Globální katalog požadavek serveru pro uživatele a počítače přihlášení

ID článku: 216970 - Produkty, které se vztahují k tomuto článku.
Strojově přeložený článekUPOZORNĚNÍ: TENTO ČLÁNEK BYL STROJOVĚ PŘELOŽEN
Rozbalit všechny záložky | Minimalizovat všechny záložky

Souhrn

Jako součást procesu přihlašování je vytvořen token zabezpečení podle místního úřadu zabezpečení (LSA) obsahující identifikátory zabezpečení (SID) skupin, které uživatel je členem (pro domény a místní počítač) a slouží k identifikaci uživatele a autorizaci při klient se pokusí získat přístup k jejich použití místních a vzdálených prostředků.

Systém Windows 2000 obsahuje nový typ skupiny univerzální skupiny používaného v systému Windows 2000 udělit oprávnění k prostředkům v rámci organizace. Univerzální skupiny mohou být vytvořeny pouze v režimu Native domény a může obsahovat uživatelské účty, globální skupiny a univerzální skupiny z jakékoli domény v doménové struktuře.

Protože univerzální skupiny mohou být vytvořeny v jedné doméně a při sestavené kostky token uživatele obsahovat uživatelské účty nebo skupiny z jiné domény, musí být univerzální skupiny, které je uživatel členem výčtu a přidán do tokenu.

Další informace

Namísto komunikaci s každé domény v doménové struktuře výčet univerzální skupiny z každého seznamu členů každé univerzální skupiny replikovány na servery globální katalog (GC) usnadňuje řadič domény do dotazu jedno umístění pro všechny univerzální skupiny členem je uživatel.

Centrum distribuce klíčů (KDC) na řadič domény, ověřování žádost o přihlášení uživatele v doméně Native režimu je zodpovědný za přidání SID globální skupiny z domény přihlášení uživatele pro vyhledání a komunikaci s GC výčet univerzální skupiny uživatel je členem a přidání SID těchto skupin tokenu uživatele. Pokud v nativního režimu je počítač umístěn v doméně, budou všechny místní skupiny domény z domény členem je uživatel přidán do tokenu. Nakonec jsou všechny místní skupiny z místního počítače členem je uživatel přidán do tokenu.

Server GC automaticky vybrána první řadič domény, která je nainstalována pro dané doménové struktuře. GC server replikuje kopie všech objektů z každé domény v doménové struktuře, ale obsahuje pouze podmnožinu atributů každého objektu. Atributy jsou replikovány jsou ty, které budou používaných v nejčastějších dotazech. Za první řadič domény v doménové struktuře je akce správy provádět ostatní řadiče domény v doménové struktuře serverů GC.

GC servery lze řadiče domény z jakékoli domény. Dojde-li k ověřování, potřebuje vyhledejte globální KATALOG k sestavit univerzální skupiny, do níž patří řadič domény, který ověřuje požadavek na přihlášení uživatele. V případě, že je v doménové struktuře pouze jedna doména, všechny řadiče domény obsahovat stejná data, proto není nutné vyhledejte GC (přestože daný server může být určeny globální KATALOG). Pokud je řadič domény zpracování požadavku na přihlášení uživatele také globální KATALOG, není nutné na vzdálený požadavek na jiného GC. Je žádný požadavek, GC vybrané zpracovat požadavek, být členem domény, do které patří ověřujícím řadiči domény.

Pokud GC server nelze umístěn řadič domény během tohoto procesu:
  • Pokud je účet, který je použit předdefinovaný účet Administrator (RID 0x1F4 nebo desetinné 500), Windows 2000 umožňuje přihlášení probíhat bez řadiče domény kontaktovat globální KATALOG.
  • Pokud existují pověření v mezipaměti pro uživatele v místním počítači, uživatel přihlášen s těchto pověření. Přístup k prostředkům sítě musí být ověřeny individuálně. Pokud klient používá Kerberos použít prostředky serveru, musí být KDC kontaktovat získání lístku pro server nebo pokud používá NTLM je vyžadováno předávací ověřování.
  • Pokud pověření v mezipaměti neexistuje, bude uživateli odepřen přihlášení.
Z těchto důvodů je důležité Poznámka: získávání uživatele přihlášeni pomocí pověření uložených v mezipaměti nebo právě odepřen přihlášení by výsledek nedaří najít žádné GC řadič domény. Protože všechny globální katalogy obsahovat stejné informace (s výjimkou čekací doby replikace), lze použít libovolné GC. Pokud místní GC se stane být offline, můžete vzdálený GC a bude použit. Z důvodů výkonu a efektivita šířky pásma může být výhodná hostitele místní GC v každé síti. Klienty a řadiči domény raději komunikaci s GC v místní síti před použitím vzdálené GC jiný web.

Tento proces proběhne při každém přihlášení a je konzistentní s nižší úrovně chování; Pokud uživatel přidán nebo odebrán ze skupiny, neprojeví se změna až do vypnutí a zpět na přihlášení uživatele.

V režimu smíšené doméně nelze vytvořit univerzální skupiny. Pokud počítač se systémem Windows 2000 je umístěn v nižší úrovni nebo kombinace režimu domény, různé chování. Jiných domén může být v nativního režimu a univerzální skupiny bylo pravděpodobně vytvořeno, které obsahují uživatele jako člen. Ověřování požadavku na přihlášení řadič domény bude přidat SID globální skupiny, které je uživatel členem tokenu uživatele a místního počítače přidá SID skupiny členů v místním počítači jako odpovídající je uživatel. Dojde-li pokus o použití zdroje v jiné doméně, počítač hostitelem prostředku kontaktů řadič domény pro doménu, která přidá SID místní skupiny této domény (která může obsahovat univerzální skupiny) člen tokenu uživatele je uživatel.

Klienty nižší úrovně podléhají také toto chování. Všimněte si, že počítače jsou komitentů zabezpečení a mohou být ovlivněny stejným způsobem. Výčet skupin, do které počítač patří také provést při spuštění počítače.

Vlastnosti

ID článku: 216970 - Poslední aktualizace: 24. února 2007 - Revize: 3.2
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
Klíčová slova: 
kbmt kbenv kbinfo kbnetwork KB216970 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:216970
(http://support.microsoft.com/kb/216970/en-us/ )
Zpět nahoru | Dejte nám zpětnou vazbu

Dejte nám zpětnou vazbu

 
Zpět nahoruZpět nahoru