Toàn cầu danh mục máy chủ yêu cầu cho người dùng và đăng nhập máy tính

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:216970
Bài viết này đã được lưu trữ. Bài viết được cung cấp "nguyên trạng" và sẽ không còn được cập nhật nữa.
TÓM TẮT
Là một phần của quá trình đăng nhập, một mã thông báo bảo mật được xây dựng bởi các địa phương Security Authority (LSA) có chứa định danh bảo mật (SIDs) của các nhóm đó người sử dụng là một thành viên (đối với cả hai tên miền và địa phương máy tính) và được sử dụng để xác định người sử dụng và cho phép việc sử dụng các nguồn lực địa phương và từ xa khi máy sử dụng cố gắng để đạt được quyền truy cập vào chúng.

Windows 2000 bao gồm một loại mới của nhóm, nhóm phổ quát, trong đó được sử dụng trong Windows 2000 để cấp quyền truy cập vào tài nguyên trên khắp các doanh nghiệp. Một nhóm chung có thể được tạo ra chỉ trong một tên miền bản địa chế độ và có thể chứa các tài khoản người dùng, toàn cầu các nhóm và các nhóm phổ quát từ bất kỳ tên miền trong rừng.

Bởi vì phổ quát các nhóm có thể được tạo ra trong một tên miền và chứa tài khoản người dùng hoặc nhóm từ vùng khác, khi một người sử dụng mã thông báo đang được xây dựng, các nhóm phổ quát trong đó có một người sử dụng là một thành viên phải được liệt kê và thêm vào mã thông báo.
THÔNG TIN THÊM
Thay vì của liên lạc với mỗi tên miền trong rừng để liệt kê các nhóm phổ quát từ mỗi, danh sách thành viên của mỗi nhóm phổ quát nhân rộng đến các máy chủ toàn cầu Catalog (GC), làm cho nó dễ dàng hơn cho một bộ điều khiển vùng để truy vấn một địa điểm cho tất cả các nhóm phổ quát mà người dùng là thành viên.

Trong một tên miền bản địa chế độ, trung tâm phân phối khóa (KDC) trên bộ điều khiển tên miền chứng thực yêu cầu đăng nhập của người dùng là chịu trách nhiệm cho việc thêm SIDs cho toàn cầu các nhóm từ vùng của người dùng đăng nhập, xác định vị trí và giao tiếp với các GC để liệt kê universal các nhóm người dùng là thành viên của, và thêm SIDs các nhóm để mã thông báo của người dùng. Nếu tên miền máy tính sống tại đang ở chế độ bản xứ, bất kỳ tên miền địa phương nhóm từ tên miền đó trong đó người sử dụng là một thành viên được thêm vào mã thông báo. Cuối cùng, bất cứ các nhóm địa phương từ máy tính địa phương trong đó người sử dụng là một thành viên được thêm vào mã thông báo.

Bộ điều khiển tên miền đầu tiên được cài đặt cho một khu rừng cho trước tự động chọn một máy chủ GC. Các máy chủ GC tái tạo một bản sao của tất cả các đối tượng từ mỗi tên miền trong rừng, nhưng chỉ có một tập hợp con của từng đối tượng thuộc tính. Các thuộc tính được nhân rộng là những người sẽ là dùng trong phổ biến nhất truy vấn. Ngoài điều khiển vùng đầu tiên của rừng, nó là một hành động hành chính để làm cho các bộ điều khiển tên miền trong các máy chủ GC rừng.

Các máy chủ GC có thể là bộ kiểm soát miền từ bất kỳ tên miền. Khi xác thực xảy ra, bộ điều khiển tên miền đó chứng thực của người dùng đăng nhập yêu cầu cần phải xác định vị trí một GC để xây dựng các nhóm phổ quát mà người dùng đó thuộc. Trong trường hợp đó có là chỉ có một tên miền trong rừng, tất cả các bộ điều khiển vùng chứa cùng một dữ liệu, do đó, không cần xác định vị trí một GC (mặc dù bất kỳ máy chủ nhất định có thể được chỉ định một GC). Nếu điều khiển vùng xử lý yêu cầu đăng nhập người dùng cũng là một GC, không có không cần phải từ xa yêu cầu để một GC. Không có không có yêu cầu rằng các GC được chọn để phục vụ yêu cầu là một thành viên của tên miền mà điều khiển vùng authenticating thuộc.

Nếu một máy chủ GC không thể được định vị bằng bộ điều khiển tên miền trong quá trình này:
  • Nếu các tài khoản được sử dụng là tài khoản Administrator built-in (RID 0x1F4 hoặc 500 thập phân), Windows 2000 cho phép đăng nhập diễn ra mà không có điều khiển vùng đang liên hệ với một GC.
  • Nếu thông tin đăng nhập được lưu trữ địa phương cho người dùng trên máy tính địa phương, người dùng được đăng nhập vào với những thông tin đăng nhập. Truy nhập tài nguyên mạng phải được xác nhận trên cơ sở cá nhân. Nếu khách hàng sử dụng Kerberos để sử dụng một máy chủ tài nguyên, KDC phải được liên lạc để có được một vé cho máy chủ, hoặc nếu NTLM được sử dụng, pass-through xác thực là bắt buộc.
  • Nếu thông tin đăng nhập được lưu trữ không tồn tại, người dùng sẽ bị từ chối đăng nhập.
Đối với những lý do này, điều quan trọng là cần lưu ý rằng một người dùng nhận được đăng nhập với thông tin đăng nhập được lưu trữ hoặc bị từ chối đăng nhập sẽ là kết quả của điều khiển vùng không thể tìm thấy bất kỳ GC. Bởi vì tất cả toàn cầu catalog chứa thông tin tương tự (ngoại nhân rộng độ trễ), bất kỳ GC có thể được sử dụng. Nếu một GC địa phương sẽ xảy ra để được ngoại tuyến, một từ xa GC có thể và sẽ được sử dụng. Băng thông hiệu quả và hiệu suất lý do, nó có thể mang lại lợi ích để lưu trữ một GC địa phương tại mỗi trang web. Khách hàng và bộ kiểm soát miền thích giao tiếp với một GC trong các trang web địa phương trước khi sử dụng một GC từ xa trong một trang web khác.

Quá trình này diễn ra lúc đăng nhập mỗi và là phù hợp với hành vi xuống cấp; Nếu người dùng thêm vào hoặc gỡ bỏ từ một nhóm, sự thay đổi không được phản ánh cho đến khi người sử dụng các bản ghi và trở lại trên.

Trong một chế độ hỗn hợp tên miền, phổ quát nhóm không thể được tạo ra. Nếu một máy tính dựa trên Windows 2000 nằm ở một xuống cấp hoặc chế độ hỗn hợp miền, hành vi khác nhau xảy ra. Các tên miền khác có thể trong chế độ bản địa và các nhóm chung có thể đã được tạo ra có chứa người sử dụng như một thành viên. Bộ điều khiển tên miền chứng thực yêu cầu đăng nhập sẽ thêm SIDs lực lượng toàn cầu trong đó người dùng là thành viên để mã thông báo của người dùng và máy tính địa phương cho biết thêm SIDs cho nhóm đó người dùng là thành viên trên máy tính địa phương như là thích hợp. Khi cố gắng sử dụng tài nguyên ở vùng khác xảy ra, máy tính lưu trữ các nguồn tài nguyên liên hệ điều khiển vùng cho tên miền đó, có thêm SIDs các nhóm địa phương để tên miền đó (có thể bao gồm các nhóm phổ quát) trong đó có người dùng là thành viên để mã thông báo của người dùng.

Khách hàng xuống cấp có cũng tùy thuộc vào hành vi này. Lưu ý rằng các máy tính là hiệu trưởng an ninh và có thể bị ảnh hưởng trong cùng một cách. Liệt kê một lực lượng mà máy tính thuộc cũng được thực hiện khi khởi động máy tính.

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 216970 - Xem lại Lần cuối: 12/05/2015 12:53:37 - Bản sửa đổi: 2.0

Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition

  • kbnosurvey kbarchive kbenv kbinfo kbnetwork kbmt KB216970 KbMtvi
Phản hồi