コンピューターがActive Directoryドメインに参加するとどうなりますか？

クライアントがADドメインに参加するときに、どのような変更がクライアントに適用されますか？

ネットワークに接続されていない場合、ドメインメンバーはどのように動作しますか？ユーザーはログインできますか？ネットワーク外でもドメインユーザーポリシーは適用されますか？

Active Directoryの包括的な紹介を提供する包括的なリソースを知っている場合は、投稿してください。

ありがとう

それでもログインできるのは、アカウントがコンピューターにキャッシュされているためです。実際、そのように動作するはずです。そうしないと、ローカルアカウントがなければラップトップをネットワークから使用できなくなります。企業にとってこれは悪夢です。

ドメインに初めてログインすると、アカウントとその特権に関する情報がグループポリシーオブジェクト（GPO）と一緒に構成されます。そのため、最初のログインに非常に時間がかかります。

コンピューターをADドメインに参加させると、コンピューターのドメインにアカウントが作成されます。これにより、コンピューターはドメイン内で制御可能、構成可能、認証済みの個人として存在できます。これは、デスクトップの外観からWindowsの更新まで、Windowsでクライアントに構成可能なものすべてに関するポリシーを強制することができ、クライアントにログインしているユーザーに対しても変更できることを意味します。

ログインに関する 2003 technetの記事でログインがどのように機能するかについてのMicrosoftのドキュメントは次のとおりです。

コンピューターがWindowsドメインに参加すると、あらゆる種類のことが起こります。最も重要なもの：

• ドメイン内のユーザーアカウントは、システム上の有効なユーザーになり、ログオンできます（制限が適用されない限り）。
• ドメイン管理者は、システムの管理者権限を取得します。
• コンピューター自体がドメイン内のアカウントを取得し、それを使用して他のコンピューターに対して認証します。
• ローカルユーザーアカウントはアクティブなままであり、システムへのログオンに引き続き使用できます。ドメイン内の他のコンピューターによって認識されません。
• コンピューター名は、ドメインDNSに登録されます（動的更新をサポートしている場合）。
• ドメインで定義され、コンピューターを対象とするグループポリシーは、システムに影響します。
• ドメインで定義され、ユーザーを対象とするグループポリシーは、コンピューターにログオンするドメインユーザーに影響します。

コンピューターがドメインのメンバーであるがドメインコントローラーに接続できない場合、ユーザーの資格情報を検証できないため、ドメインログオンは失敗します。例外は最後にログオンしたユーザーです。これはデフォルトでキャッシュされ、記憶されていますが、引き続きログオンできます。したがって、最後にログオンしたユーザーがDOMAIN \ UserAであった場合、同じユーザーアカウントでの切断ログオンは成功しますが、DOMAIN \ UserBなどでのログオンは失敗します。（この動作はポリシーを介して構成可能です）。

切断されたシナリオでも、グループポリシーは適用されたままです。

1. クライアントは、スタンドアロンのワークグループコンピューターではなく、ドメインコンピューターになります。
2. グループポリシーによって設定されているため、ネットワークケーブルを抜いた場合でもワークステーションにログインできます。この設定（コンピューターポリシー-Windows設定-ローカルポリシー-セキュリティオプション）と呼ばれる対話型ログオン：キャッシュへの以前のログオンの数（ドメインコントローラーが利用できない場合）は、この動作を引き起こします。これは仕様によるものです。
3. ケーブルを外したときに、ユーザーがそのワークステーションに以前にログインしたドメインアカウントでログインすると、マシンはドメインコントローラーが利用可能だったときのグループポリシーの最後のセットを復元します。
4. Windowsのキャッシュされた資格情報セキュリティ