使用者和電腦的登入的通用類別目錄伺服器需求

重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。

按一下這裡查看此文章的英文版本:216970
本文已封存。本文係以「現狀」提供且不會再更新。
結論
做為登入程序的一部分,安全性語彙基元被建構由包含安全性識別元 (SID) 群組的使用者是 (針對網域和本機電腦) 成員,並且用來識別使用者並授權本機和遠端資源的使用,用戶端嘗試存取它們時的 [本機安全性授權 (LSA)。

Windows 2000 包含新型的群組,將整個企業資源的權限授與 Windows 2000 中使用萬用群組。萬用群組可以建立只在原生模式網域中,而且可以包含使用者帳戶、 通用群組和來自樹系中任何網域的萬用群組。

因為萬用群組可以在一個網域中建立,並且包含使用者帳戶或從另一個網域的群組建構使用者的權杖時,將其中一個使用者為其成員的萬用群組必須是列舉,並加入語彙基元。
其他相關資訊
代替通訊列舉萬用群組從每一個樹系中每個網域的每個通用群組成員清單會複寫到通用類別目錄 (GC) 伺服器讓網域控制站來查詢所有的使用者為其成員的萬用群組的一個位置更容易。

原生模式網域中驗證使用者的登入要求的網域控制站上 [金鑰發行中心 (KDC) 會負責新增來自使用者的登入網域的通用群組的 SID 找出並進行通訊列舉 GC 將萬用群組使用者成員,並將這些群組的 SID 加入至使用者的權杖。如果電腦位於的網域為原生模式,會從該網域使用者所隸屬的其中任何網域本機群組加入語彙基元。最後,從本機電腦使用者所隸屬的其中任何本機群組加入語彙基元。

第一個已安裝指定的樹系的網域控制站會自動選取為 GC 伺服器。GC 伺服器會複寫所有物件的複本從該樹系中每個網域,但只包含每個物件屬性的子集。會被複寫的屬性是指將會是最常見的查詢中所使用。第一個網域控制站的樹系,超出它是若要讓其他網域控制站在樹系 GC 伺服器的系統管理動作。

GC 伺服器可以是來自任何網域的網域控制站。驗證時驗證使用者的登入要求的網域控制站必須找到一個 GC 以建構該使用者所屬的萬用群組。樹系中沒有只有一個網域,所有網域控制站會都包含相同的資料,所以找不到一個 GC (即使任何給定的伺服器可能會被指定為 GC) 不需要。 如果處理使用者登入要求的網域控制站也是 GC,沒有必要至遠端要求以另一個 GC。沒有需求來服務要求是驗證的網域控制站所屬的網域的成員選取的 GC。

如果無法被網域控制站在此處理程序期間找到 GC 伺服器:
  • 如果用的帳戶是內建的系統管理員帳戶 (RID 0x1F4 或十進位 500),Windows 2000 允許登入而連絡 GC 的網域控制站不會發生。
  • 如果快取的認證存在本機電腦上使用者,使用者是以這些憑證的登入。網路資源的存取都必須個別進行驗證。如果用戶端使用 Kerberos 來使用伺服器的資源,KDC 必須連絡以取得票證之伺服器如果使用 NTLM,則傳遞驗證需要或者。
  • 如果快取的認證並不存在,使用者已被拒絕登入。
基於這些原因務必要注意的快取的認證以取得使用者的登入,或者被拒絕登入就是無法找到任何 GC 的網域控制站的結果。因為所有通用類別目錄包含相同的資訊 (與複寫延遲例外狀況),可以使用任何 GC。如果本機 GC 剛好是離線,遠端 GC 可以將會使用。對於效能方面的原因和頻寬效率,可能會很有幫助架設在每個站台本機 GC。用戶端和網域控制站比較喜歡在另一個網站中使用遠端 GC 之前與在本機站台的 GC 通訊。

這個處理程序發生在每次登入時,而是與下層的行為 ; 一致,如果新增或從群組移除使用者,變更會不會反映直到使用者記錄檔關閉和回上。

[混合模式網域中無法建立萬用群組。如果 Windows 2000 架構的電腦位於下層的或混合模式網域,就會發生不同的行為。其他網域可能是在原生模式中,萬用群組可能已建立包含做為成員使用者。 網域控制站驗證登入要求將會加入通用群組的使用者是以使用者的權杖成員],並本機電腦的所屬群組的使用者適當地在本機電腦上的成員新增 SID SID。嘗試使用另一個網域中的資源時裝載該資源的電腦會為該網域 (其中可能包括萬用群組) 的使用者是以使用者的權杖成員該網域中新增本機群組的 SID 連絡網域控制站。

下層用戶端也會受到這個問題。請注意電腦安全性原則而以相同的方式可能會受到影響。電腦所屬的群組列舉型別也會在電腦啟動時執行。

警告:本文為自動翻譯

內容

文章識別碼:216970 - 最後檢閱時間:12/05/2015 12:53:38 - 修訂: 3.2

Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows 2000 Datacenter Server

  • kbnosurvey kbarchive kbmt kbenv kbinfo kbnetwork KB216970 KbMtzh
意見反應