Anforderungen des globalen Katalogservers an die Anmeldung von Benutzern und Computern

Beim Anmeldevorgang wird von der lokalen Sicherheitsautorität (LSA) ein Sicherheitstoken erstellt, das die Sicherheits-IDs (SIDs) der Gruppen enthält, deren Mitglied der Benutzer ist (sowohl für die Domäne als auch den lokalen Computer). Es dient zur Identifizierung des Benutzers und autorisiert die Verwendung von lokalen und Remoteressourcen, wenn der Client versucht, darauf Zugriff zu erhalten.

Windows 2000 enthält einen neuen Gruppentyp, die universelle Gruppe, mit deren Hilfe in Windows 2000 Berechtigungen für Ressourcen im gesamten Unternehmen gewährt werden. Eine universelle Gruppe kann nur in einer Domäne erstellt werden, die sich im einheitlichen Modus befindet, und kann Benutzerkonten, globale Gruppen und universelle Gruppen aus beliebigen Domänen in der Gesamtstruktur umfassen.

Da universelle Gruppen in einer bestimmten Domäne erstellt werden, jedoch Benutzerkonten oder Gruppen einer anderen Domäne enthalten können, müssen die universellen Gruppen, deren Mitglied ein Benutzer ist, beim Erstellen eines Benutzertokens aufgelistet und zum Token hinzugefügt werden.

Anstatt mit den einzelnen Domänen in der Gesamtstruktur zu kommunizieren, um die universellen Gruppen aufzulisten, wird die Liste der Mitglieder der einzelnen universellen Gruppen an die globalen Katalogserver repliziert. Dies erleichtert den Vorgang für den Domänencontroller, da er nur einen Standort auf alle universellen Gruppen abfragen muss, deren Mitglied der Benutzer ist.

In einer Domäne im einheitlichen Modus ist das Schlüsselverteilungscenter (KDC) auf dem Domänencontroller, der die Anmeldeanforderung des Benutzers authentifiziert, dafür verantwortlich, die SIDs für globale Gruppen aus der Anmeldedomäne des Benutzers hinzuzufügen, mit dem globalen Katalog zu kommunizieren, um die universellen Gruppen aufzulisten, deren Mitglied der Benutzer ist, und die SIDs dieser Gruppen zum Token des Benutzers hinzuzufügen. Wenn sich die Domäne, in der sich der Computer befindet, im einheitlichen Modus befindet, werden alle lokalen Gruppen dieser Domäne, deren Mitglied der Benutzer ist, zum Token hinzugefügt. Zuletzt werden alle lokalen Gruppen des lokalen Computers zum Token hinzugefügt, deren Mitglied der Benutzer ist.

Der erste Domänencontroller, der für eine bestimmte Gesamtstruktur installiert ist, wird automatisch als globaler Katalogserver ausgewählt. Der globale Katalogserver repliziert eine Kopie aller Objekte der einzelnen Domänen in der Gesamtstruktur, enthält jedoch nur eine Teilmenge der Attribute der einzelnen Objekte. Bei den replizierten Attributen handelt es sich um jene Attribute, die in den häufigsten Abfragen verwendet werden. Nach dem Zuweisen des ersten Domänencontrollers der Gesamtstruktur als Katalogserver besteht eine weitere administrative Maßnahme darin, andere Domänencontroller in der Gesamtstruktur zu globalen Katalogservern zu machen.

Globale Katalogserver können Domänencontroller einer beliebigen Domäne sein. Bei der Authentifizierung muss der Domänencontroller, der die Anmeldeanforderung des Benutzers verarbeitet, nach einem globalen Katalog suchen, um die universellen Gruppen aufzulisten, denen dieser Benutzer angehört. Für den Fall, dass nur eine Domäne in der Gesamtstruktur existiert, enthalten alle Domänen dieselben Daten, sodass nicht nach einem globalen Katalog gesucht werden muss (selbst wenn ein Server als globaler Katalog zugeordnet wurde). Wenn der Domänencontroller, der die Anmeldeanforderung des Benutzers verarbeitet, auch ein globaler Katalog ist, besteht keine Notwendigkeit, die Anforderung an einen anderen globalen Katalog weiterzuleiten. Der zur Verarbeitung der Anforderung ausgewählte globale Katalog muss kein Mitglied der Domäne sein, zu der der authentifizierende Domänencontroller gehört.

Wenn während dieses Vorgangs kein globaler Katalogserver vom Domänencontroller gefunden werden kann, geschieht Folgendes:

• Wenn der Benutzer ein Administrator ist, lässt Windows 2000 die Anmeldung zu, ohne dass der Domänencontroller den globalen Katalog abfragt.
• Wenn für den Benutzer auf dem lokalen Computer zwischengespeicherte Anmeldeinformationen existieren, wird der Benutzer mit diesen Anmeldeinformationen angemeldet. Der Zugriff auf die Netzwerkressourcen muss auf individueller Basis überprüft werden. Wenn der Client Kerberos verwendet, um die Ressourcen des Servers zu nutzen, muss beim Schlüsselverteilungscenter ein Ticket für den Server abgefragt werden. Falls NTLM verwendet wird, ist eine Durchsatz- (Pass-Through-) Authentifizierung erforderlich.
• Falls keine zwischengespeicherten Anmeldeinformationen existieren, wird dem Benutzer die Anmeldung verweigert.

In diesen Fällen würde die Anmeldung eines Benutzers anhand zwischengespeicherter Anmeldeinformationen oder die Verweigerung der Anmeldung aus der Tatsache resultieren, dass der Domänencontroller keinen globalen Katalog findet. Da alle globalen Kataloge die gleichen Informationen enthalten (unter Berücksichtigung von Verzögerungen durch die Replikation) kann jeder globale Katalog verwendet werden. Wenn ein lokaler globaler Katalog offline ist, kann und wird ein Remotekatalog verwendet werden. Aus Gründen der Leistungsfähigkeit und Bandbreiteneffizienz empfiehlt es sich, einen lokalen globalen Katalog für jede Site einzurichten. Clients und Domänencontroller bevorzugen die Kommunikation mit einem globalen Katalog auf der lokalen Site und kommunizieren erst bei Nichtverfügbarkeit mit einem Remotekatalog auf einer anderen Site.

Dieser Vorgang findet bei jeder Anmeldung statt und ist mit dem Verhalten auf untergeordneten Ebenen identisch. Wenn der Benutzer zu einer Gruppe hinzugefügt oder aus dieser entfernt wird, ist die Änderung erst wirksam, wenn sich der Benutzer ab- und anschließend wieder anmeldet.

In einer Domäne im gemischten Modus können keine universellen Gruppen erstellt werden. Wenn sich ein Windows 2000-Computer in einer untergeordneten Domäne oder einer Domäne im gemischten Modus befindet, kommt es zu einem anderen Verhalten. Andere Domänen befinden sich möglicherweise im einheitlichen Modus. Es wurden eventuell universelle Gruppen erstellt, deren Mitglied der Benutzer ist. Der Domänencontroller, der die Anmeldeanforderung authentifiziert, fügt die SIDs der globalen Gruppen, deren Mitglied der Benutzer ist, zum Token des Benutzers hinzu. Der lokale Computer fügt die SIDs für Gruppen hinzu, denen der Benutzer auf dem lokalen Computer angehört. Wenn versucht wird, Ressourcen in einer anderen Domäne zu nutzen, kontaktiert der Computer, auf dem sich die Ressource befindet, den Domänencontroller dieser Domäne. Dieser fügt die SIDs der lokalen Gruppen dieser Domäne (die eventuell universelle Gruppen enthalten kann), deren Mitglied der Benutzers ist, zum Token des Benutzers hinzu.

Auf Clients untergeordneter Ebenen trifft dieses Verhalten ebenfalls zu. Beachten Sie, dass die Computer Sicherheitssubjekte sind und auf die gleiche Weise betroffen sein können. Eine Auflistung der Gruppen, denen der Computer angehört, wird auch beim Start des Computers vorgenommen.

Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.