Persyaratan Server katalog global untuk pengguna dan komputer Logon

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 216970 - Melihat produk di mana artikel ini berlaku.
Perbesar semua | Perkecil semua

RINGKASAN

Sebagai bagian dari proses logon, token keamanan dibangun oleh lokal keamanan Authority (LSA) yang berisi pengidentifikasi keamanan (Sid) kelompok-kelompok yang pengguna adalah anggota (untuk domain dan komputer lokal) dan digunakan untuk mengidentifikasi pengguna dan wewenang penggunaan sumber daya lokal dan remote ketika klien mencoba untuk mengaksesnya.

Windows 2000 termasuk jenis baru, kelompok universal, yang digunakan dalam Windows 2000 untuk memberikan izin untuk sumber daya di seluruh perusahaan. Kelompok universal dapat dibuat hanya dalam modus asli domain dan dapat berisi account pengguna, kelompok global dan kelompok-kelompok yang universal dari setiap domainnya pada forest.

Karena kelompok universal dapat dibuat di satu domain dan berisi account pengguna atau grup dari domain lain, ketika pengguna tanda sedang dibangun, kelompok-kelompok universal yang pengguna adalah anggota harus dihitung dan ditambahkan ke token.

INFORMASI LEBIH LANJUT

Alih-alih berkomunikasi dengan setiap domainnya pada forest untuk menghitung universal kelompok dari masing-masing, daftar anggota setiap kelompok universal direplikasi ke server Global katalog (GC), membuatnya lebih mudah untuk kontroler domain untuk query satu lokasi untuk semua kelompok universal yang pengguna adalah anggota.

Dalam modus asli domain, kunci distribusi Center (KDC) pada domain controller otentikasi permintaan logon pengguna bertanggung jawab untuk menambahkan SIDs untuk kelompok global dari pengguna logon domain, lokasi dan berkomunikasi dengan GC untuk menghitung universal kelompok pengguna adalah anggota, dan menambahkan SIDs kelompok-kelompok untuk pengguna tanda. Jika domain komputer berada di dalam modus asli, setiap kelompok lokal domain dari domain yang pengguna adalah anggota ditambahkan ke token. Terakhir, setiap kelompok-kelompok lokal dari komputer lokal yang pengguna adalah anggota ditambahkan ke token.

Kontroler domain pertama yang diinstal untuk hutan diberikan secara otomatis dipilih sebagai GC server. GC server bereplikasi salinan semua objek dari setiap domainnya pada forest, tetapi hanya berisi subset dari setiap objek atribut. Atribut yang direplikasi adalah orang-orang yang akan menjadi yang digunakan dalam pertanyaan paling umum. Luar kontroler domain yang pertama dari hutan, itu adalah tindakan administratif untuk membuat pengontrol domain lainnya di server GC hutan.

Server GC dapat pengontrol domain dari domain apapun. Ketika otentikasi terjadi, kontroler domain yang adalah otentikasi permintaan logon pengguna perlu menemukan GC untuk membangun kelompok universal yang dimiliki oleh pengguna. Dalam acara yang ada hanya satu domain di hutan, semua pengontrol domain berisi data yang sama, sehingga tidak perlu untuk menemukan GC (meskipun setiap server tertentu mungkin ditunjuk GC). Jika kontroler domain yang menangani permintaan logon pengguna juga GC, ada tidak perlu jauh permintaan untuk GC lain. Ada tidak ada persyaratan bahwa GC dipilih untuk melayani permintaan menjadi anggota domain yang dimiliki oleh kontroler domain otentikasi.

Jika GC server tidak terletak oleh kontroler domain selama proses ini:
  • Jika account yang digunakan adalah account Administrator built-in (RID 0x1F4 atau 500 desimal), Windows 2000 memungkinkan logon berlangsung tanpa kontroler domain yang menghubungi GC.
  • Jika cache kredensial ada untuk pengguna pada komputer lokal, pengguna logon dengan kredensial tersebut. Akses ke sumber daya jaringan harus divalidasi secara individual. Jika klien menggunakan Kerberos untuk menggunakan sumber daya server, KDC harus dihubungi untuk mendapatkan tiket untuk server, atau jika NTLM digunakan, pass-through otentikasi diperlukan.
  • Jika kredensial cache tidak ada, pengguna ditolak masuk.
Untuk alasan ini, sangat penting untuk dicatat bahwa pengguna mendapatkan logon dengan kredensial cache atau ditolak masuk akan menjadi hasil dari kontroler domain yang gagal untuk menemukan apapun GC. Karena semua global katalog berisi informasi yang sama (dengan pengecualian latensi replikasi), GC apapun dapat digunakan. Jika GC lokal terjadi secara offline, GC jauh dapat dan akan digunakan. Untuk alasan kinerja dan efisiensi bandwidth, mungkin akan bermanfaat untuk host GC lokal di setiap situs. Klien dan pengontrol domain lebih suka berkomunikasi dengan GC di situs lokal sebelum menggunakan GC jauh di situs lain.

Proses ini berlangsung pada setiap logon dan konsisten dengan tingkat bawah perilaku; Jika pengguna ditambahkan atau dihapus dari kelompok, perubahan tidak tercermin sampai pengguna log dan kembali.

Dalam modus campuran domain, kelompok-kelompok universal tidak dapat dibuat. Jika komputer berbasis Windows 2000 terletak di tingkat bawah atau domain modus campuran, perilaku yang berbeda terjadi. Domain lainnya mungkin dalam modus asli dan kelompok-kelompok universal mungkin telah dibuat yang berisi pengguna sebagai anggota. Kontroler domain otentikasi permintaan logon akan menambah SIDs kelompok global yang pengguna adalah anggota untuk tanda pengguna dan komputer lokal menambahkan SIDs untuk kelompok-kelompok yang pengguna adalah anggota pada komputer lokal yang sesuai. Ketika upaya untuk menggunakan sumber daya di domain lain terjadi, komputer hosting sumber kontak kontroler domain untuk domain tersebut, yang menambahkan SIDs kelompok-kelompok lokal untuk domain itu (yang mungkin termasuk kelompok-kelompok universal) yang pengguna adalah anggota untuk pengguna tanda.

Tingkat bawah klien dapat juga perilaku ini. Perhatikan bahwa komputer keamanan pelaku dan dapat terpengaruh dengan cara yang sama. Penghitungan kelompok-kelompok yang komputer milik juga dilakukan pada startup komputer.

Properti

ID Artikel: 216970 - Kajian Terakhir: 19 September 2011 - Revisi: 2.0
Berlaku bagi:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Kata kunci: 
kbenv kbinfo kbnetwork kbmt KB216970 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini:216970

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com