Требования К сервера глобального каталога для пользователя и вход в компьютер

Переводы статьи Переводы статьи
Код статьи: 216970 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

Аннотация

Как часть процесса входа в систему маркер безопасности создается с локального администратора безопасности (LSA), содержащий идентификаторы безопасности (SID) группы, из которых пользователь является членом (для домена и локальный компьютер) и используется для идентификации пользователя и разрешить использование локальных и удаленных ресурсов, когда клиент пытается получить доступ к ним.

Windows 2000 включает новый тип группы, универсальные группы, которая используется в Windows 2000 для предоставления разрешений для ресурсов в организации. Универсальные группы могут быть созданы только в основном режиме домена и может содержать учетные записи пользователей, глобальных групп и универсальные группы из любого домена в лесу.

Поскольку универсальные группы могут быть созданы в одном домене, содержащих учетные записи пользователей или группы из другого домена, при создании маркера пользователя универсальных групп, членом которых является пользователь должен быть перечисление и добавляется к маркеру.

Дополнительная информация

Вместо того чтобы связи с каждого домена в лесу для перечисления универсальные группы из каждого элемента списка всех универсальных групп реплицируется на серверы глобального каталога (GC), облегчая для контроллера домена для запроса одного места для всех универсальных групп, членом которых является пользователь.

В основном режиме домена центр распространения ключей (KDC) на контроллере домена, запрос на вход пользователя с проверкой подлинности отвечает за добавление идентификаторы безопасности для глобальные группы из домена для входа в систему пользователя, обнаружение и взаимодействие с глобального Каталога для перечисления универсальной группы пользователь является членом группы и добавление кодов безопасности этих групп в маркере пользователя. Если компьютер находится в домене в основном режиме, все локальные группы домена из этого домена, членом которых является пользователь добавляются к маркеру. И наконец любых локальных групп на локальном компьютере, членом которых является пользователь, добавляются в маркер.

Первый контроллер домена, которые установлены для данного леса автоматически выбирается сервер глобального Каталога. Сервер глобального Каталога реплицируется копия всех объектов из всех доменов в лесу, но содержит только подмножество атрибутов для каждого объекта. Атрибуты, которые реплицируются являются те, которые будут в наиболее распространенных запросов. За пределами первого контроллера домена леса это административные действия, чтобы другие контроллеры домена в лесу серверов глобального Каталога.

Серверы глобального Каталога может быть контроллеры домена из любого домена. При проверке подлинности контроллер домена, который проверяет подлинность запроса на вход в систему пользователя необходимо найти глобальный Каталог для создания универсальных групп, к которому он принадлежит. В случае, если имеется только один домен в лесу, все контроллеры домена содержат те же данные, поэтому нет необходимости, для поиска глобального Каталога (даже если отключения данного сервера может быть назначен глобальный Каталог). Если контроллер домена, обработке запросов входа в систему пользователя также глобальный Каталог, нет необходимости на удаленный запрос на другой глобальный Каталог. Не является обязательным, глобальный Каталог, выбранный для обслуживания запроса, которые являются членами домена, к которому принадлежит проверяющий контроллер домена.

Если во время этого процесса не удается найти сервер глобального Каталога с контроллера домена:
  • Если учетная запись, используемая встроенной учетной записью администратора (RID 0x1F4 или десятичное 500), Windows 2000 позволяет вход в систему для проведения без контроллера домена, обращение к глобального Каталога.
  • Если кэшированные учетные данные пользователя на локальном компьютере, пользователь вошел в систему с этими учетными данными. Доступ к сетевым ресурсам должны быть проверены в индивидуальном порядке. Если клиент использует Kerberos для использования ресурсов сервера, KDC должна осуществляться получить билет для сервера или при использовании NTLM сквозная проверка подлинности является обязательным.
  • Если отсутствуют кэшированные учетные данные, пользователю запрещен вход в систему.
По этой причине важно отметить, что получение пользователя в систему с использованием кэшированных учетных данных или запрещается вход в систему будет возникать в результате невозможности найти любой глобальный Каталог контроллера домена. Поскольку все глобальные каталоги содержат одинаковые данные (за исключением задержки репликации), можно использовать любой глобальный Каталог. В случае локального глобального Каталога в автономный режим удаленной сборки Мусора могут и будут использоваться. Для повышения производительности и эффективности пропускной способности могут пригодиться для размещения локальных глобального Каталога в каждом сайте. Контроллеров домена и клиенты предпочитают связи с глобального Каталога в локальном сайте, перед использованием удаленного глобального Каталога в другой узел.

Этот процесс происходит при каждом входе в систему и согласуется с поведением нижнего уровня, если пользователь добавляется или удаляется из группы, это изменение не отражено до отключения и повторного входа пользователя.

В смешанном режиме домена нельзя создавать универсальные группы. Если компьютер под управлением Windows 2000 находится в более ранних версий или смешанном режиме домена, другое поведение. Other domains may be in Native mode and universal groups may have been created that contain the user as a member. The domain controller authenticating the logon request will add the SIDs of the global groups of which the user is a member to the user's token and the local computer adds SIDs for groups of which the user is a member on the local computer as appropriate. When an attempt to use resources in another domain occurs, the computer hosting the resource contacts a domain controller for that domain, which adds the SIDs of the groups local to that domain (which may include universal groups) of which the user is a member to the user's token.

Down-level clients are also subject to this behavior. Note that computers are security principals and can be affected in the same way. An enumeration of the groups to which the computer belongs is also performed at computer startup.

Свойства

Код статьи: 216970 - Последний отзыв: 16 ноября 2010 г. - Revision: 2.0
Информация в данной статье относится к следующим продуктам.
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Ключевые слова: 
kbenv kbinfo kbnetwork kbmt KB216970 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:216970

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com