Requisito de Server catálogo global para usuário e logon de computador

Como parte do processo de logon, um token de segurança é construído pela autoridade de segurança local (LSA) contém identificadores de segurança (SIDs) dos grupos dos quais o usuário é um membro (para o domínio e o computador local) e é usado para identificar o usuário e autorizar o uso de recursos locais e remotos quando o cliente tenta obter acesso a eles.

O Windows 2000 inclui um novo tipo de grupo, o grupo universal, que é usado no Windows 2000 para conceder permissões a recursos em toda a empresa. Um grupo universal pode ser criado apenas em um domínio de modo nativo e pode conter contas de usuário, grupos globais e grupos universais de qualquer domínio na floresta.

Como grupos universais podem ser criados em um domínio e contenham contas de usuário ou grupos de outro domínio, quando um token do usuário está sendo criado, os grupos universais do que um usuário é um membro devem ser enumerados e adicionados ao símbolo de.

Em vez de se comunicar com cada domínio na floresta para enumerar os grupos universais de cada, lista de membros de cada grupo universal é duplicada em servidores de catálogo global (GC), tornando mais fácil para um controlador de domínio consulta um local para todos os grupos universais dos quais o usuário é membro.

Em um domínio de modo nativo, o Centro de distribuição de chaves (KDC) no controlador de domínio autenticar a solicitação de logon do usuário é responsável por adicionar os SIDs dos grupos globais do domínio de logon do usuário, localizar e se comunicar com o GC para enumerar que o universal grupos o usuário é um membro do e adicionar os SIDs dos grupos ao token do usuário. Se o domínio que o computador reside no estiver no modo nativo, qualquer grupos locais de domínio desse domínio do qual o usuário é um membro são adicionados ao token. Por fim, quaisquer grupos locais do computador local do qual o usuário é um membro são adicionados ao token.

O primeiro controlador de domínio é instalado para uma determinada floresta é automaticamente selecionado para ser um servidor GC. O servidor GC replica uma cópia de todos os objetos de cada domínio na floresta, mas contém somente um subconjunto dos atributos de cada objeto. Os atributos que são replicados são aqueles que serão usadas na consultas mais comuns. Além do primeiro controlador de domínio da floresta, é uma ação administrativa para fazer outros controladores de domínio em servidores de GC do floresta.

Servidores de GC podem ser controladores de domínio de qualquer domínio. Quando a autenticação ocorre, o controlador de domínio que estiver autenticando solicitação de logon do usuário precisa localizar um GC para construir os grupos universais aos quais pertence que o usuário. No, o caso que, há somente um domínio na floresta, todos os controladores de domínio contêm os mesmos dados, portanto não é necessário para localizar um GC (mesmo que qualquer servidor pode ser designado um GC). Se o controlador de domínio manipular a solicitação de logon do usuário for também um GC, não é necessário para remoto a solicitação para outro GC. Não há nenhuma exigência de que o GC selecionado para atender à solicitação ser membro do domínio ao qual o controlador de domínio de autenticação pertence.

Se um servidor GC não pode ser localizado pelo controlador de domínio durante esse processo:

• Se a conta que é usada a conta Administrador interna (RID 500 decimal ou 0x1F4), Windows 2000 permite que o logon para que ocorram sem o controlador de domínio entrar em contato com um GC.
• Se houver credenciais armazenadas em cache para o usuário no computador local, o usuário fizer logon com essas credenciais. Acesso aos recursos da rede deve ser validado individualmente. Se o cliente usa Kerberos para usar os recursos do servidor, o KDC deve ser contatado para obter um tíquete para o servidor ou se NTLM é usado, autenticação de passagem é necessária.
• Se não existirem credenciais armazenadas em cache, o usuário será negado logon.

Por esses motivos, é importante observar que a obtenção de um usuário conectado com credenciais armazenadas em cache ou negado logon seria o resultado do controlador de domínio falha ao localizar qualquer GC. Como todos os catálogos globais contêm as mesmas informações (com exceção de latência de replicação), qualquer GC pode ser usada. Se ocorrer um GC local estar offline, um GC remoto pode e será usado. Para razões de desempenho e a eficiência de largura de banda, talvez seja útil hospedar um GC local em cada site. Os clientes e controladores de domínio preferem se comunicando com um GC no site local antes de usar um GC remoto em outro site.

Esse processo ocorre em cada logon e é consistente com comportamento de nível inferior; se o usuário é adicionado ou removido de um grupo, a alteração é refletida não até o usuário faz logoff e logon novamente.

Em um domínio de modo misto, não não possível criar grupos universais. Se um computador baseado no Windows 2000 está localizado em um nível inferior ou o domínio de modo misto, ocorrerá um comportamento diferente. Outros domínios podem estar em modo nativo e grupos universais podem ter sido criados que contém o usuário como um membro. O controlador de domínio autenticar a solicitação de logon será adiciona os SIDs dos grupos globais da qual o usuário é um membro para o token do usuário e computador local adiciona SIDs de grupos dos quais o usuário é um membro no computador local conforme apropriado. Quando ocorre uma tentativa de usar recursos em outro domínio, o computador que hospeda o recurso contata um controlador de domínio desse domínio, que adiciona os SIDs dos grupos locais desse domínio (que pode incluir grupos universais) do qual o usuário é um membro para o token do usuário.

Clientes de nível inferior também estão sujeitos a esse comportamento. Observe que os computadores são objetos de segurança e podem ser afetados da mesma maneira. Uma enumeração dos grupos ao qual pertence o computador também é executada na inicialização do computador.