Serviços de directório e o Windows 2000 ou o Windows Server 2003 os domínios do Active (parte 1)

O suporte para Windows Server 2003 terminou a 14 de Julho de 2015

A Microsoft terminou o suporte para Windows Server 2003 a 14 de Julho de 2015. Esta alteração afetou as suas atualizações de software e opções de segurança. Aprenda o que isto significa para si e como pode ficar protegido.

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 310996
Sumário
As informações constantes neste artigo são fornecidas em parte por: Microsoft Press.

Este artigo é a primeira parte de uma série de dois artigos que explicam os serviços do Active Directory e Windows 2000 ou domínios do Windows Server 2003. Para ver parte 2, clique na seguinte hiperligação:
310997 Serviços de directório e o Windows 2000 ou o Windows Server 2003 os domínios do Active (parte 2)
Parte 1 abrange os seguintes tópicos:
  • A hierarquia do domínio
    • Windows 2000 e domínios do Windows Server 2003
      • Domínios
      • Árvores
      • Florestas
  • Relações de Fidedignidade
    • Fidedignidades transitórias
    • Fidedignidades unidireccionais
    • Fidedignidades de ligação cruzada
Os seguintes tópicos são abrangidos na parte 2:
  • Limites administrativos
    • Domínios
    • Unidades organizacionais
  • Interacção do Active Directory
    • Emular a hierarquia do domínio
    • Catalogar o domínio (a partição de directório)
    • Criar partições no directório
    • Obter informações sobre objectos de outro domínio
      • Distribuir o directório
      • Replicar o directório
    • Catalogação da empresa (o Catálogo Global)
  • Conclusões
Esta informação é um excerto do livro de Serviços do Active Directory para referência técnica do Microsoft Windows 2000 , o capítulo 3: serviços Active Directory e domínios do Windows 2000. Obtenha mais informações sobre Serviços do Active Directory para referência técnica do Microsoft Windows 2000. Foi actualizada para incluir informações sobre o Microsoft Windows Server 2003.
Mais Informação
A estrutura de domínio do Microsoft Windows 2000 ou Windows Server 2003 e respectivos objectos associados são alterados significativamente de suas incarnations do Windows NT 4, reflectindo o papel central do serviço Active Directory no Windows 2000 ou Windows Server 2003 e os requisitos de concepção que tornam um serviço de directório dimensionável, empresas. Algumas destas alterações sejam óbvias, tais como o movimento de um modelo de relação de fidedignidade transitória, enquanto que outros estão subtler, tais como a introdução de unidades organizacionais. Se os problemas são óbvias ou subtis, explicar-los é fundamental para a compreensão da interacção e dependências entre domínios do Windows 2000 ou Windows Server 2003 e serviços do Active Directory. O Active Directory emula o Windows 2000 e o modelo de domínio do Windows Server 2003-- ou vice versa, se pretende por visualizá-la dessa forma. De qualquer forma, os domínios do Windows 2000 ou Windows Server 2003 e o Active Directory são dependentes entre si e mesmo definidos por características uns dos outros. A relação estreita e indivisível entre o Windows 2000 ou domínios do Windows Server 2003 e serviços do Active Directory requer uma explicação sobre o modelo de domínio do Windows 2000 ou Windows Server 2003 e a forma como interage com os serviços do Active Directory. Assim, o presente capítulo começa com uma explicação sobre o modelo de domínio do Windows 2000 e Windows Server 2003 e examina a razão pela qual esse modelo é tão diferente do modelo de domínio do Windows NT.

Windows 2000 e domínios do Windows Server 2003

Modelos de domínio do Windows NT 4 não fáceis de dimensionar. Existem outras formas de indicar este facto que seria sugarcoat a verdade, mas o simple facto da questão em causa é que o domínio do Windows NT 4 modelo – com seus fidedignidades não transitórias unidireccionais – necessária muita carga administrativa em implementações de grande empresa. Isto acontece já não com o Windows 2000 ou Windows Server 2003 e modelos de domínio, em grande parte da nova abordagem em fidedignidades, mas também porque o conceito de todo o domínio tiver sido renovado para alinhamento com as normas da indústria como o Lightweight Directory Access Protocol (LDAP) e o serviço de nomes de domínio (DNS).

A hierarquia do domínio

Em redes Windows 2000 e Windows Server 2003, os domínios são organizados numa hierarquia. Com esta nova abordagem hierárquica para domínios, foram criados os conceitos das florestas e árvores. Estes novos conceitos, juntamente com o conceito existente de domínios, ajudam as organizações mais gerir eficazmente a estrutura de rede do Windows 2000 e Windows Server 2003.
Domínios
A unidade atómica do modelo de domínio do Windows 2000 e Windows Server 2003 não alterado; ainda é o domínio. Um domínio é um limite administrativo e no Windows 2000 e Windows Server 2003, um domínio representa um espaço de nomes (que é abordado no capítulo 4) que corresponde a um domínio DNS. Consulte o capítulo 6, "Serviços e DNS do Active Directory," para obter mais informações acerca de como interagem os serviços do Active Directory e DNS.

O primeiro domínio criado numa implementação do Windows 2000 ou Windows Server 2003 é chamado domínio raiz e, como o nome sugere, é a raiz de todos os outros domínios que são criados na árvore do domínio. (As árvores de domínio são explicadas na secção seguinte). Uma vez que as estruturas de domínio do Windows 2000 e Windows Server 2003 são esposa hierarquias de domínio DNS, a estrutura de domínios Windows 2000 e Windows Server 2003 é semelhante à estrutura familiar de hierarquias de domínio DNS. Domínios raiz são domínios tal como microsoft.com ou iseminger.com; são as raízes de respectivas hierarquias DNS e raízes do Windows 2000 e a estrutura de domínio do Windows Server 2003.

Domínios criados posteriormente numa hierarquia de domínio Windows 2000 e Windows Server 2003 determinado tornam-se em domínios subordinados do domínio raiz. Por exemplo, se o msdn é um domínio subordinado de microsoft.com, o domínio de msdn fica msdn.microsoft.com.

Como pode ver, Windows 2000 e Windows Server 2003 requerem que os domínios ser um domínio de raiz ou um domínio subordinado numa hierarquia de domínio. Windows 2000 e Windows Server 2003 também exigem que os nomes de domínio seja exclusivo num domínio principal determinado; Por exemplo, não pode ter dois domínios chamados msdn que são domínios subordinado directo de raiz domínio microsoft.com. No entanto, pode ter dois domínios chamados msdn na hierarquia do domínio global. Por exemplo, pode ter msdn.microsoft.com, bem como a msdn.devprods.microsoft.com; o espaço de nomes de microsoft.com tem apenas um domínio subordinado chamado msdn e o espaço de nomes devprods.microsoft.com também tem apenas um domínio subordinado chamado msdn.

A ideia atrás de domínios é uma das partições lógicas. A maioria das organizações suficientemente grande para exigir mais do que um Windows 2000 ou Windows Server 2003 têm uma estrutura lógica que divide responsabilidades ou trabalhar foco. Através da divisão de uma organização em unidades múltiplas (por vezes chamado de divisões na América da empresa), a gestão da organização é facilitada. Com efeito, a organização está a ser divididos em partições para fornecer uma estrutura mais lógica e talvez para dividir o trabalho entre diferentes secções da organização. Para ver outra forma, quando as unidades de negócio lógicas (divisões) são reunidas colectivamente sob o chapéu de uma entidade mais ampla (talvez corporation), estes logicamente diferentes divisões criar uma entidade mais ampla. Apesar de trabalho dentro das divisões diferentes pode ser separadas e muito diferentes, as divisões colectivamente formam uma maior mas logicamente concluir entidade. Este conceito aplica-se também à colecção de uma entidade de espaço de nomes contíguo, maior conhecida como uma árvore de domínios Windows 2000 e Windows Server 2003.
Árvores
Árvores – por vezes denominados árvores de domínios – são conjuntos de domínios de Windows 2000 e Windows Server 2003 que formam um espaço de nomes contíguo. Uma árvore de domínio está formada logo que um domínio subordinado é criado e associado um domínio raiz determinado. Para obter uma definição técnica, uma árvore é uma hierarquia de atribuição de nomes de DNS contígua; para uma figura conceptual, uma árvore de domínio é semelhante a uma árvore invertida (com o domínio raiz na parte superior), com ramos (domínios subordinados) germinados abaixo.

A criação de uma árvore de domínio permite que organizações como para criar uma estrutura lógica de domínios dentro da respectiva organização e para ter essa estrutura respeitar e reflectir o espaço de nomes DNS. Por exemplo, David Iseminger e empresa poderia ter um domínio DNS denominado micromingers.iseminger.com e poderia ter várias divisões lógicas dentro da empresa, por exemplo, vendas, contabilidade, produção etc. Nessa situação, a árvore de domínio pode ter aspecto da árvore de domínio na figura 3-1.

 Imagem da árvore de domínio para micromingers.iseminger.com
Figura 3-1. A árvore de domínio para micromingers.iseminger.com

Nota: por agora já reparou que iseminger.com está a ser utilizado durante o local. Não é relegado por parte do autor; é uma consideração jurídica, que o publisher insistir após. "Sem domínios que são potencialmente contenciosas por favor," caso dizer. "Apenas os domínios que são propriedade de autor ou realmente, fosco realmente uns." O autor tenha um em www.iseminger.com, para esse nome de domínio tem de ser utilizada em todo o lado neste livro. Tive nomes mais inventive, mas Infelizmente, a Microsoft tem inicie advogados.

Esta organização de divisões lógicas dentro das obras de empresa grandes para as empresas que tenham um domínio DNS, mas o problema de empresas que pode ter mais do que uma "empresa", na sua empresa maior têm de ser resolvidos. Esse problema é abordado através da utilização de florestas Windows 2000 e Windows Server 2003.
Florestas
Algumas organizações podem ter vários domínios de raiz, por exemplo, iseminger.com e microsoft.com, ainda a própria organização é uma única entidade (tais como o David Iseminger e empresa fictícia neste exemplo). Em tais casos, estes várias árvores de domínio podem formar um espaço de nomes não contíguo denominado uma floresta. Uma floresta é uma ou mais hierarquias de árvore domínio contíguos que formam uma determinada empresa. De forma lógica, isto também significa que uma organização que tenha um único domínio na respectiva árvore de domínio também é considerada uma floresta. Esta distinção torna-se mais importante neste capítulo, quando for analisada a forma como o Active Directory interage com o Windows 2000 ou Windows Server 2003 domínios e florestas.

O modelo de floresta permite às organizações que não formam um espaço de nomes contíguo para manter a continuidade de toda a organização na sua estrutura de domínio agregado. Por exemplo, se David Iseminger e empresa – iseminger.com – conseguiu raspar em conjunto suficiente centavos para adquirir outra empresa denominada Microsoft que tinha a sua própria estrutura de directórios, as estruturas de domínio das duas entidades podem ser combinadas numa floresta. Existem três principais vantagens de ter uma única floresta. Em primeiro lugar, relações de fidedignidade são mais fáceis de gerir (permitindo aos utilizadores na árvore de um domínio obter acesso a recursos da árvore outro). Em segundo lugar, o Catálogo Global incorpora informações de objecto para toda a floresta, que permite a procura de toda a empresa. Em terceiro lugar, o esquema do Active Directory se aplica a toda a floresta. (Consulte o capítulo 10 para obter informações técnicas sobre o esquema). Figura 3-2 ilustra a combinação da iseminger.com e estruturas de domínio da Microsoft, com uma linha entre os domínios de raiz que indica o Kerberos confiar que existe entre eles e estabelece a floresta. (O protocolo Kerberos é explicado detalhadamente no capítulo 8.)

Apesar de uma floresta pode incluir várias árvores de domínio, representa uma empresa. A criação de uma floresta permite que todos os domínios de membro partilhar informações (pela disponibilidade de Catálogo Global). Poderá estar a pensar como árvores de domínios numa floresta estabelecem relações que permitem a toda a empresa (representada pela floresta) funcione como uma unidade. Boa pergunta; a resposta melhor é fornecida por uma explicação das relações de fidedignidade.

Relações de Fidedignidade

Talvez a diferença mais importante entre domínios do Windows NT 4 e Windows 2000 ou Windows Server 2003 é a aplicação e a configuração de relações de fidedignidade entre domínios na mesma organização. Em vez de estabelecimento de malha de fidedignidades unidireccionais (como o Windows NT 4), Windows 2000 e Windows Server 2003 implementam fidedignidades transitórias que fluam pendentes e a estrutura de árvore de domínio (novo). Este modelo simplifica a administração de rede do Windows, como posso vai demonstrar, fornecendo um exemplo numérico. Das seguintes dois equações (ostentar comigo – as equações forem superior para ilustração a necessidade de memorizar palavras dor indução) exemplificar a gestão de custos gerais é introduzida com cada abordagem; as equações representam o número de relações de fidedignidade necessárias por cada abordagem de fidedignidade do domínio, onde n representa o número de domínios:
Domínios do Windows NT 4-(n * (n-1))
Windows 2000 ou Windows Server 2003 domínios-(n-1)
Apenas para fins de ilustração, vamos considerar uma rede com uma mão cheia de domínios e ver como comparar as abordagens para modelos de domínio. (Partindo do princípio que cinco domínios ajustem-se numa mão determinada, n = 5, as seguintes fórmulas.)
Domínios Windows NT 4: (5 * (5 - 1)) = 20 relações de fidedignidade
Domínios Windows 2000 ou Windows Server 2003: (5 - 1) = 4 relações de fidedignidade
 Imagem da combinação de árvores de domínio para Iseminger.com e Microsoft
Figura 3-2. A combinação de árvores de domínio para Iseminger.com e Microsoft

Que é uma diferença significativa no número de relações de fidedignidade que têm de ser geridos, mas esse redução não for par a resistência da nova abordagem para domínios mais atraente. Com domínios do Windows 2000 e Windows Server 2003, as fidedignidades são criadas e implementadas por predefinição. Se o administrador não faz nada, mas instalar os controladores de domínio, as fidedignidades já estão em vigor. Está associada esta criação automática de relações de fidedignidade para o facto de que os domínios de Windows 2000 e Windows Server 2003 (ao contrário dos domínios do Windows NT 4) são criados hierarquicamente; ou seja, existe um domínio raiz e domínios subordinados dentro de uma árvore do domínio indicado e nada mais. Que permite o Windows 2000 e Windows Server 2003 automaticamente saber os domínios incluídos numa árvore de domínio dado e quando são estabelecidas relações de fidedignidade entre domínios de raiz, automaticamente saber qual o domínio árvores são incluídos na floresta.

Em contrapartida, os administradores tiveram que criar (e gerir posteriormente) relações de fidedignidade entre domínios do Windows NT e que tinham lembrar-se de que forma as relações de fidedignidade transferidas (e como afectado que direitos de utilizador em ambos os domínios). A diferença é significativa, a sobrecarga de gestão está filtrada para uma fracção, e a aplicação de tais fidedignidades mais intuitiva - todos os devido ao novo modelo de fidedignidade e a abordagem hierárquica para domínios e árvores de domínio.

No Windows 2000 e Windows Server 2003, existem três tipos de relações de fidedignidade, cada um dos quais copia uma determinada necessidade dentro da estrutura de domínio. As relações de fidedignidade disponíveis para domínios Windows 2000 e Windows Server 2003 são os seguintes:
  • Fidedignidades transitórias
  • Fidedignidades unidireccionais
  • Fidedignidades de ligação cruzada
Fidedignidades transitórias
Fidedignidades transitórias estabelecem uma relação de fidedignidade entre dois domínios que é capaz de fluir através de outros domínios, como por exemplo, se o domínio A é fidedigno ao domínio B e o domínio B é fidedigno ao C, o domínio A é inerentemente fidedigno ao C e vice-versa, conforme ilustrado pela figura 3-3.

 Imagem de fidedignidade transitória entre três domínios
Figura 3-3. Fidedignidade transitória entre três domínios

Fidedignidades transitórias reduzem consideravelmente a sobrecarga administrativa associada com a manutenção das relações de fidedignidade entre domínios, porque já não existe uma malha de fidedignidade não transitória unidireccional para gerir. No Windows 2000 e Windows Server 2003, relações fidedignas transitivas entre domínios principais e subordinados são estabelecidas automaticamente sempre que é criar novos domínios na árvore do domínio. As confianças transitivas são limitadas a domínios do Windows 2000 ou Windows Server 2003 e a domínios dentro da mesma árvore de domínio ou floresta; Não é possível criar uma relação de fidedignidade transitória com domínios do nível inferior (Windows NT 4 e versões anteriores) e não é possível criar uma fidedignidade transitória entre dois Windows 2000 ou dois domínios do Windows Server 2003 que residem em florestas diferentes.
Fidedignidades unidireccionais
Fidedignidades unidireccionais não são transitivas, pelo que definem uma relação de fidedignidade entre apenas os domínios envolvidos e não são bidireccionais. No entanto, pode criar duas relações de fidedignidade unidireccional separado (um em qualquer direcção) para criar uma relação de fidedignidade bidireccional, tal como faria num ambiente do Windows NT 4 puramente. No entanto, repare que mesmo os êmbolos alternativo fidedignidades unidireccionais não equivale a uma confiança transitiva; a relação de fidedignidade fidedignidades unidireccionais é válida entre apenas dois domínios envolvidos. Fidedignidades unidireccionais do Windows 2000 e Windows Server 2003 são exactamente da mesma como fidedignidades unidireccionais do Windows NT 4. o - e são utilizadas no Windows 2000 ou Windows Server 2003 em algumas situações. Algumas das situações mais comuns são descritas abaixo.

Fidedignidades unidireccionais a primeiros são frequentemente utilizadas quando novas relações de fidedignidade devem ser elaboradas com domínios de nível inferior, tal como domínios de Windows NT 4. Uma vez que os domínios de nível inferior não podem participar no Windows 2000 e Windows Server 2003 em ambientes de fidedignidade transitória (por exemplo, árvores ou florestas), devem ser estabelecidas relações de confiança unidireccionais para activar as relações de fidedignidade ocorra entre o Windows 2000 ou um domínio do Windows Server 2003 e um domínio do Windows NT de nível inferior.

Nota: esta situação de fidedignidade unidireccional não se aplica para o processo de migração (tal como uma actualização de um modelo de domínio existente do Windows NT 4 para o modelo de domínio/árvore/floresta Windows 2000 ou Windows Server 2003). No decorrer de uma migração do Windows NT 4 para Windows 2000 ou Windows Server 2003, as relações de fidedignidade estabelecida são liquidados como o processo de migração move na direcção de conclusão, até ao momento quando todos os domínios são o Windows 2000 ou Windows Server 2003 e o ambiente de fidedignidade transitória é estabelecida. Existe muito mais detalhadamente consagrados à migração processar no capítulo 11, "Migrar para serviços do Active Directory."

Fidedignidades unidireccionais segunda podem ser utilizadas se a ser estabelecida uma relação de fidedignidade entre domínios que não estão na mesma floresta Windows 2000 ou Windows Server 2003. Pode utilizar relações de fidedignidade unidireccional entre domínios de florestas diferentes de Windows 2000 ou Windows Server 2003 para isolar a relação de fidedignidade para o domínio com o qual a relação é criada e mantida, em vez de criar uma relação de fidedignidade que afecta toda a floresta. Deixe-me esclarecer com um exemplo.

Imagine que a organização tiver uma divisão de fabrico e de uma divisão de venda. A divisão de fabrico quer partilhar algumas das respectivas informações de processo (armazenadas em servidores que residam no respectivo domínio Windows 2000 ou Windows Server 2003) com um organismo de normalização. A divisão de venda, no entanto, pretende manter as vendas sensíveis e informações de marketing que armazena em servidores no respectivo domínio privado do organismo normas. (Talvez as suas vendas são tão bem que o organismo de normalização pretende frustram-los por crying, "Monopólio!") Utilizar uma fidedignidade unidireccional mantém as informações de vendas seguro. Para fornecer o acesso necessário para o organismo de normalização, estabelecer uma fidedignidade unidireccional entre o domínio de fabrico e domínio o organismo de normalização e, uma vez que as relações de confiança unidireccionais não transitórias, a relação de fidedignidade é estabelecida apenas entre os dois domínios de participantes. Além disso, uma vez que o domínio confiante é o domínio do fabrico, nenhum dos recursos no domínio do organismo de normalização estaria disponível para os utilizadores do domínio do fabrico.

Como é óbvio, em qualquer um dos cenários fidedignidade unidireccional aqui em destaque, pode criar uma fidedignidade bidireccional fora duas relações de fidedignidade unidireccional separado.
Fidedignidades de ligação cruzada
Ligação cruzada fidedignidades são utilizadas para aumentar o desempenho. Com ligação cruzada fidedignidades, é criada uma bridge de verificação de fidedignidade virtual na hierarquia de árvore ou floresta, a activação de confirmações de relação de fidedignidade mais rápidas (ou recusas) a atingir. Que é bom para obter uma versão abreviada da explicação, mas para realmente compreender como e porquê fidedignidades de ligação cruzada são utilizadas, primeiro tem de compreender como interdomínios autenticações são processadas no Windows 2000 e Windows Server 2003.

Quando necessita de um domínio Windows 2000 ou Windows Server 2003 para autenticar um utilizador (ou, caso contrário verifique se um pedido de autenticação) a um recurso que não residam no seu próprio domínio, fá-lo de forma análoga a consultas de DNS. Windows 2000 e Windows Server 2003 primeiro de determinar se o recurso está localizado no domínio em que o pedido está a ser efectuado. Se o recurso não está localizado no domínio local, o controlador de domínio (especificamente, a chave do serviço de distribuição [KDC] no controlador de domínio) passará o cliente de uma referência para um controlador de domínio no domínio seguinte na hierarquia (para cima ou para baixo, conforme o caso). O seguinte controlador de domínio continua com esta verificação de "recurso local" até é atingido o domínio onde reside o recurso. (Este processo de referência é explicado detalhadamente no capítulo 8.)

Enquanto esta "andar da árvore de domínio" funciona perfeitamente, esse virtual percorrendo para cima na hierarquia de domínio demora tempo e tempo de tomada de impactos consultar o desempenho de resposta. Para colocar este em termos que talvez são mais facilmente compreensíveis, considere a crise seguinte:

Estiver num aeroporto cujo formulário duas asas terminal um Terminal de V. A habita do lado esquerdo da V, e Terminal B habita à direita. As portas são numeradas sequencialmente, de tal forma que os do Terminal A e Terminal B 1s porta está perto da base de V (onde os dois terminais são ligados) e ambos os menores de 15 anos porta correm ao fim da opção V. Todas as portas de ligam ao interior do V. Tiver de ser hurried para o voo de captura e chegar ao Terminal A porta 15 (no extremo final da opção V) apenas para se aperceber de que o voo está efectivamente a deixar de b Terminal. Cuidado a janela e pode ver o avião a 15 de porta do Terminal B, mas para poder aceder a essa porta deve dar a conhecer (OK, executar) novamente todos os a forma uma cópia de segurança A Terminal para a base de V e, em seguida, jog (por agora, está tired) totalmente para baixo B de Terminal para obter a sua porta 15 – apenas no tempo de assistir o voo deixar sem TI. Como se encontram na área de espera, biding o tempo durante duas horas até que o voo seguinte se torne disponível e precursores através de Terminal A partir do qual pensava o voo foi partida, o V obtiver uma excelente ideia: criar uma bridge de céu entre as extremidades dos terminais para que os passageiros, tais como o próprio utilizador podem obter rapidamente entre os terminais A porta 15 Terminal B porta 15. Isto faz sentido? Faz sentido apenas se existir muito tráfego enviado entre menores de 15 anos porta dos terminais.

Do mesmo modo, as fidedignidades de ligação cruzada podem servir como uma bridge de autenticação entre domínios que são logicamente distantes entre si numa floresta ou árvore de hierarquia e têm uma quantidade significativa de tráfego de autenticação. O que ascende a muito tráfego de autenticação? Considere os dois ramos de uma árvore de domínio do Windows 2000 ou Windows Server 2003. O primeiro ramo é constituído por domínios A, B, C e D. A é o principal de B, B é o ascendente de C, e C é o ascendente de D. O ramo segundo é constituído por domínios A, M, N e P. A é o principal de M, M é o principal de N, e N é o ascendente do P. Que é um pouco formulações, por isso, verifique se a figura 3 e 4 para uma representação ilustrada desta estrutura.

 Imagem de uma hierarquia de domínio de exemplo
Figura 3 e 4. Uma hierarquia de domínio de exemplo

Agora imagine que tem os utilizadores no domínio D que utilizam regularmente o recursos que, por qualquer motivo, residam no domínio, P. Quando um utilizador num domínio D pretende utilizar recursos no domínio P, Windows 2000 e Windows Server 2003 resolver o pedido, caminhando a um caminho de referência que climbs novamente para a raiz da árvore (domínio A neste caso) e, em seguida, passar novamente pelo ramo da árvore de domínio adequado, até chegarem domínio P. Se estes autenticações estiverem em curso, esta abordagem cria uma quantidade significativa de tráfego. Uma abordagem melhor será criar uma ligação cruzada de fidedignidade entre domínios, D e P, que permite autenticações entre os domínios para ocorrer sem ter de atravessar a árvore de domínio novamente para a raiz (ou o domínio de base a que as sucursais de árvore dividir). O resultado é um melhor desempenho em termos de autenticação.
Referências
As informações neste artigo são um excerto do livro de Serviços do Active Directory para referência técnica do Microsoft Windows 2000 , publicado pela Microsoft Press.

 Imagem dos serviços do Active Directory para o Microsoft Windows 2000 técnico referência livro

Obtenha mais informações sobre Serviços do Active Directory para referência técnica do Microsoft Windows 2000

Para mais informações sobre esta publicação e outros títulos da Microsoft Press, consulte http://mspress.microsoft.com.
kbmspressexcerpt inf kbgraphxlinkcritical

Aviso: Este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 310996 - Última Revisão: 06/21/2015 04:22:00 - Revisão: 6.0

Microsoft Windows Server 2003 Standard Edition, Microsoft Windows 2000 Professional Edition, Microsoft Windows Small Business Server 2003 Premium Edition, Microsoft Windows Small Business Server 2003 Standard Edition

  • kbinfo kbmt KB310996 KbMtpt
Comentários