станций== | ||
=== | ===ALT Workstation=== | ||
'''Кто может повторно использовать имя уже существующей учётной записи рабочей станции в домене:''' | '''Кто может повторно использовать имя уже существующей учётной записи рабочей станции в домене:''' | ||
# Администратор домена независимо от того, кто является владельцем учётной записи машины. | # Администратор домена независимо от того, кто является владельцем учётной записи машины. | ||
| Строка 49: | Строка 49: | ||
===Вывод=== | ===Вывод=== | ||
''' | '''ALT Workstation''' предоставляет администраторам домена централизованный контроль, позволяя им перезаписывать учётные записи машин независимо от их владельца. | ||
'''Windows 10''' ориентирована на защиту прав владельца учётной записи машины, что делает управление децентрализованным. Администраторы не могут перезаписывать учётные записи, если их владельцами не являются пользователи, состоящие в группе «Администраторы домена». | '''Windows 10''' ориентирована на защиту прав владельца учётной записи машины, что делает управление децентрализованным. Администраторы не могут перезаписывать учётные записи, если их владельцами не являются пользователи, состоящие в группе «Администраторы домена». | ||
Текущая версия от 18:11, 27 ноября 2024
Повторный ввод машины в домен с уже существующей учётной записью в домене
Различия между Alt Linux и Windows
Повторный ввод рабочей станции в домен с именем уже существующей учётной записи машины зависит от операционной системы рабочей станции, а также от типа контроллера домена. Основное отличие заключается в правах пользователя, от имени которого происходит ввод машины в домен: механизм Windows позволяет вводить рабочую станцию в домен без наличия дополнительных прав, тогда как в Samba этот механизм не реализован.
В данной статье будет произведено сравнение контроллеров домена Windows Server 2019 и ALT Server с Samba 4.19.9 и рабочих станций Windows 10 и ALT Workstation.
При сравнении использования учётных записей пользователей с повышенными правами, поведение ввода рабочих станций в домен Windows Server 2019 аналогично поведению ввода в ALT Server с Samba 4.19.9. Однако при повторном вводе в домен выявлены различия между поведением рабочих станций Windows 10 и ALT Workstation. Эти различия обусловлены внутренними механизмами управления правами доступа и проверки владельца учётной записи машины. Различия в поведении определяются на стороне клиентских рабочих станций.
Настройка и управление учётными записями осуществлялись через RSAT на машине с Windows 10, находящейся в домене. Информация о процедуре была обобщена исходя из следующих условий:
- Используемые типы учётных записей
- Попытки повторного ввода в домен проводились с использованием учётных записей следующих типов:
- Администратор домена.
- Пользователь без дополнительных прав.
- Пользователь, владеющий учётной записью машины (с правами на запись и сброс пароля).
- Пользователь с делегированными правами на управление подразделением и, соответственно, учётной записью машины в этом подразделении.
- Пользователь из группы администраторов домена.
- В случае, когда контроллером домена является Windows Server 2019, пользователь без дополнительных прав по умолчанию имеет возможность ввести в домен не более 10 рабочих станций Windows 10 (изменить это число можно отредактировав атрибут ms-DS-MachineAccountQuota в оснастке Active Directory Service Interfaces Editors (ADSI Edit)), в то же время ввод в домен рабочих станций ALT Workstation без дополнительных прав невозможен.
- Когда контроллером домена является ALT Server с Samba 4.19.9, ввод в домен рабочих станций ALT Workstation и Windows 10 пользователем, не наделённым дополнительными правами, невозможен.
- Попытки повторного ввода в домен проводились с использованием учётных записей следующих типов:
- Обновления безопасности и их влияние
- Следует учитывать, что Windows Server 2019 и Windows 10 22H2 (с обновлениями безопасности от 11 октября 2022 года и позже) содержат дополнительные меры защиты, предотвращающие уязвимость CVE-2022-38042. Данные обновления запрещают повторное использование существующей учётной записи компьютера в домене в соответствии с новыми правилами.
- Для Windows Server 2019 обновление KB5018419 - 11 октября 2022 (более новое заменяющее обновление KB5044277 - 9 октября 2024).
- Для Windows 10 22H2 обновление KB5018410 - 11 октября 2022 (более новое заменяющее обновление KB5045594 - 22 октября 2024).
- Эти обновления добавляют дополнительные проверки безопасности. Подробности можно найти по ссылке.
Поведение контроллеров доменов
Основное различие между доменами с контроллерами доменов ALT Server с Samba 4.19.9 и Windows Server 2019 заключается в том, что в домен Samba ввести рабочую станцию, может только администратор домена и пользователь наделённый дополнительными правами, в домен на Windows рабочую станцию может ввести любой пользователь. Остальные различия в поведении, определяется на уровне вводимых рабочих станций и групповых политик.
Поведение рабочих станций
ALT Workstation
Кто может повторно использовать имя уже существующей учётной записи рабочей станции в домене:
- Администратор домена независимо от того, кто является владельцем учётной записи машины.
- Пользователь с делегированными правами на имеющуюся в домене учётную запись машины (с правами на запись и сброс пароля).
Механика повторного ввода:
При наличии вышеуказанных прав, повторный ввод машины в домен всегда завершается успешно. Первая машина с таким же именем теряет связь с доменом. Администратор имеет право перезаписи независимо от владельца учётной записи машины. Пользователи с делегированными правами могут повторно использовать учётную запись машины только при наличии прав на её управление.
Windows 10
Кто может повторно использовать имя уже существующей учётной записи рабочей станции в домене:
- Владелец учётной записи машины, который ранее её создал.
- Пользователь, которому делегировали управление на запись и сброс пароля учётной записи машины.
- Администратор домена (если учётная запись была создана им или другим администратором).
Механика повторного ввода:
Владелец может перезаписать данные учётной записи машины. Первая машина с таким именем теряет связь с доменом. Приоритет прав принадлежит владельцу. Это ограничивает возможность администратора перезаписать учётную запись, если её владелец — пользователь, не состоящий в группе «Администраторов домена».
Вывод
ALT Workstation предоставляет администраторам домена централизованный контроль, позволяя им перезаписывать учётные записи машин независимо от их владельца.
Windows 10 ориентирована на защиту прав владельца учётной записи машины, что делает управление децентрализованным. Администраторы не могут перезаписывать учётные записи, если их владельцами не являются пользователи, состоящие в группе «Администраторы домена».