Requisiti del server di catalogo globale per l'accesso di utenti e computer

Il presente articolo è stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell’utente. Tuttavia, un articolo tradotto in modo automatico non è sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, più o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non è la sua. Microsoft non è responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell’utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.

Clicca qui per visualizzare la versione originale in inglese dell’articolo: 216970
Questo articolo è stato archiviato. L’articolo, quindi, viene offerto “così come è” e non verrà più aggiornato.
Sommario
Durante il processo di accesso, un token di protezione viene creato per la protezione locale autorità LSA Local Security (Authority) che contiene gli identificatori di protezione (SID) dei gruppi di cui l'utente è un membro (per il dominio e il computer locale) e viene utilizzato per identificare l'utente e autorizzare l'utilizzo di risorse locali e remote quando il client tenta di accedervi.

In Windows 2000 è incluso un nuovo tipo di gruppo, il gruppo universale, che viene utilizzato dal sistema per concedere le autorizzazioni di accesso alle risorse a livello di organizzazione. Un gruppo universale può essere creato solo in un dominio in modalità originale e può contenere account utente, gruppi globali e gruppi universali di qualsiasi dominio nell'insieme di strutture.

Poiché i gruppi universali possono essere creati in un solo dominio e contenere account utente o gruppi di un altro dominio, quando viene costruito il token per un utente i gruppi universali di cui l'utente è membro devono essere enumerati e aggiunti al token.
Informazioni
Anziché comunicare con ogni dominio nell'insieme di strutture per enumerare i gruppi universali di ognuno, l'elenco dei membri di ogni gruppo universale viene replicato ai server di catalogo globale, in modo da rendere più semplice per un controller di domino effettuare la ricerca in una sola posizione di tutti i gruppi universali di cui l'utente è membro.

In un dominio in modalità originale il centro distribuzione chiavi (KDC) sul controller di dominio che esegue l'autenticazione della richiesta di accesso dell'utente aggiunge i SID per i gruppi globali dal dominio di accesso dell'utente, individuando il server di catalogo globale e comunicando con esso per enumerare i gruppi universali di cui è membro l'utente e aggiungendo i SID di quei gruppi al token dell'utente. Se il dominio in cui risiede il computer è in modalità originale, vengono aggiunti al token tutti i gruppi locali del dominio di cui l'utente è membro. Infine, vengono aggiunti al token tutti i gruppi locali del computer locale di cui l'utente è membro.

Il primo controller di dominio che viene installato per un determinato insieme di strutture viene selezionato automaticamente come server di catalogo globale. Il server di catalogo globale replica una copia di tutti gli oggetti da ogni domino nell'insieme di strutture, ma contiene solo un sottoinsieme degli attributi di ciascun oggetto. Gli attributi replicati sono quelli che saranno utilizzati nelle query più comuni. Oltre il primo controller di dominio dell'insieme di strutture, è un'azione amministrativa per rendere altri controller di dominio i server di catalogo globale dell'insieme di strutture.

I server di catalogo globale possono essere controller di dominio di qualsiasi dominio. Al momento di eseguire l'autenticazione, il controller di dominio che autentica la richiesta di accesso dell'utente ha l'esigenza di individuare un catalogo globale per costruire i gruppi universali a cui appartiene l'utente. Nel caso in cui è presente solo un dominio nell'insieme di strutture, tutti i controller di dominio contengono i dati stessi, pertanto è necessario per individuare un catalogo globale (anche se un server potrebbe essere designato un server di catalogo globale). Se il controller di dominio che gestisce la richiesta di accesso dell'utente è anche un server di catalogo globale, non sarà necessario inoltrare la richiesta a un altro catalogo globale. Non esiste alcun requisito secondo cui il catalogo globale selezionato per rispondere alla richiesta debba essere un membro del dominio a cui appartiene il controller di dominio che esegue l'autenticazione.

Se il controller di dominio non è in grado di individuare un server di catalogo globale durante questo processo:
  • Se l'account utilizzato è l'account Administrator predefinito (RID 0x1F4 o 500 decimale), Windows 2000 consente l'accesso per eseguire senza contattare un catalogo globale il controller di dominio.
  • Se nella cache sono memorizzate le credenziali dell'utente sul computer locale, all'utente verrà consentito l'accesso utilizzando tali credenziali. Accesso alle risorse di rete deve essere convalidato su base individuale. Se sul client viene utilizzato Kerberos per l'accesso alle risorse del server, dovrà essere contattato il KDC per ottenere un ticket per il server oppure, se viene utilizzato NTLM, sarà necessaria un'autenticazione pass-through.
  • Se non sono presenti credenziali memorizzate nella cache, all'utente verrà negato l'accesso.
Per questi motivi, è importante tenere presente che l'autorizzazione dell'accesso con le credenziali memorizzate nella cache o il rifiuto dell'accesso a un utente è la conseguenza dell'impossibilità del controller di dominio di trovare un catalogo globale. Poiché tutti i server di catalogo globale contengono le stesse informazioni (ad eccezione della latenza di replica), è possibile utilizzare qualsiasi catalogo globale. Se un catalogo globale locale non dovesse essere in linea, è possibile utilizzare e verrà utilizzato un catalogo globale remoto. Per motivi di prestazioni e l'efficienza della larghezza di banda, può essere utile per un catalogo globale locale in ciascun sito host. I client e i controller di dominio stabiliranno di preferenza la comunicazione con un catalogo globale locale prima di utilizzarne uno remoto in un altro sito.

Questo processo si verifica ad ogni accesso ed è coerente con funzionalità a livello inferiore; se un utente viene aggiunto o rimosso da un gruppo, la modifica non verrà riflessa finché l'utente non si disconnette e si riconnette.

In un dominio in modalità mista non è possibile creare gruppi universali. Se un computer basato su Windows 2000 si trova in un dominio di livello inferiore o in modalità mista, si avranno vari comportamenti. Altri domini possono essere in modalità originale ed è possibile che siano stati creati gruppi universali di cui l'utente è membro. Il controller di dominio che autentica la richiesta di accesso aggiungerà i SID dei gruppi globali a cui appartiene l'utente al token dell'utente e il computer locale aggiungerà i SID per i gruppi di cui l'utente è membro sul computer locale, a seconda del caso. Quando si verifica un tentativo di utilizzo delle risorse in un altro dominio, il computer sul quale risiedono le risorse contatta un controller di dominio per quel dominio che aggiunge al token dell'utente i SID dei gruppi locali al dominio, che può contenere gruppi universali, di cui l'utente è membro.

Anche i client di livello inferiore sono soggetti a questo comportamento. Si noti che i computer sono valori principali di protezione e pertanto possono essere anch'essi influenzati da tale comportamento. Un'enumerazione dei gruppi a cui appartiene il computer viene inoltre eseguita all'avvio del computer.

Avviso: questo articolo è stato tradotto automaticamente

Proprietà

ID articolo: 216970 - Ultima revisione: 12/05/2015 12:53:32 - Revisione: 3.2

Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows 2000 Datacenter Server

  • kbnosurvey kbarchive kbmt kbenv kbinfo kbnetwork KB216970 KbMtit
Feedback