사용자 및 컴퓨터 로그온 글로벌 카탈로그 서버 요구 사항

기술 자료 번역 기술 자료 번역
기술 자료: 216970 - 이 문서가 적용되는 제품 보기.
모두 확대 | 모두 축소

요약

로그온 프로세스의 일부로에 의해 보안 기관 (있으며 사용자가 구성원인 도메인 및 로컬 컴퓨터에 대한 및 사용자를 식별하고 클라이언트가 액세스할 수 있도록 얻으려고 시도할 때 로컬 및 원격 리소스에 사용 권한을 부여하는 데 사용되는 그룹 보안 식별자 (SID)를 포함하는 LSA (로컬) 보안 토큰이 생성됩니다.

Windows 2000 그룹, 유니버설 그룹 기업 전체에 리소스에 대한 사용 권한을 부여하려면 Windows 2000에서 사용되는 새로운 유형이 포함됩니다. 유니버설 그룹은 기본 모드 도메인에서만 만들 수 있으며 사용자 계정과 글로벌 그룹은 포리스트의 모든 도메인에서 유니버설 그룹을 포함할 수 있습니다.

유니버설 그룹을 하나의 도메인에 만들 수 있으며 사용자 계정 또는 그룹이 다른 도메인의 사용자 토큰을 생성할 때 포함할 사용자가 구성원인 유니버설 그룹은 합니다 수 열거된 때문에 토큰으로 추가됩니다.

추가 정보

유니버설 그룹은 각 열거 포리스트의 모든 도메인에 통신하는 대신 각 유니버설 그룹 구성원 목록은 쉽게 한 위치에 사용자가 구성원인 모든 유니버설 그룹에 대해 쿼리할 도메인 컨트롤러를 글로벌 카탈로그 (GC) 서버가 복제됩니다.

기본 모드 도메인에 대해 사용자의 로그온 도메인의 글로벌 그룹 찾고 사용자가 있는 유니버설 그룹을 열거할 수 있는 GC 통신하는 SID, 구성원이 추가하고 해당 그룹의 SID가 사용자의 토큰에 추가할 사용자의 로그온 요청을 인증하는 도메인 컨트롤러에서 키 배포 센터 (KDC) 담당합니다. 컴퓨터가 상주하는 도메인에 기본 모드에서 경우 사용자가 구성원인 해당 도메인의 도메인 로컬 그룹은 토큰으로 추가됩니다. 마지막으로, 사용자가 구성원으로 속해 있는 로컬 컴퓨터에서 로컬 그룹은 위해 토큰은 추가할 수 있습니다.

GC 서버로에 대해 지정된 포리스트에 설치된 첫 번째 도메인 컨트롤러는 자동으로 선택됩니다. GC 서버가 해당 포리스트의 모든 도메인에서 모든 개체의 복사본을 복제하지만 경우에만 각 개체의 특성 하위 집합만 포함합니다. 복제되는 특성을 이러한 가장 일반적인 쿼리에서 사용할 수 있습니다. 첫 번째 도메인 컨트롤러가 포리스트의 외에, 관리 작업을 다른 도메인 컨트롤러에 포리스트의 GC 서버를 만들 수 있습니다.

GC 서버를 도메인의 모든 도메인 컨트롤러가 될 수 있습니다. 인증 발생하면 사용자의 로그온 요청을 인증하는 도메인 컨트롤러가 해당 사용자가 속한 유니버설 그룹을 생성하려면 GC를 찾을 합니다. 있을 경우 해당 하나의 도메인 포리스트에 있는, (주어진된 서버 GC가 지정될 수 있더라도 GC를 찾을 필요가 없으므로 모든 도메인 컨트롤러가 같은 데이터가 포함됩니다. 사용자 로그온 요청을 처리하는 도메인 컨트롤러가 또한 GC 없으면 다른 GC 요청을 필요 없이 원격 있을. 인증 도메인 컨트롤러에 속한 도메인 구성원이어야 요청을 처리할 수 있는 GC 선택한 없음 요구 사항이 있습니다.

이 과정에서 GC 서버가 도메인 컨트롤러가 둘 수 없는 경우:
  • 사용되는 계정이 기본 제공 관리자 계정은 RID 0x1F4 또는 10진수 500 경우 Windows 2000 로그온을 GC 연결하는 도메인 컨트롤러 없이 수행할 수 있습니다.
  • 로컬 컴퓨터의 사용자에 대해 캐시된 자격 증명을 존재하는 경우, 사용자가 이러한 자격 증명은 사용하여 기록됩니다. 네트워크 리소스에 대한 액세스는 개별적으로 유효성을 검사해야 합니다. 클라이언트 Kerberos를 사용하여 서버 리소스를 사용할 경우 KDC 서버에 대한 티켓을 얻으려면 연결해야 하는지 또는 NTLM 사용되면 통과 인증이 필요합니다.
  • 캐시된 자격 증명이 없는 경우 사용자 로그온이 거부되었습니다.
이러한 이유로 사용자 가져오는 동안 캐시된 자격 증명을 사용하여 로그온한 또는 로그온 거부된 모든 GC 찾지 못한 도메인 컨트롤러의 결과 됩니다 할 중요합니다. 모든 글로벌 카탈로그에 복제 대기 시간 제외하고 동일한 정보가 포함되어 있기 때문에 모든 GC 사용할 수 있습니다. 로컬 GC 오프라인 상태인 경우 원격 GC 수 및 사용됩니다. 성능상의 이유 및 대역폭 효율성 각 사이트의 로컬 GC 호스팅하는 데 유용할 수 있습니다. 클라이언트 및 도메인 컨트롤러가 다른 사이트에 원격 GC 사용하기 전에 로컬 사이트의 GC 통신하는 선호합니다.

이 프로세스가 이루어지는 모든 로그온 시 및 사용자 추가 또는 그룹에서 제거할 경우 하위 수준 동작과 일치합니다, 해제 및 다시 사용자가 로그온하기 전까지 변경 반영되지 않습니다.

혼합 모드 도메인에서 유니버설 그룹은 만들 수 없습니다. 하위 수준 또는 혼합 모드 도메인에서 Windows 2000 기반 컴퓨터에 있는 경우 다른 동작이 발생합니다. 다른 도메인을 기본 모드로 수 있으므로 유니버설 그룹을 구성원으로 사용자가 포함된 만들어졌을 수 있습니다. 로그온 요청을 인증하는 도메인 컨트롤러가 있으며 사용자가 구성원인 사용자의 토큰에 및 로컬 컴퓨터의 사용자가 로컬 컴퓨터에서 적절한 구성원으로 속해 있는 그룹의 SID를 추가합니다 글로벌 그룹의 SID를 추가합니다. 다른 도메인에 있는 리소스를 사용하기 위해 시도가 발생하면 리소스를 호스팅하는 컴퓨터 사용자가 사용자 토큰에 구성원으로 속해 있는 유니버설 그룹 포함) 해당 도메인 로컬 그룹의 SID가 추가하는 해당 도메인의 도메인 컨트롤러에 연결합니다.

또한 하위 수준 클라이언트는 이 동작이 변경될 수 있습니다. 참고 컴퓨터 보안 주체 및 동일한 방식으로 영향을 받을 수 있습니다. 또한 해당 컴퓨터가 속한 그룹의 열거는 컴퓨터를 시작할 때 수행됩니다.

속성

기술 자료: 216970 - 마지막 검토: 2007년 2월 24일 토요일 - 수정: 3.2
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
키워드:?
kbmt kbenv kbinfo kbnetwork KB216970 KbMtko
기계 번역된 문서
중요: 본 문서는 전문 번역가가 번역한 것이 아니라 Microsoft 기계 번역 소프트웨어로 번역한 것입니다. Microsoft는 번역가가 번역한 문서 및 기계 번역된 문서를 모두 제공하므로 Microsoft 기술 자료에 있는 모든 문서를 한글로 접할 수 있습니다. 그러나 기계 번역 문서가 항상 완벽한 것은 아닙니다. 따라서 기계 번역 문서에는 마치 외국인이 한국어로 말할 때 실수를 하는 것처럼 어휘, 구문 또는 문법에 오류가 있을 수 있습니다. Microsoft는 내용상의 오역 또는 Microsoft 고객이 이러한 오역을 사용함으로써 발생하는 부 정확성, 오류 또는 손해에 대해 책임을 지지 않습니다. Microsoft는 이러한 문제를 해결하기 위해 기계 번역 소프트웨어를 자주 업데이트하고 있습니다.

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com