2024年4月22日发(作者:)
了解全局编录
更新时间: 2008年12月
应用到: Windows Server 2008, Windows Server 2008 R2
全局编录是 Active Directory 域服务 (AD DS) 林中所有对象的集合。全局编录服务器
是一个域控制器,它存储林中主持域的目录中所有对象的完全副本,以及所有其他域中所有
对象的部分只读副本。全局编录服务器响应全局编录查询。
复制到全局编录的属性
组成全局编录的对象的部分、只读副本被称为“部分”,因为它们包括一组有限的属性,即
架构所必需的属性以及在用户搜索操作中最常用到的属性。将标记这些属性以作为架构定义
的一部分包含在部分属性集 (PAS) 中。存储全局编录中所有域对象的最常搜索的属性,使
得用户的搜索更有效,同时不因为不必要的域控制器引用而影响网络性能,并且全局编录服
务器无需存储大量不需要的数据。
全局编录功能
当您安装 AD DS 时,会在林中的第一个域控制器上自动创建新林的全局编录。可以将全局
编录功能添加到其他域控制器。也可以从域控制器删除该全局编录。
全局编录服务器:
查找对象。
全局编录使用户能够在林中的所有域上搜索目录信息,无论数据存储在什么位置。
将以最大的速度和最低的网络流量在林中执行搜索。
当某个用户从“开始”菜单搜索个人或打印机,或在查询中选择“整个目录”选项
时,该用户会搜索全局编录。用户输入搜索请求之后,请求会被路由到默认全局编
录端口 3268,并被发送到全局编录服务器进行解析。
提供用户主体名称身份验证。
当验证域控制器无法识别用户帐户时,全局编录服务器会解析用户主体名称 (UPN)。
例如,如果用户的帐户位于 中并且用户使用
luis@ 的 UPN 从一台位于
中的计算机上登录,则在 中的域控制器将无法查找该用
户的帐户,它必须与全局编录服务器联系才能完成登录过程。
验证林中的对象引用。
域控制器使用全局编录验证对林中其他域的对象的引用。当域控制器保留其属性包
含对其他域中对象引用的目录对象时,域控制器将通过与全局编录服务器联系来验
证引用。
提供多域环境中的通用组成员身份信息。
域控制器可以始终发现其域中任何用户的域本地组和全局组成员身份,并且这些组
的成员身份不被复制到全局编录。在单域林中,域控制器也可以始终发现通用组成
员身份。但通用组可以具有不同域中的成员。因此将通用组的 member 属性(包含
组中成员的列表)复制到全局编录。在多域林中的用户登录到允许通用组的域时,
域控制器必须与全局编录服务器联系,以检索用户可能在其他域中具有的任何通用
组成员身份。
如果在用户登录到通用组可用的域时全局编录服务器不可用,用户的客户端计算机
可以使用缓存凭据登录(如果用户以前曾登录到该域)。如果用户以前未曾登录到
该域,则用户只能登录到本地计算机。
注意
域中的管理员(Builtin Administrator 帐户)始终可以登录到域,即使全局编录服务
器不可用也是如此。
通用组成员身份缓存
在没有全局编录服务器的站点中运行 Windows Server 2003、Windows Server 2008 或
Windows Server 2008 R2 的域控制器上,可以使用通用组成员身份缓存来降低联系不同
站点中全局编录服务器的需要。已启用此功能时,当用户第一次登录到通用组可用的域时,
用户的通用组成员身份信息将被缓存到域控制器上。此后,域控制器使用缓存成员身份处理
登录,而不必与全局编录服务器联系。
发布者:admin,转转请注明出处:http://www.yc00.com/web/1713743103a2309681.html
评论列表(0条)