Requisitos de servidor catálogo global para usuario y equipo de inicio de sesión

Seleccione idioma Seleccione idioma
Id. de artículo: 216970 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

Resumen

Como parte del proceso de inicio de sesión, un token de seguridad se construye por la autoridad de seguridad local (LSA) que contiene los identificadores de seguridad (SID) de grupos de que el usuario es un miembro (para el dominio y el equipo local) y se utiliza para identificar al usuario y autorizar el uso de recursos locales y remotos cuando el cliente intenta tener acceso a ellos.

Windows 2000 incluye un nuevo tipo de grupo, el grupo universal, que se utiliza en Windows 2000 para conceder permisos a recursos en toda la empresa. Un grupo universal se puede crear sólo en un dominio en modo nativo y puede contener cuentas de usuario, grupos globales y grupos universales de cualquier dominio del bosque.

Puesto que los grupos universales pueden crearse en un dominio y contienen cuentas de usuario o grupos desde otro dominio, cuando se está construyendo token del usuario, los grupos universales de los cuales un usuario es un miembro deben tener enumerados y agrega al símbolo.

Más información

En lugar de comunicarse con cada dominio del bosque para enumerar los grupos universales de cada uno, la lista de miembros de cada grupo universal se replica en los servidores de catálogo global (GC), lo que facilita un controlador de dominio consultar una ubicación para todos los grupos universales de los cuales el usuario es un miembro.

En un dominio de modo nativo, el Centro de distribución de claves (KDC) en el controlador de dominio autentica la petición de inicio de sesión del usuario es responsable de agregar los SID de grupos globales de dominio de inicio de sesión del usuario, buscar y comunicarse con el catálogo global para enumerar que la universal agrupa el usuario es un miembro de y agregar los SID de los grupos al testigo del usuario. Si es el dominio que reside el equipo en modo nativo, los grupos locales de ese dominio del que el usuario es un miembro se agregan al símbolo (token). Por último, los grupos locales del equipo local que pertenezca el usuario se agregan al símbolo (token).

Primer controlador de dominio que hay instalado para un bosque dado se selecciona automáticamente el servidor de catálogo global. El servidor de catálogo global replica una copia de todos los objetos de cada dominio del bosque, pero sólo contiene un subconjunto de los atributos de cada objeto. Los atributos se replican son aquellos que serán los utilizados en las consultas más comunes. Más allá el primer controlador de dominio del bosque, es una acción administrativa realizar otros controladores de dominio en los servidores de catálogo global del bosque.

Servidores de catálogo global pueden ser controladores de dominio de cualquier dominio. Cuando se produce la autenticación, el controlador de dominio se autentica la petición de inicio de sesión del usuario necesita encontrar un catálogo global para crear los grupos universales a los que pertenece ese usuario. En caso de que hay sólo un dominio en el bosque, todos los controladores de dominio contienen los datos mismos, por lo allí no es necesario para ubicar un GC (aunque un servidor dado puede designarse un catálogo global). Si el controlador de dominio controla la solicitud de inicio de sesión de usuario es también un catálogo global, no es necesario para remoto la solicitud a otro catálogo global. No hay ningún requisito que el GC seleccionado para atender la solicitud de ser miembro del dominio al que pertenece el controlador de dominio de autenticación.

Si un servidor de catálogo global no se encuentra el controlador de dominio durante este proceso:
  • Si la cuenta que se utiliza es la cuenta de administrador integrada (RID 0x1F4 o 500 decimal), Windows 2000 permite el inicio de sesión realizarse sin el controlador de dominio ponerse en contacto con un catálogo global.
  • Si las credenciales almacenadas en caché existen para el usuario en el equipo local, el usuario inicia sesión con dichas credenciales. Acceso a los recursos de red se debe validar de forma individual. Si el cliente usa Kerberos para utilizar recursos del servidor, el KDC debe contactar con para obtener un vale para el servidor, o si se utiliza NTLM, autenticación de paso a través es necesario.
  • Si las credenciales almacenadas en caché no existen, el usuario se deniega el inicio de sesión.
Por estos motivos, es importante observar que la obtención de un usuario inicia sesión con credenciales almacenadas en caché o que se deniegue el inicio de sesión sería el resultado del controlador de dominio al no encontrar ningún catálogo global. Dado que todos los catálogos globales contienen la misma información (con la excepción de latencia de replicación), se puede utilizar cualquier catálogo global. Si un catálogo global local sin conexión, un catálogo global remoto puede y se utilizará. Para mejorar el rendimiento y eficiencia del ancho de banda, puede resultar beneficioso para host un catálogo global local en cada sitio. Los clientes y controladores de dominio prefieren comunicarse con un catálogo global en el sitio local antes de utilizar un catálogo global remoto en otro sitio.

Este proceso tiene lugar en cada inicio de sesión y es coherente con el comportamiento de nivel inferior; si el usuario es agregar o quitar de un grupo, el cambio no se reflejará hasta que los registros de usuario fuera y encenderlo.

En un dominio en modo mixto, no se puede crear grupos universales. Si un equipo basado en Windows 2000 se encuentra en un dominio de modo mixto o de nivel inferior, se produce un comportamiento diferente. Pueden ser otros dominios en modo nativo y universales que han creado grupos que contienen el usuario como miembro. El controlador de dominio autenticar la solicitud de inicio de sesión agregará los SID de los grupos globales de los cuales el usuario es un miembro para el token del usuario y el equipo local agrega el SID para grupos de los cuales el usuario es un miembro en el equipo local según corresponda. Cuando intenta utilizar recursos en otro dominio, el equipo que aloja el recurso pone un controlador de dominio para ese dominio, que agrega los SID de los grupos locales a ese dominio (que puede incluir grupos universales) de los cuales el usuario es un miembro para el token del usuario.

Los clientes de nivel inferior también están sujetos a este comportamiento. Observe que los equipos son principales de seguridad y pueden verse afectados de la misma manera. También se realiza una enumeración de los grupos al que pertenece el equipo al iniciar el equipo.

Propiedades

Id. de artículo: 216970 - Última revisión: sábado, 24 de febrero de 2007 - Versión: 3.2
La información de este artículo se refiere a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
Palabras clave: 
kbmt kbenv kbinfo kbnetwork KB216970 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 216970

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com