Global necessidade de servidor de catálogo para utilizador e início de sessão do computador

Traduções de Artigos Traduções de Artigos
Artigo: 216970 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Sumário

Como parte do processo de início de sessão, um token de segurança é criado pela autoridade de segurança local (LSA) que contém os identificadores de segurança (SID, Security Identifier) dos grupos dos quais o utilizador é um membro (para o domínio e o computador local) e é utilizado para identificar o utilizador e autorizar a utilização de recursos locais e remotos, quando o cliente tenta aceder a eles.

O Windows 2000 inclui um novo tipo de grupo, o grupo universal, o que é utilizado no Windows 2000 para conceder permissões para recursos de empresa. Um grupo universal pode ser criado apenas no domínio de modo nativo e pode conter contas de utilizador, grupos globais e grupos universais de qualquer domínio na floresta.

Uma vez que os grupos universais podem ser criados de um domínio e contenham contas de utilizador ou grupos de outro domínio, quando está a ser construída token do utilizador, os universais grupos dos quais um utilizador seja membro tem ser enumerados e adicionados ao token.

Mais Informação

Em vez de comunicar com todos os domínios da floresta para enumerar os grupos universais de cada, a lista de membros de cada grupo universal é replicada para servidores de catálogo global (GC), tornando mais fácil para um controlador de domínio consultar uma localização para todos os grupos universais dos quais o utilizador seja membro.

Num domínio em modo nativo, o Centro de distribuição de chaves (KDC, Key Distribution Center) no controlador de domínio autenticar o pedido de início de sessão do utilizador é responsável pela adicionar os SID para os grupos globais do domínio de início de sessão do utilizador, localizar e comunicar com o GC para enumerar que o universal agrupa o utilizador é membro do e adicionar o SID desses grupos para o token do utilizador. Se o domínio que reside o computador estiver em modo nativo, são adicionados quaisquer grupos locais domínio desse domínio do qual o utilizador é um membro para o token. Finalmente, quaisquer grupos locais do computador local do qual o utilizador é um membro são adicionados ao token de.

Primeiro controlador de domínio que está instalado para uma determinada floresta é automaticamente seleccionado para ser um servidor de GC. O servidor de GC replica de uma cópia de todos os objectos de cada domínio na floresta, mas contém apenas um subconjunto de atributos de cada objecto. Os atributos que são replicados são aquelas que será às utilizadas em consultas mais comuns. Para além do primeiro controlador de domínio da floresta, é uma acção administrativa para que outros controladores de domínio nos servidores de GC floresta.

Os servidores de GC podem ser controladores de domínio a partir de qualquer domínio. Quando ocorre a autenticação, o controlador de domínio que autentica o pedido de início de sessão do utilizador necessita de localizar um GC para construir grupos universais aos quais pertence esse utilizador. No caso de existir apenas um domínio na floresta, o todos os controladores de domínio contêm os dados mesmos, por isso não é necessário para localizar um GC (apesar de qualquer servidor pode ser designado um GC). Se o controlador de domínio processar o pedido de início de sessão do utilizador for também um GC, não é necessário para remoto o pedido para outro GC. Não existe nenhum requisito de que o GC seleccionada para assistirem o pedido de ser membro do domínio ao qual pertence o controlador de domínio de autenticação.

Se um servidor de GC não pode ser localizado pelo controlador de domínio durante este processo:
  • Se a conta que é utilizada for a conta de administrador incorporada (RID, RELATIVE 0x1F4 ou 500 decimal), Windows 2000 permite o início de sessão seja efectuada sem o controlador de domínio contactar um GC.
  • Se existirem as credenciais em cache para o utilizador no computador local, o utilizador iniciou a sessão com as credenciais. Acesso a recursos de rede deve ser validado numa base individual. Se o cliente utilizar Kerberos a utilizar recursos do servidor, o KDC, Key Distribution Center deve ser contactado para obter uma permissão para o servidor, ou se é utilizada NTLM, autenticação pass-through necessária.
  • Se as credenciais em cache não existirem, o utilizador for negado início de sessão.
Por estes motivos, é importante ter em atenção que um utilizador obter iniciada com credenciais em cache ou negado o início de sessão poderia ser o resultado do controlador de domínio conseguir localizar quaisquer GC. Visto que todos os catálogos globais contêm as mesmas informações (com excepção de latência de replicação), pode ser utilizado qualquer GC. Se um GC local estar offline, pode um GC remoto e serão utilizadas. Para motivos de desempenho e a eficiência da largura de banda, poderá ser benéfico hospedar um GC local em cada local. Os clientes e controladores de domínio preferem comunicar com um GC no local antes de utilizar um GC remoto noutro local.

Este processo ocorre em cada início de sessão e é consistente com comportamento de nível baixo; se o utilizador é adicionado ou removido de um grupo, a alteração não se reflecte até o utilizador inicia sessão terminar e voltar.

Num domínio do modo misto, não não possível criar grupos universais. Se um computador baseado no Windows 2000 estiver localizado num domínio de modo misto ou de nível baixo, diferentes acontece. Outros domínios podem estar no modo nativo e grupos universais podem ter sido criados que contêm o utilizador como membro. O controlador de domínio autenticar o pedido de início de sessão irá adicionar os SID dos grupos globais dos quais o utilizador é um membro para o token do utilizador e o computador local adiciona os SID para grupos dos quais o utilizador seja membro no computador local conforme apropriado. Quando tentar utilizar recursos no outro domínio ocorre, o computador que hospeda o recurso contacta um controlador de domínio para esse domínio, que adiciona os SID dos grupos locais a esse domínio (que pode incluir grupos universais) do que o utilizador é um membro para o token do utilizador.

Clientes de nível inferior também estão sujeitos a este comportamento. Note que os computadores são principais de segurança e podem ser afectados da mesma forma. Uma enumeração de grupos a que pertence o computador também é executada no arranque do computador.

Propriedades

Artigo: 216970 - Última revisão: 24 de fevereiro de 2007 - Revisão: 3.2
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
Palavras-chave: 
kbmt kbenv kbinfo kbnetwork KB216970 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 216970

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com