Zakázání požadavku, aby server globálního katalogu k dispozici k ověření přihlášení uživatele

Souhrn

Umístění serverů globálního katalogu ve vzdálených lokalitách je obvykle žádoucí zvýšit rychlost aplikace čas přihlášení uživatele, vyhledává a jiné činnosti vyžadující komunikaci se servery globálního katalogu a snížit zatížení rozlehlá síť (WAN). Však snížit správní zásah, požadavky na hardware a další související režii v některých situacích můžete chtít vyhledat server globálního katalogu na vzdálený server. V podstatě duplikování funkce záložního řadiče domény (BDC) v prostředí Microsoft Windows NT 4.0. To je zvláště důležité v prostředích, které mají velký počet webů, které hardwaru podstatně zvýšených nákladů může dojít, pokud velikost webů nemohou odůvodnit tento hardware a správa. Problém jak bylo uvedeno dříve v tomto článku je, že přihlášení vyžaduje řadič domény, ověřování uživatele kontaktovat server globálního katalogu, chcete-li zjistit, zda uživatel je členem univerzální skupiny. Takže pokud vzdálené kanceláře, není server globálního katalogu a nelze kontaktovat server globálního katalogu (z různých důvodů) požadavek uživatele na přihlášení nemusí fungovat (podle pravidel uvedených výše).


Windows 2003 nabízí alternativu k nastavení níže, známý jako univerzální skupině do mezipaměti. Pokud je to povoleno pro web, uživatelé přihlášení serveru globálního katalogu je online nadále Chcete-li tak učinit, pokud je server globálního katalogu v režimu offline, při příštím přihlášení.

Další informace o univerzálních skupinách do mezipaměti části globální katalog, procesy a interakce na následujícím webu společnosti Microsoft:

Další informace

Důležité: Tento oddíl, metoda nebo úkol obsahuje kroky, které popisují úpravu registru. Při nesprávné úpravě registru mohou nastat závažné problémy Proto se ujistěte, že budete opatrně postupovat podle těchto kroků Pro zvýšení ochrany před úpravou zálohujte registr. Pokud dojde k potížím, pak můžete registr obnovit ze zálohy. Pro další informace o zálohování a obnovení registru klepněte na následující číslo článku databáze Microsoft Knowledge Base:
322756 postup zálohování a obnovení registru v systému Windows


Eliminovat potřebu server globálního katalogu na webu a vyhnout se potenciální odmítnutí požadavků na přihlášení uživatelů, použijte následující kroky Chcete-li povolit přihlášení, když není k dispozici server globálního katalogu.

V systému Windows 2000

  1. Spusťte Editor registru (Regedt32.exe).
  2. Vyhledejte a klepněte na následující klíč registru:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. V nabídce Úpravy klepněte na příkaz Přidat klíča poté přidejte následující klíč registru:

    Název klíče: IgnoreGCFailures
    Poznámka: Systém Windows 2000 poskytuje tento klíč pro diagnostické účely. Neexistuje žádný konkrétní hodnotu k určení tohoto klíče. Je testován pouze přítomnost nebo nepřítomnost tohoto klíče.
  4. Ukončete Editor registru.
  5. Restartujte řadič domény.

Pro systém Windows 2003

  1. Spusťte Editor registru (Regedit.exe).
  2. Vyhledejte a klepněte na následující klíč registru:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. V nabídce Úpravy klepněte na příkaz Nový, klepněte na příkaz Hodnota DWORDa přidejte následující klíč registru:

    Název klíče: IgnoreGCFailures
    Hodnota: 1
  4. Ukončete Editor registru.
  5. Restartujte řadič domény.
Toto nastavení musí být nastavena na řadič domény provádí počáteční ověření uživatele.

Poznámka: Toto nastavení způsobí potenciální chyby zabezpečení, pokud jsou použity také univerzální skupiny.


Důležité: Pokud je toto nastavení povoleno, není vhodné používat univerzální skupiny, vzhledem k tomu, že pokud je uživatel členem univerzální skupiny a skupiny je odepřen přístup k prostředku, klíč vypne výčet univerzální skupiny a univerzální skupiny SID není přidán do tokenu uživatele a uživatel může mít přístup k prostředku.
Vlastnosti

ID článku: 241789 - Poslední kontrola: 10. 1. 2017 - Revize: 1

Váš názor