Можно назвать компьютер так же, как домен?

Question

Можно назвать компьютер так же, как домен?

Если у меня есть домен под названием "HOUSE" с пользователем "JOHN", можно ли переименовать компьютер в "HOUSE" с локальным пользователем "JOHN"?

Так что оба были бы ДОМОМ \ ДЖОНОМ.

Изменить: я должен добавить, ПК находится в домене "ДОМ".

-1

windows active-directory user-accounts

Источник

Carl Reid 24 фев '15 в 16:20

2 ответа

Решение

В ответ на ваш комментарий:

Я не пытаюсь что-то решить, мне просто интересно, смогу ли я подделать имя пользователя "HOUSE\JOHN" (домен \ пользователь), не зная пароль домена "HOUSE \ JOHN". (PCName \ пользователь)

Я предполагаю, что вы имеете в виду доступ к акциям или что-то еще.

Нет, если вы называете свой компьютер DOMAINNAME и используете учетную запись локального пользователя с тем же именем, что и учетная запись домена, вы не получите доступ к материалам учетной записи домена.

Если ресурс использует Kerberos, он запросит билет Kerberos. Вы получаете билет Kerberos от контроллера домена после предоставления метки времени, зашифрованной с помощью хэша пароля пользователя с утвержденной рабочей станции. Контроллер домена не будет "одурачен" при выдаче билета Kerberos локальной учетной записи из-за похожих имен. (Это упрощение; больше информации о Kerberos здесь и здесь.)

Если ресурс использует NTLM, он отправит однонаправленный хэш текущего пароля на ресурс. (Также упрощение; см. Больше здесь.)

(Active Directory будет рассматривать компьютер с именем House в домене House как HOUSE\House. Вот статья об соглашениях об именах AD.)

3

Источник

Katherine Villyard 24 фев '15 в 20:00

Другие вопросы по тегам windows active-directory user-accounts

Jon Moody 24 фев '15 в 19:58 2015-02-24 19:58 · Accepted Answer · 2015-02-24 19:58

Да, это позволит вам создать компьютерный объект домена с тем же именем, что и у домена. Однако контекстом по умолчанию (на экране входа в систему) будет вход в домен, а не локальный вход, и для аутентификации потребуются действительные учетные данные домена.

Если вам удастся войти в систему локально на ПК, он не предоставит вам доступ на уровне домена. Названия доменов и компьютеров просто помечены для вашей справки. Учетные записи внутренне ссылаются на различные идентификаторы. Одноименное имя не позволяет вам проскользнуть в черный ход. Active Directory правильно распознает домен и компьютер как отдельные локальные компьютеры с отдельными наборами разрешений.

Установка одинаковых имен только затрудняет выбор нужного контекста.