Global Catalog Server requise pour l'utilisateur et l'ouverture de session de travail

Traductions disponibles Traductions disponibles
Numéro d'article: 216970 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Résumé

Dans le cadre de la procédure d'ouverture de session, un jeton de sécurité est construit par l'autorité de sécurité locale (LSA) contient les identificateurs de sécurité (SID) des groupes dont l'utilisateur est un membre (pour le domaine et l'ordinateur local) et est utilisé pour identifier l'utilisateur et autoriser le recours à des ressources locales et distantes lorsque le client tente d'y accéder.

Windows 2000 inclut un nouveau type de groupe, le groupe universel, qui est utilisé dans Windows 2000 pour accorder des autorisations aux ressources au sein de l'entreprise. Un groupe universel peut être créé uniquement dans un domaine en mode natif et peut contenir des comptes d'utilisateurs, groupes globaux et groupes universels de n'importe quel domaine de la forêt.

Comme les groupes universels peuvent être créés dans un domaine et contiennent des comptes d'utilisateurs ou groupes à partir d'un autre domaine, lors de construction d'un jeton d'utilisateur, les groupes universels dont un utilisateur est membre sont énumérés et ajoutés au jeton.

Plus d'informations

Au lieu de communiquer avec chaque domaine de la forêt pour énumérer les groupes universels à partir de chaque, la liste des membres de chaque groupe universel est répliquée sur les serveurs de catalogue global (GC), afin de faciliter pour un contrôleur de domaine pour interroger un seul emplacement pour tous les groupes universels dont l'utilisateur est un membre.

Dans un domaine en mode natif, le centre de distribution de clés sur le contrôleur de domaine authentifier la demande de l'utilisateur d'ouverture de session est responsable de l'ajout les SID des groupes globaux de domaine d'ouverture de session de l'utilisateur, localisation et de communication avec le catalogue global pour énumérer que le universal groups de l'utilisateur sont membre d'et ajouter les SID de ces groupes à jeton de l'utilisateur. Si le domaine dans lequel réside l'ordinateur est en mode natif, les groupes locaux de domaine à partir de ce domaine auquel l'utilisateur est membre sont ajoutés au jeton. Enfin, tous les groupes locaux de l'ordinateur local dont l'utilisateur est un membre sont ajoutés au jeton.

Le premier contrôleur de domaine est installé pour une forêt donnée est automatiquement sélectionné pour être un serveur de catalogue global. Le serveur de catalogue global réplique une copie de tous les objets à partir de chaque domaine de la forêt, mais ne contient qu'un sous-ensemble des attributs de chaque objet. Les attributs qui sont répliqués sont ceux qui seront ceux utilisés dans les requêtes plus courantes. Au-delà du premier contrôleur de domaine de la forêt, il est une action administrative pour effectuer d'autres contrôleurs de domaine dans les serveurs de catalogue global de forêt.

Serveurs de catalogue global peuvent être des contrôleurs de domaine à partir de n'importe quel domaine. Lorsque l'authentification se produit, le contrôleur de domaine qui authentifie la demande de l'utilisateur d'ouverture de session nécessaires pour localiser un catalogue global pour construire les groupes universels auxquels appartient cet utilisateur. Dans le cas où il y a qu'un seul domaine dans la forêt, tous les contrôleurs de domaine contiennent les mêmes données, il n'est pas nécessaire pour trouver un catalogue global (même si un serveur donné peut être désigné un catalogue global). Si le contrôleur de domaine gère la demande d'ouverture de session utilisateur est également un catalogue global, il n'est pas nécessaire à distance la demande à un autre catalogue global. Il n'est pas nécessaire que le GC sélectionné pour traiter la demande être membre du domaine auquel appartient le contrôleur de domaine d'authentification.

Si un serveur de catalogue global n'a pu être localisé par le contrôleur de domaine au cours de ce processus :
  • Si le compte utilisé est le compte administrateur intégré (RID 0x1F4 ou 500 décimal), Windows 2000 permet l'ouverture de session se déroulent sans contacter un catalogue global le contrôleur de domaine.
  • S'il existent des informations d'identification mises en cache pour l'utilisateur sur l'ordinateur local, l'utilisateur est connecté avec ces informations d'identification. Accès aux ressources réseau doivent être validées de manière individuelle. Si le client utilise Kerberos d'utiliser des ressources d'un serveur, le KDC doit être contacté pour obtenir un ticket pour le serveur, ou si NTLM est utilisé, l'authentification directe est nécessaire.
  • Si les informations d'identification mises en cache n'existent pas, l'utilisateur se voit refuser l'ouverture de session.
Pour ces raisons, il est important de noter que l'obtention d'un utilisateur connecté avec des informations d'identification mises en cache ou refus d'ouverture de session serait le résultat du contrôleur de domaine ne parvient pas à trouver aucun catalogue global. Dans la mesure où tous les catalogues globaux contiennent les mêmes informations (à l'exception de latence de réplication), tout catalogue global peut être utilisé. Si un catalogue global local est en mode hors connexion, un catalogue global distant peut et sera utilisé. Pour des raisons de performances et l'efficacité de la bande passante, il peut être avantageux d'ordinateur hôte un catalogue global local dans chaque site. Clients et les contrôleurs de domaine préfèrent communiquer avec un catalogue global dans le site local avant d'utiliser un catalogue global distant dans un autre site.

Ce processus se déroule à chaque ouverture de session et est cohérent avec le comportement de bas niveau ; si l'utilisateur est ajouté ou supprimé d'un groupe, la modification se répercute pas jusqu'à ce que l'utilisateur ouvre une session fermer et réouvrir.

Dans un domaine en mode mixte, les groupes universels ne peut pas être créés. Si un ordinateur Windows 2000 se trouve dans un bas niveau ou d'un domaine en mode mixte, un comportement différent se produit. Autres domaines peuvent être en mode natif et des groupes universels a peut-être été créés qui contiennent l'utilisateur en tant que membre. Le contrôleur de domaine authentifier la demande d'ouverture de session ajoutera les SID des groupes globaux dont l'utilisateur est membre pour le jeton de l'utilisateur et l'ordinateur local ajoute le SID pour les groupes dont l'utilisateur est un membre sur l'ordinateur local selon le cas. En cas d'une tentative d'utilisation des ressources dans un autre domaine, l'ordinateur qui héberge la ressource contacte un contrôleur de domaine pour ce domaine, qui ajoute le SID des groupes locaux à ce domaine (qui peut-être inclure des groupes universels) dont l'utilisateur est membre pour le jeton de l'utilisateur.

Les clients de bas niveau sont également soumises à ce problème. Notez que les ordinateurs sont des entités de sécurité et peuvent être affectées de la même manière. Une énumération des groupes auquel appartient l'ordinateur est également exécutée au démarrage de l'ordinateur.

Propriétés

Numéro d'article: 216970 - Dernière mise à jour: samedi 24 février 2007 - Version: 3.2
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professionnel
  • Microsoft Windows 2000 Datacenter Server
Mots-clés : 
kbmt kbenv kbinfo kbnetwork KB216970 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 216970
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com