Requisiti del server di catalogo globale per l'accesso di utenti e computer

Traduzione articoli Traduzione articoli
Identificativo articolo: 216970 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

Sommario

Durante il processo di accesso, un token di protezione viene creato per la protezione locale autoritÓ LSA Local Security (Authority) che contiene gli identificatori di protezione (SID) dei gruppi di cui l'utente Ŕ un membro (per il dominio e il computer locale) e viene utilizzato per identificare l'utente e autorizzare l'utilizzo di risorse locali e remote quando il client tenta di accedervi.

In Windows 2000 Ŕ incluso un nuovo tipo di gruppo, il gruppo universale, che viene utilizzato dal sistema per concedere le autorizzazioni di accesso alle risorse a livello di organizzazione. Un gruppo universale pu˛ essere creato solo in un dominio in modalitÓ originale e pu˛ contenere account utente, gruppi globali e gruppi universali di qualsiasi dominio nell'insieme di strutture.

PoichÚ i gruppi universali possono essere creati in un solo dominio e contenere account utente o gruppi di un altro dominio, quando viene costruito il token per un utente i gruppi universali di cui l'utente Ŕ membro devono essere enumerati e aggiunti al token.

Informazioni

AnzichÚ comunicare con ogni dominio nell'insieme di strutture per enumerare i gruppi universali di ognuno, l'elenco dei membri di ogni gruppo universale viene replicato ai server di catalogo globale, in modo da rendere pi¨ semplice per un controller di domino effettuare la ricerca in una sola posizione di tutti i gruppi universali di cui l'utente Ŕ membro.

In un dominio in modalitÓ originale il centro distribuzione chiavi (KDC) sul controller di dominio che esegue l'autenticazione della richiesta di accesso dell'utente aggiunge i SID per i gruppi globali dal dominio di accesso dell'utente, individuando il server di catalogo globale e comunicando con esso per enumerare i gruppi universali di cui Ŕ membro l'utente e aggiungendo i SID di quei gruppi al token dell'utente. Se il dominio in cui risiede il computer Ŕ in modalitÓ originale, vengono aggiunti al token tutti i gruppi locali del dominio di cui l'utente Ŕ membro. Infine, vengono aggiunti al token tutti i gruppi locali del computer locale di cui l'utente Ŕ membro.

Il primo controller di dominio che viene installato per un determinato insieme di strutture viene selezionato automaticamente come server di catalogo globale. Il server di catalogo globale replica una copia di tutti gli oggetti da ogni domino nell'insieme di strutture, ma contiene solo un sottoinsieme degli attributi di ciascun oggetto. Gli attributi replicati sono quelli che saranno utilizzati nelle query pi¨ comuni. Oltre il primo controller di dominio dell'insieme di strutture, Ŕ un'azione amministrativa per rendere altri controller di dominio i server di catalogo globale dell'insieme di strutture.

I server di catalogo globale possono essere controller di dominio di qualsiasi dominio. Al momento di eseguire l'autenticazione, il controller di dominio che autentica la richiesta di accesso dell'utente ha l'esigenza di individuare un catalogo globale per costruire i gruppi universali a cui appartiene l'utente. Nel caso in cui Ŕ presente solo un dominio nell'insieme di strutture, tutti i controller di dominio contengono i dati stessi, pertanto Ŕ necessario per individuare un catalogo globale (anche se un server potrebbe essere designato un server di catalogo globale). Se il controller di dominio che gestisce la richiesta di accesso dell'utente Ŕ anche un server di catalogo globale, non sarÓ necessario inoltrare la richiesta a un altro catalogo globale. Non esiste alcun requisito secondo cui il catalogo globale selezionato per rispondere alla richiesta debba essere un membro del dominio a cui appartiene il controller di dominio che esegue l'autenticazione.

Se il controller di dominio non Ŕ in grado di individuare un server di catalogo globale durante questo processo:
  • Se l'account utilizzato Ŕ l'account Administrator predefinito (RID 0x1F4 o 500 decimale), Windows 2000 consente l'accesso per eseguire senza contattare un catalogo globale il controller di dominio.
  • Se nella cache sono memorizzate le credenziali dell'utente sul computer locale, all'utente verrÓ consentito l'accesso utilizzando tali credenziali. Accesso alle risorse di rete deve essere convalidato su base individuale. Se sul client viene utilizzato Kerberos per l'accesso alle risorse del server, dovrÓ essere contattato il KDC per ottenere un ticket per il server oppure, se viene utilizzato NTLM, sarÓ necessaria un'autenticazione pass-through.
  • Se non sono presenti credenziali memorizzate nella cache, all'utente verrÓ negato l'accesso.
Per questi motivi, Ŕ importante tenere presente che l'autorizzazione dell'accesso con le credenziali memorizzate nella cache o il rifiuto dell'accesso a un utente Ŕ la conseguenza dell'impossibilitÓ del controller di dominio di trovare un catalogo globale. PoichÚ tutti i server di catalogo globale contengono le stesse informazioni (ad eccezione della latenza di replica), Ŕ possibile utilizzare qualsiasi catalogo globale. Se un catalogo globale locale non dovesse essere in linea, Ŕ possibile utilizzare e verrÓ utilizzato un catalogo globale remoto. Per motivi di prestazioni e l'efficienza della larghezza di banda, pu˛ essere utile per un catalogo globale locale in ciascun sito host. I client e i controller di dominio stabiliranno di preferenza la comunicazione con un catalogo globale locale prima di utilizzarne uno remoto in un altro sito.

Questo processo si verifica ad ogni accesso ed Ŕ coerente con funzionalitÓ a livello inferiore; se un utente viene aggiunto o rimosso da un gruppo, la modifica non verrÓ riflessa finchÚ l'utente non si disconnette e si riconnette.

In un dominio in modalitÓ mista non Ŕ possibile creare gruppi universali. Se un computer basato su Windows 2000 si trova in un dominio di livello inferiore o in modalitÓ mista, si avranno vari comportamenti. Altri domini possono essere in modalitÓ originale ed Ŕ possibile che siano stati creati gruppi universali di cui l'utente Ŕ membro. Il controller di dominio che autentica la richiesta di accesso aggiungerÓ i SID dei gruppi globali a cui appartiene l'utente al token dell'utente e il computer locale aggiungerÓ i SID per i gruppi di cui l'utente Ŕ membro sul computer locale, a seconda del caso. Quando si verifica un tentativo di utilizzo delle risorse in un altro dominio, il computer sul quale risiedono le risorse contatta un controller di dominio per quel dominio che aggiunge al token dell'utente i SID dei gruppi locali al dominio, che pu˛ contenere gruppi universali, di cui l'utente Ŕ membro.

Anche i client di livello inferiore sono soggetti a questo comportamento. Si noti che i computer sono valori principali di protezione e pertanto possono essere anch'essi influenzati da tale comportamento. Un'enumerazione dei gruppi a cui appartiene il computer viene inoltre eseguita all'avvio del computer.

ProprietÓ

Identificativo articolo: 216970 - Ultima modifica: sabato 24 febbraio 2007 - Revisione: 3.2
Le informazioni in questo articolo si applicano a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
Chiavi:á
kbmt kbenv kbinfo kbnetwork KB216970 KbMtit
Traduzione automatica articoli
Il presente articolo Ŕ stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non Ŕ sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, pi¨ o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non Ŕ la sua. Microsoft non Ŕ responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 216970
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com