Kullanýcý ve bilgisayar oturum açma için genel katalog sunucusu gereksinimi

Oturum açma iþleminin bir parçasý, bir güvenlik belirteci olarak yerel güvenlik yetkilisi (güvenlik tanýmlayýcýlarý (Sýd), kullanýcý bir üyesiyse (için etki alaný ve yerel bilgisayar) ve kullanýcý tanýmlamak ve bunlara eriþmek istemcinin giriþiminde bulunduðunda, yerel ve uzak kaynaklarýnýn kullanýmýný yetkilendirmek için kullanýlan gruplarý içeren LSA) oluþturulur.

Windows 2000, yeni bir grup, Windows 2000'de, kuruluþ genelinde kaynaklara izinleri vermek için kullanýlan bir Evrensel Grup türünü içerir. Bir evrensel grup, yalnýzca yerel moddaki etki alanýnda oluþturulan ve kullanýcý hesaplarýný, genel gruplarý ve ormandaki tüm etki alanlarýndan evrensel gruplarý içerebilir.

Evrensel gruplar bir etki alanýnda oluþturulan ve bir kullanýcýnýn belirtecini oluþturulmasý, baþka bir etki alanýndan gruplarý veya kullanýcý hesaplarýný içeren bir kullanýcýnýn üye olduðu evrensel gruplarý olmalý numaralandýrýlmýþ ve belirtece eklendi.

Evrensel gruplarýn her numaralandýrýlamadý ormandaki her etki alaný ile iletiþim yerine, her bir evrensel grup üye listesi yapýlandýrmalarýnýzý kolaylaþtýrmak için kullanýcýnýn üyesi olduðu tüm evrensel gruplarý tek bir konumda sorgulamak bir etki alaný denetleyicisinin genel katalog (GC) sunucularýna da çoðaltýlýr.

Yerel moddaki etki alanýnda, kullanýcýnýn oturum açma isteðini kimlik doðrulamasý yapan etki alaný denetleyicisinde Anahtar Daðýtým Merkezi (KDC) üyesidir bulmak ve kullanýcý evrensel gruplarý numaralandýrýlamýyor GC ile iletiþim kurmada Sýd için kullanýcýnýn oturum açma etki alaný genel gruplarý ekleme ve bu gruplarýn Sýd'leri kullanýcýnýn belirtecine ekleme sorumludur. Bilgisayarýn bulunduðu etki alaný yerel modda ise, kullanýcýnýn üyesi olduðu etki alanýnda etki alaný yerel gruplarý için belirteç eklenir. Son olarak, kullanýcýnýn üyesi olduðu yerel bilgisayardaki herhangi bir yerel grubun belirtece eklenir.

Yüklediði için belirli bir ormandaki ilk etki alaný denetleyicisinin bir GC sunucusu olacak þekilde otomatik olarak seçilir. GC Sunucusu ormandaki her etki alanýndaki tüm nesnelerin bir kopyasýný çoðaltýlýr, ancak yalnýzca, her bir nesnenin özniteliklerinin bir alt kümesini içerir. Çoðaltýlan öznitelikler en sýk kullanýlan sorgularda kullanýlan olacak olanlardýr. Ilk etki alaný denetleyicisi ormanýnýn, bu GC sunucularý ormandaki diðer etki alaný denetleyicilerine yapmak için bir yönetim eylemi var.

GC Sunucusu herhangi bir etki alanýndaki etki alaný denetleyicileri olabilir. Kimlik doðrulama ortaya çýktýðýnda, kullanýcýnýn oturum açma isteðini kimlik doðrulamasý yapan etki alaný denetleyicisinde bu kullanýcýnýn ait olduðu evrensel gruplarý oluþturmak için bir GC bulmak gerekiyor. Yok olay, yalnýzca bir etki alaný ormanda, tüm etki alaný denetleyicilerinin, (belirli bir sunucuda herhangi bir GC iþaretlenmesi olsa bile) bir GC bulmaya gerek yoktur; böylece ayný verileri içerir. Kullanýcý oturum açma isteði iþleyen etki alaný denetleyicisi ayný zamanda bir GC ise baþka bir GC isteði için uzak gerek yoktur. GC kimlik doðrulamasý yapan etki alaný denetleyicisinin ait olduðu etki alanýnýn üyesi olmasý isteðe hizmet için seçtiðiniz gereksinim vardýr.

Bu iþlem sýrasýnda etki alaný denetleyicisinin bir GC sunucusu bulunamýyor:

• Kullanýlan hesap yerleþik Yönetici hesabýnýn (0x1F4 veya ondalýk 500 RID), Windows 2000 etki alaný denetleyicisinin bir GC baðlantý kurmasýný etkili olabilmesi oturum açma izin verir.
• Önbelleðe alýnmýþ kimlik bilgilerini, kullanýcýnýn yerel bilgisayarda yoksa, kullanýcý bu kimlik bilgileriyle oturum açtý. Að kaynaklarýna eriþim, tek bir bazýnda doðrulanmasý gerekir. Bir sunucunun kaynaklarýný kullanmak için istemci Kerberos kullanýlýyorsa, KDC sunucu için bir bilet almak için bulunmasýnýn gerekip veya kimlik doðrulamasý NTLM kullanýlýyorsa, gereklidir.
• Önbelleðe alýnmýþ kimlik bilgileri yoksa, kullanýcý oturum açma engellendi.

Bu nedenle, önbelleðe alýnmýþ kimlik bilgileriyle oturum açmýþ kullanýcýnýn alma veya oturum açma engellenmesini sonuç etki alaný denetleyicisinin bir GC bulmak baþarýsýz olur dikkate almak önemlidir. Tüm genel katalog (çoðaltma gecikmesini özel durum ile) ayný bilgileri içerdiðinden, herhangi bir GC kullanýlabilir. Yerel bir GC çevrimdýþý olursa, uzak bir GC olabilir ve kullanýlacaðýný belirler. Bant geniþliði verimliliði ve performansý artýrmak için her sitede yerel bir GC barýndýrmak yararlý olabilir. Istemciler ve etki alaný denetleyicileri, baþka bir sitedeki uzaktan bir GC kullanmadan önce yerel sitedeki bir GC ile iletiþim kurmada tercih eder.

Bu iþlem, her oturum açma sýrasýnda gerçekleþir ve kullanýcý eklendiðinde veya gruptan kaldýrdý; alt düzey davranýþýyla uyumlu ise, deðiþikliði kullanýcý oturum kapatýp kadar yansýtýlmaz.

Bir karma moddaki etki alanýnda, Evrensel gruplar oluþturulamaz. Windows 2000 tabanlý bir bilgisayarda bir alt düzey veya karma moddaki etki alanýnda bulunuyorsa, bu davranýþ oluþur. Diðer etki alaný yerel modda olabilir ve evrensel gruplarý üye olarak kullanýcý içeren oluþturulmuþ olabilir. Oturum açma isteðini kimlik doðrulamasý yapan etki alaný denetleyicisi, kullanýcý için kullanýcýnýn belirtecini üyesidir ve yerel bilgisayar, kullanýcýnýn yerel bilgisayarda uygun üye olduðu gruplarý için Sýd ekler genel gruplarýn Sýd'leri ekleyecektir. Baþka bir etki alanýndaki kaynaklara kullanma giriþimini ortaya çýktýðýnda, kaynaðý barýndýran bilgisayar kullanýcý için kullanýcýnýn belirtecini üye olduðu (olduðu evrensel gruplarý içerebilir) bu etki alaný yerel gruplarýnýn Sýd ekler bu etki alaný için etki alaný denetleyicisine baðlanýr.

Aþaðý düzey istemciler, bu davranýþ için de yararlýdýr. Not bir bilgisayar güvenlik sorumlularýný olan ve ayný þekilde etkilenebilir. Bir bilgisayarýn ait olduðu gruplarýn numaralandýrýlmasýný, ayrýca bilgisayar baþlatma sýrasýnda gerçekleþtirilir.