Что такое домен в windows

Обмен информацией между доменами

Домены Windows

В этом разделе дается краткий обзор доменов и того, каким образом Windows XP Professional вписывается в их среду.

Что такое домен?

Домены облегчают жизнь пользователей, так как последним не обязательно знать многочисленные пароли различных устройств, как это было в рабочих группах. В домене управление паролями и разрешениями происходит централизованно. Когда глава НАСА желает получить доступ к домену через свой компьютер в офисе или через другую рабочую станцию, то его информация автоматически посылается одним из контроллеров домена на компьютер, которым он в данный момент пользуется.

Microsoft рекомендует использовать домены как можно шире (разумеется, так они смогут продавать больше серверных продуктов). Но домены содержат качества, отсутствующие в рабочих группах. Большую часть работы домен выполняет посредством системы Active Directory. Мы будем обсуждать Active Directory и роль Windows XP Professional в службе каталога далее в лекции.

Как работает домен

Примечание. Для простоты будем считать, что домен находится под контролем Windows 2000 Server. Однако его функциональность сохраняется и для Windows Server 2003.

Для нормальной работы домена содержимое Active Directory должно обновляться для всех контроллеров домена своевременно. В системе Windows 2000 для поддержания на всех контроллерах доменов наличия текущей (свежей) информации используется множественное копирование (репликация). Вместо использования линейной базы данных, копирующейся с одного контроллера домена на другой, подчиненный ему контроллер домена (как это делается в Windows NT), все контроллеры доменов системы Windows 2000 считаются устройствами одного ранга. Поэтому изменения на одном из контроллеров копируются на все контроллеры доменов.

По умолчанию репликация происходит каждые 5 минут в пределах одного домена. Для выполнения бесперебойного копирования компонент Knowledge Consistency Checker (KCC) (Проверка согласованности знаний), работающий в контроллерах доменов, создает логическую замкнутую схему (кольцо), в которую входят все контроллеры домена данного сайта, и автоматически создает соединения для реализации этой схемы. Копирование продолжается по кругу, до тех пор пока не дойдет до исходного DC.

Источник

[Конспект админа] Домены, адреса и Windows: смешивать, но не взбалтывать

Для преобразования имени в IP-адрес в операционных системах Windows традиционно используются две технологии – NetBIOS и более известная DNS.

Дедушка NetBIOS

NetBIOS (Network Basic Input/Output System) – технология, пришедшая к нам в 1983 году. Она обеспечивает такие возможности как:

регистрация и проверка сетевых имен;

установление и разрыв соединений;

связь с гарантированной доставкой информации;

связь с негарантированной доставкой информации;

В рамках этого материала нас интересует только первый пункт. При использовании NetBIOS имя ограниченно 16 байтами – 15 символов и спец-символ, обозначающий тип узла. Процедура преобразования имени в адрес реализована широковещательными запросами.

Широковещательным называют такой запрос, который предназначен для получения всеми компьютерами сети. Для этого запрос посылается на специальный IP или MAC-адрес для работы на третьем или втором уровне модели OSI.

Для работы на втором уровне используется MAC-адрес FF:FF:FF:FF:FF:FF, для третьего уровня в IP-сетях адрес, являющимся последним адресом в подсети. Например, в подсети 192.168.0.0/24 этим адресом будет 192.168.0.255

Интересная особенность в том, что можно привязывать имя не к хосту, а к сервису. Например, к имени пользователя для отправки сообщений через net send.

Пример работы кэша для разрешения имени узла «хр».

Что происходило при этом с точки зрения сниффера.

В крупных сетях из-за ограничения на количество записей и срока их жизни кэш уже не спасает. Да и большое количество широковещательных запросов запросто может замедлить быстродействие сети. Для того чтобы этого избежать, используется сервер WINS (Windows Internet Name Service). Адрес сервера администратор может прописать сам либо его назначит DHCP сервер. Компьютеры при включении регистрируют NetBIOS имена на сервере, к нему же обращаются и для разрешения имен.

В сетях с *nix серверами можно использовать пакет программ Samba в качестве замены WINS. Для этого достаточно добавить в конфигурационный файл строку «wins support = yes». Подробнее – в документации.

В отсутствие службы WINS можно использовать файл lmhosts, в который система будет «заглядывать» при невозможности разрешить имя другими способами. В современных системах по умолчанию он отсутствует. Есть только файл-пример-документация по адресу %systemroot%\System32\drivers\etc\lmhost.sam. Если lmhosts понадобится, его можно создать рядом с lmhosts.sam.

Сейчас технология NetBIOS не на слуху, но по умолчанию она включена. Стоит иметь это ввиду при диагностике проблем.

Стандарт наших дней – DNS

DNS (Domain Name System) – распределенная иерархическая система для получения информации о доменах. Пожалуй, самая известная из перечисленных. Механизм работы предельно простой, рассмотрим его на примере определения IP адреса хоста www.google.com:

если в кэше резолвера адреса нет, система запрашивает указанный в сетевых настройках интерфейса сервер DNS;

сервер DNS смотрит запись у себя, и если у него нет информации даже о домене google.com – отправляет запрос на вышестоящие сервера DNS, например, провайдерские. Если вышестоящих серверов нет, запрос отправляется сразу на один из 13 (не считая реплик) корневых серверов, на которых есть информация о тех, кто держит верхнюю зону. В нашем случае – com.

после этого наш сервер спрашивает об имени www.google.com сервер, который держит зону com;

Наглядная схема прохождения запроса DNS.

Разумеется, DNS не ограничивается просто соответствием «имя – адрес»: здесь поддерживаются разные виды записей, описанные стандартами RFC. Оставлю их список соответствующим статьям.

Сам сервис DNS работает на UDP порту 53, в редких случаях используя TCP.

DNS переключается на TCP с тем же 53 портом для переноса DNS-зоны и для запросов размером более 512 байт. Последнее встречается довольно редко, но на собеседованиях потенциальные работодатели любят задавать вопрос про порт DNS с хитрым прищуром.

Также как и у NetBIOS, у DNS существует кэш, чтобы не обращаться к серверу при каждом запросе, и файл, где можно вручную сопоставить адрес и имя – известный многим %Systemroot%\System32\drivers\etc\hosts.

В отличие от кэша NetBIOS в кэш DNS сразу считывается содержимое файла hosts. Помимо этого, интересное отличие заключается в том, что в кэше DNS хранятся не только соответствия доменов и адресов, но и неудачные попытки разрешения имен. Посмотреть содержимое кэша можно в командной строке с помощью команды ipconfig /displaydns, а очистить – ipconfig /flushdns. За работу кэша отвечает служба dnscache.

На скриншоте видно, что сразу после чистки кэша в него добавляется содержимое файла hosts, и иллюстрировано наличие в кэше неудачных попыток распознавания имени.

При попытке разрешения имени обычно используются сервера DNS, настроенные на сетевом адаптере. Но в ряде случаев, например, при подключении к корпоративному VPN, нужно отправлять запросы разрешения определенных имен на другие DNS. Для этого в системах Windows, начиная с 7\2008 R2, появилась таблица политик разрешения имен (Name Resolution Policy Table, NRPT). Настраивается она через реестр, в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DnsClient\DnsPolicyConfig или групповыми политиками.

Настройка политики разрешения имен через GPO.

При наличии в одной сети нескольких технологий, где еще и каждая – со своим кэшем, важен порядок их использования.

Порядок разрешения имен

Операционная система Windows пытается разрешить имена в следующем порядке:

проверяет, не совпадает ли имя с локальным именем хоста;

смотрит в кэш DNS распознавателя;

если в кэше соответствие не найдено, идет запрос к серверу DNS;

если имя хоста «плоское», например, «servername», система обращается к кэшу NetBIOS. Имена более 16 символов или составные, например «servername.domainname.ru» – NetBIOS не используется;

если не получилось разрешить имя на этом этапе – происходит запрос на сервер WINS;

если постигла неудача, то система пытается получить имя широковещательным запросом, но не более трех попыток;

Для удобства проиллюстрирую алгоритм блок-схемой:

Алгоритм разрешения имен в Windows.

То есть, при запуске команды ping server.domain.com NetBIOS и его широковещательные запросы использоваться не будут, отработает только DNS, а вот с коротким именем процедура пойдет по длинному пути. В этом легко убедиться, запустив простейший скрипт:

Выполнение второго пинга происходит на несколько секунд дольше, а сниффер покажет широковещательные запросы.

Сниффер показывает запросы DNS для длинного имени и широковещательные запросы NetBIOS для короткого.

Отдельного упоминания заслуживают доменные сети – в них запрос с коротким именем отработает чуть по-другому.

Active Directory и суффиксы

Active Directory тесно интегрирована с DNS и не функционирует без него. Каждому компьютеру домена создается запись в DNS, и компьютер получает полное имя (FQDN — fully qualified domain name) вида name.subdomain.domain.com.

Для того чтоб при работе не нужно было вводить FQDN, система автоматически добавляет часть имени домена к хосту при различных операциях – будь то регистрация в DNS или получение IP адреса по имени. Сначала добавляется имя домена целиком, потом следующая часть до точки.

При попытке запуска команды ping servername система проделает следующее:

если в кэше DNS имя не существует, система спросит у DNS сервера о хосте servername.subdomain.domain.com;

При этом к составным именам типа www.google.com суффиксы по умолчанию не добавляются. Это поведение настраивается групповыми политиками.

Настройка добавления суффиксов DNS через групповые политики.

Настраивать DNS суффиксы можно также групповыми политиками или на вкладке DNS дополнительных свойств TCP\IP сетевого адаптера. Просмотреть текущие настройки удобно командой ipconfig /all.

Суффиксы DNS и их порядок в выводе ipconfig /all.

Однако утилита nslookup работает немного по-другому: она добавляет суффиксы в том числе и к длинным именам. Посмотреть, что именно происходит внутри nslookup можно, включив диагностический режим директивой debug или расширенный диагностический режим директивой dc2. Для примера приведу вывод команды для разрешения имени ya.ru:

Из-за суффиксов утилита nslookup выдала совсем не тот результат, который выдаст например пинг:

Это поведение иногда приводит в замешательство начинающих системных администраторов.

Лично сталкивался с такой проблемой: в домене nslookup выдавал всегда один и тот же адрес в ответ на любой запрос. Как оказалось, при создании домена кто-то выбрал имя domain.com.ru, не принадлежащее организации в «большом интернете». Nslookup добавляла ко всем запросам имя домена, затем родительский суффикс – com.ru. Домен com.ru в интернете имеет wildcard запись, то есть любой запрос вида XXX.com.ru будет успешно разрешен. Поэтому nslookup и выдавал на все вопросы один ответ. Чтобы избежать подобных проблем, не рекомендуется использовать для именования не принадлежащие вам домены.

При диагностике стоит помнить, что утилита nslookup работает напрямую с сервером DNS, в отличие от обычного распознавателя имен. Если вывести компьютер из домена и расположить его в другой подсети, nslookup будет показывать, что всё в порядке, но без настройки суффиксов DNS система не сможет обращаться к серверам по коротким именам.

Отсюда частые вопросы – почему ping не работает, а nslookup работает.

В плане поиска и устранения ошибок разрешения имен могу порекомендовать не бояться использовать инструмент для анализа трафика – сниффер. С ним весь трафик как на ладони, и если добавляются лишние суффиксы, то это отразится в запросах DNS. Если запросов DNS и NetBIOS нет, некорректный ответ берется из кэша.

Если же нет возможности запустить сниффер, рекомендую сравнить вывод ping и nslookup, очистить кэши, проверить работу с другим сервером DNS.

Кстати, если вспомните любопытные DNS-курьезы из собственной практики – поделитесь в комментариях.

Источник

Вопросы и ответы о доменах

В этой статье содержатся ответы на часто задамые вопросы о доменах в Microsoft 365.

Если вы не нашли ответ на свой вопрос, оставьте комментарий и мы добавим его в список.

Что такое приоритет записей MX?

Почта доставляется на сервер почтового обменника, который имеет наименьший номер предпочтения (наивысший приоритет), поэтому у записи MX, которая используется для маршрутизации, должен быть наименьший номер предпочтения (обычно 0) или высокий приоритет.

При создании записи MX большинство поставщиков услуг размещения DNS требуют указать номер предпочтения.

Если у вас только одна запись MX, подойдет любое значение.

Если у вас есть несколько таких записей, убедитесь, что запись MX, используемая для маршрутизации почты, имеет более высокий приоритет, чем та, которая применяется для подтверждения владения доменом.

Как проверить записи SPF для домена?

Важно иметь или создавать только одну запись TXT для SPF. Если у вас уже есть запись SPF, следует Microsoft 365 к ней новые значения, а не создавать новые. После того как вы добавили или обновили запись SPF для электронной почты Майкрософт, убедитесь, что синтаксис является правильным с помощью одного из этих средств:

Что такое доменное имя?

Использование настраиваемой области типа @ «rob contoso.com» с Microsoft 365 может помочь создать доверие к вашему бренду и его узнаваемость.

Вы можете купить домен в Microsoft 365и мы его автоматически настроим, или вы можете купить или привезти из регистратора домена.

Что произойдет, если поставщик DNS не поддерживает некоторые типы записей?

Если вы управляете собственными записями DNS, а ваш DNS-хост не поддерживает все DNS-записи, которые Microsoft 365, некоторые Microsoft 365 не будут работать. Мы рекомендуем передать домен регистратору, который поддерживает все необходимые записи DNS.

Поставщики, поддерживающие все необходимые записи DNS:

Nearly Free Speech

Network Information Center (NIC)

Как установить или изменить домен по умолчанию в Microsoft 365?

Необходимо иметь по крайней мере один пользовательский домен, который вы Microsoft 365, прежде чем выбрать домен по умолчанию.

На странице Домены выберите домен, который необходимо установить по умолчанию для новых адресов электронной почты.

Нажмите кнопку По умолчанию.

Изменить имя первоначального домена .onmicrosoft.com невозможно.

Изменение домена по умолчанию не влияет на учетные данные пользователей или их доступ к приложениям или службам. Изменение домена, с который связан пользователь, повлияет на учетные данные почты, хранения в Интернете и входа.

Могу ли я добавить настраиваемые поддомены или несколько доменов в Microsoft 365?

Да. Чтобы добавить поддомены, необходимо управлять собственными настройками DNS на веб-сайте регистратора. Если вы позволяете Корпорации Майкрософт управлять настройками DNS с помощью записей NS или приобрели домен у Microsoft, вы не можете добавлять поддомены.

Конечно! Чтобы добавить поддомены, необходимо управлять собственными настройками DNS на веб-сайте регистратора. Если вы позволяете Корпорации Майкрософт управлять настройками DNS с помощью записей NS или приобрели домен у Microsoft, вы не можете добавлять поддомены.

Конечно! Чтобы добавить поддомены, необходимо управлять собственными настройками DNS на веб-сайте регистратора. Если вы позволяете 21Vianet управлять настройками DNS с записями NS, нельзя добавлять поддомены.

Как правило, вы можете добавить до 900 доменов в Microsoft 365 подписку.

При добавлении поддомена он автоматически проверяется на основе родительского домена, который проверяется.

При добавлении нескольких доменов в Microsoft 365 вы можете использовать любые службы (например, электронную почту) в любом из добавленных доменов. При изменении электронной почты на Microsoft 365, обновив запись MX домена, вся электронная почта, отправленная в этот домен, начнет приходить в Microsoft 365.

Если вы добавили домен contoso.com в подписку Microsoft 365, можно также добавить xyz.contoso.com в другую Microsoft 365 организацию. При добавлении поддомена вам будет предложено добавить запись TXT в поставщике хостинга DNS.

Как перенести домен из Microsoft 365 на другой хост?

Процедуру передачи домена см. в примере Перенос домена из Microsoft в другой хост.

Тестирование Microsoft 365 с личного домена

Процедуру пилотного Microsoft 365 электронной почты из настраиваемого домена в почтовый ящик Microsoft 365 см. в Microsoft 365 из моего настраиваемого домена.

Почему у меня есть домен onmicrosoft.com?

Microsoft 365 создает домен для вас, как и contoso.onmicrosoft.com, при регистрации в службе. Пользовательский ID, который создается при регистрации, включает домен, например alan@contoso.onmicrosoft.com.

Если вы @ хотите, чтобы ваша электронная почта выглядела как alan contoso.com: купите домен или просто выполните действия в Добавить пользователей и домен, чтобы Microsoft 365 если он у вас уже есть.

Домен onmicrosoft невозможно переименовать после регистрации. Например, если первоначально вы выбрали домен fourthcoffee.onmicrosoft.com, его не удастся переименовать в fabrikam.onmicrosoft.com. Чтобы использовать другой onmicrosoft.com, необходимо запустить новую подписку с Microsoft 365.

Нельзя переименовать URL-адрес сайта группы. URL-адрес сайта группы основан на onmicrosoft.com имени домена. К сожалению, из-за SharePoint архитектуры в Интернете нельзя переименовать сайт команды.

Домен onmicrosoft невозможно удалить. Microsoft 365 необходимо сохранить его, так как он используется за кулисами для подписки. Несмотря на это, вы можете им не пользоваться, если добавите личный домен.

При желании можно продолжить использование исходного домена onmicrosoft.com даже после добавления личного домена. Он будет поддерживаться в электронной почте и других службах.

Почему у меня есть домен «onmicrosoft.de»?

Microsoft 365 создает домен для вас, как и contoso.onmicrosoft.de, при регистрации в службе. Пользовательский ID, который создается при регистрации, включает домен, например alan@contoso.onmicrosoft.de.

Если вы хотите, чтобы ваша электронная почта выглядела как alan@contoso.de: купить домен или просто следовать шагам в Добавить пользователей и домена, чтобы Microsoft 365, если у вас уже есть его.

Домен onmicrosoft невозможно переименовать после регистрации. Например, если выбранный вами первоначальный домен fourthcoffee.onmicrosoft.de, изменить его на fabrikam.onmicrosoft.de. Чтобы использовать другой домен onmicrosoft.de, необходимо запустить новую подписку с Microsoft 365.

Нельзя переименовать URL-адрес сайта группы. URL-адрес сайта группы основан на вашем onmicrosoft.de доменном имени. К сожалению, из-за SharePoint архитектуры в Интернете нельзя переименовать сайт команды.

Домен onmicrosoft невозможно удалить. Microsoft 365 необходимо сохранить его, так как он используется за кулисами для подписки. Несмотря на это, вы можете им не пользоваться, если добавите личный домен.

Вы можете продолжать использовать начальный домен onmicrosoft.de даже после добавления домена. Он будет поддерживаться в электронной почте и других службах.

Как проверить состояние некоммерческой организации или образования?

Чтобы запустить мастер, выберите установку в центре администрирования. (Не забудьте войти в Microsoft 365.)

Чтобы стать администратором для вашей школы, выберите параметр Стать администратором в Microsoft 365.

Вам будет предложено добавить запись TXT DNS на веб-сайте DNS для вашего домена. Почему? Так как, вписавшись в DNS-хост и добавив запись для домена, вы Microsoft 365, что у вас есть доменное имя.

После добавления записи вы возвращались на портал Microsoft 365 и подтверждали, что она добавлена, чтобы Microsoft 365 проверить.

Есть некоммерческая организация и хотите получить Microsoft 365? Убедитесь, что организация имеет право на обслуживание, а затем зарегистрившись в службе.

Хотите узнать больше о том, как стать администратором вашей школы? Узнайте все об этом.

Источник

Что такое Домен Windows и как он влияет на мой компьютер?

Домены Windows обычно используются в больших сетях — корпоративных сетях, школьных сетях и государственных сетях. Они не то, с чем вы столкнётесь дома, если у вас нет ноутбука, предоставленного вашим работодателем или учебным заведением.

Типичный домашний компьютер — обособленный объект. Вы управляете настройками и учётными записями пользователей на компьютере. Компьютер, присоединённый к домену, отличается — этими настройками управляет контроллер домена.

Что такое домен?

Домены Windows предоставляют сетевым администраторам возможность управлять большим количеством компьютеров и контролировать их из одного места. Один или несколько серверов, известных как контроллеры домена, контролируют домен и компьютеры на нём.

Домены обычно состоят из компьютеров в одной локальной сети. Однако компьютеры, присоединённые к домену, могут продолжать обмениваться данными со своим контроллером домена через VPN или подключение к Интернету. Это позволяет предприятиям и учебным заведениям удалённо управлять ноутбуками, которые они предоставляют своим сотрудникам и учащимся.

Когда компьютер присоединён к домену, он не использует свои собственные локальные учётные записи пользователей. Учётные записи пользователей и пароли устанавливаются на контроллере домена. Когда вы входите в систему в этом домене, компьютер аутентифицирует имя вашей учётной записи и пароль с помощью контроллера домена. Это означает, что вы можете войти в систему с одним и тем же именем пользователя и паролем на любом компьютере, присоединённом к домену.

Сетевые администраторы могут изменять параметры групповой политики на контроллере домена. Каждый компьютер в домене получит эти настройки от контроллера домена, и они переопределят любые локальные настройки, указанные пользователями на своих компьютерах. Все настройки контролируются из одного места. Это также «блокирует» компьютеры. Вероятно, вам не будет разрешено изменять многие системные настройки на компьютере, присоединённом к домену.

Другими словами, когда компьютер является частью домена, организация, предоставляющая этот компьютер, управляет и настраивает его удалённо. Они контролируют ПК, а не тот, кто им пользуется.

Поскольку домены не предназначены для домашних пользователей, к домену можно присоединить только компьютер с версией Windows Professional или Enterprise. Устройства под управлением Windows RT также не могут присоединяться к доменам.

Является ли мой компьютер частью домена?

Если у вас есть домашний компьютер, он почти наверняка не является частью домена. Вы можете настроить контроллер домена дома, но нет причин для этого, если вам действительно это не нужно для чего-то. Если вы используете компьютер на работе или в школе, скорее всего, ваш компьютер является частью домена. Если у вас есть портативный компьютер, предоставленный вам на работе или в школе, он также может быть частью домена.

Вы можете быстро проверить, является ли ваш компьютер частью домена. Откройте приложение «Параметры» (Win+x).

Нажмите «Система».

Перейдите на вкладку «О программе» и найдите пункт «Переименовать этот ПК (для опытных пользователей)»:

Если вы видите «Домен»: за которым следует имя домена, ваш компьютер присоединён к домену.

Если вы видите «Рабочая группа»: за которым следует имя рабочей группы, ваш компьютер присоединён к рабочей группе, а не к домену.

В англоязычной версии это соответственно «Settings» → «System» → «About» → «Rename this PC (advanced)».

Чем рабочие группы отличаются от доменов

Рабочая группа — это термин Microsoft для компьютеров Windows, подключённых через одноранговую сеть. Рабочие группы — это ещё одна организационная единица для компьютеров Windows в сети. Рабочие группы позволяют этим машинам обмениваться файлами, доступом в Интернет, принтерами и другими ресурсами по сети. Одноранговая сеть устраняет необходимость в сервере для аутентификации.

Каждый компьютер Windows, не присоединённый к домену, является частью рабочей группы. Рабочая группа — это группа компьютеров в одной локальной сети. В отличие от домена, ни один компьютер в рабочей группе не контролирует другие компьютеры — все они объединены на равных. Для рабочей группы пароль также не требуется.

Как присоединиться к домену или выйти из домена

Если ваш компьютер является частью домена, присоединение к домену или выход из него обычно не является вашей работой. Если ваш компьютер должен быть в домене, он уже будет присоединён к домену, когда он будет передан вам. Обычно для выхода из домена требуется разрешение администратора домена, поэтому люди, которые садятся за использование компьютера, присоединённого к домену, не могут просто покинуть домен. Однако вы можете покинуть домен, если у вас есть права локального администратора на вашем ПК. Конечно, у вас не будет доступа администратора, если вы используете заблокированный компьютер.

Если вы хотите присоединиться к домену или выйти из домена, то откройте приложение «Параметры» (Win+x) → нажмите «Система» → перейдите на вкладку «О программе» и найдите пункт «Переименовать этот ПК (для опытных пользователей)».

Вы увидите две кнопки:

Если вы нажмёте кнопку «Идентификация», то откроется мастер присоединения к домену.

Для присоединения к домену вам нужно будет ответить на несколько вопросов и потребуется имя домена и учётные данные пользователя на этом домене.

Если вы нажмёте кнопку «Изменить», то откроется окно изменения имени рабочей группы или домена.

Если у вас есть старый компьютер, подключенный к домену, и у вас больше нет доступа к домену, вы всегда можете получить доступ к компьютеру, переустановив Windows. Настройки домена привязаны к вашей установленной операционной системе, и переустановка Windows даст вам новую систему. Вы, конечно, не должны делать это с рабочим или школьным компьютером, который не является вашей собственностью!

Домены ограничивают то, что вы можете делать на своём компьютере. Когда ваш компьютер является частью домена, контроллер домена отвечает за ваши действия. Вот почему они используются в крупных корпоративных и образовательных сетях — они позволяют учреждению, которое предоставляет компьютеры, заблокировать их и централизованно управлять ими.

Источник