全局编录服务器要求的用户和计算机登录

文章翻译 文章翻译
文章编号: 216970 - 查看本文应用于的产品
展开全部 | 关闭全部

概要

作为登录过程的安全令牌构造由本地安全颁发机构 (LSA) 包含的组的用户是 (对于域和本地计算机) 的成员,并用于标识用户并授予本地和远程资源的使用,当客户端试图访问它们时的安全标识符 (sid)。

Windows 2000 中包括了一种新的 Windows 2000 中用于授予对整个企业范围内的资源的权限通用组的组类型。通用组可以创建仅在本机模式域中,并且可以包含用户帐户、 全局的组和来自林中任何域的通用组。

因为通用组可以创建一个域中,并且包含用户帐户或从其他的域的组,构造一个用户的令牌时,必须枚举的其中一个用户是其成员的通用组,并将其添加到标记中。

更多信息

而不是与每个域中进行枚举在通用组从每个目录林通信的每个通用组的成员列表将被复制到简化查询所有的通用组,用户是一个成员的一个位置的域控制器的全局编录 (GC) 服务器。

在本机模式域中对用户的登录请求进行身份验证的域控制器上该密钥分发中心 (KDC) 负责添加定位和与枚举 GC 通信在通用组用户从用户的登录域的全局组的 sid 一个成员,以及将这些组的 sid 添加到用户的令牌。如果计算机位于的域处于本机模式,从该域用户是一个成员的任何域当地组被添加到标记中。最后,从本地计算机用户是一个成员的任何本地组添加到标记中。

为给定的目录林中安装的第一个域控制器会自动选中为 GC 服务器。GC 服务器将从该林中的每个域中复制所有对象的副本,但只包含每个对象的属性的子集。要复制该属性是指将是最常见的查询中使用的。超出了目录林的第一个域控制器是林中 GC 服务器中进行的其他域控制器管理操作。

GC 服务器可以是来自任何域的域控制器。身份验证时,在域控制器进行身份验证的用户的登录请求的需要来构造该用户所属的通用组中找到 GC。目录林中没有只有一个域,所有域控制器将都包含相同的数据,因此无需定位一个 GC (即使任何给定的服务器可能被指定为 GC)。 如果在处理用户登录请求的域控制器也是一个 GC,则无需到远程请求另一个 GC。不没有为请求提供服务是该身份验证的域控制器所属的域的成员选择的 GC 任何要求。

如果在此过程中,不能在 GC 服务器位于由域控制器:
  • 如果使用的帐户是内置的管理员帐户 (RID 0x1F4 或十进制 500),Windows 2000 允许没有联系一个 GC 的域控制器进行登录。
  • 如果用户在本地计算机上存在缓存的凭据,用户是使用这些凭据登录。必须逐个验证访问网络资源。如果客户端使用服务器的资源使用 Kerberos,必须与 KDC 联系才能获取服务器,票证,或者如果使用 NTLM,则是必需的通过身份验证。
  • 如果不存在缓存的凭据,呢就将拒绝该用户登录。
由于这些原因值得注意获取用户的使用缓存凭据登录,或被拒绝登录就是域控制器未能找到任何 GC 的结果。因为所有全局编录包含相同的信息 (与复制滞后时间异常),可以使用任何 GC。如果本地 GC 恰好处于脱机状态,可以远程 GC,将使用。由于性能方面的原因和带宽效率,可能是有益的宿主在每个站点中的本地 GC。客户端和域控制器更喜欢在另一个站点中使用远程 GC 之前与在本地站点中的 GC 通信。

此过程发生在每次登录时,与低级别的行为 ; 保持一致,是否添加的用户或从组中移除的用户,更改将不反映在用户登录注销再重新直到。

在混合模式域中不能创建通用组。如果级别较低的或混合模式域中位于一台基于 Windows 2000 的计算机,将出现不同的行为。其他域处于本机模式和通用组可能已创建包含该用户作为成员。 域控制器进行身份验证登录请求将添加全局组,其中该用户是与用户的令牌的成员,并在本地计算机添加用户是根据需要在本地计算机上的成员的组的 sid 的 sid。尝试使用另一个域中的资源时,计算机承载该资源为该用户是与用户的令牌的成员的 (其中可能包含通用组) 域中添加本地组的 sid 的域联系域控制器。

下层客户端也会遵守此行为。请注意计算机安全主体,并且可能会影响相同的方式。在计算机启动时也执行计算机所属的组的枚举。

属性

文章编号: 216970 - 最后修改: 2007年2月24日 - 修订: 3.2
这篇文章中的信息适用于:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
关键字:?
kbmt kbenv kbinfo kbnetwork KB216970 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 216970
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com