全局编录的角色
GC相关链接:http://technet.microsoft.com/zh-cn/library/0ab51d48-1791-463b-a3ad-d4e3bbcb5eb6.aspx
全局编录是存储林中所有 Active Directory 对象的副本的域控制器。全局编录存储林中主持域的目录中所有对象的完整副本,以及林中所有其他域中所有对象的部分副本,如下图所示。
全局编录中包含的所有域对象的部分副本是用户搜索操作中最常用的部分。作为其架构定义的一部分,这些属性被标记为包含在全局编录中。在全局编录中存储所有域对象的最常搜索的属性,可以为用户提供高效的搜索,而不会以不必要的域控制器参考影响网络性能。
可以使用“Active Directory 架构”管理单元在全局编录中手动添加或删除其他对象属性。详细信息,请参阅。
在林中的初始域控制器上,会自动创建全局编录。可以向其他域控制器添加全局编录功能,或者将全局编录的默认位置更改到另一个域控制器上。详细信息,请参阅。
全局编录执行如下目录角色:
- 查找对象 全局编录允许用户在林中的所有域中搜索目录信息,而不用考虑数据存储的位置。执行林内的搜索时可获得最大的速度并产生最少的网络通信。 当您从“开始”菜单搜索用户或打印机时,或者在查询中选择了“整个目录”选项时,您就在搜索全局编录。当您输入搜索请求之后,该请求就被路由到默认的全局编录端口 3268,并被发送到某个全局编录进行解析。详细信息,请参阅和 上的“Finding information in Active Directory”(在 Active Directory 中查找信息)。
- 提供用户主体名称身份验证 当执行身份验证的域控制器没有帐户信息时,全局编录将解析用户主体名称 (UPN)。例如,如果用户的帐户位于 example1.microsoft.com 中,而用户决定通过用户主体名称 user1@example1.microsoft.com 从位于 example2.microsoft.com 的计算机登录,则位于 example2.microsoft.com 的域控制器将找不到用户的帐户,因此它将联系全局编录以完成登录过程。详细信息,请参阅 。
- 在多域环境中提供通用组成员身份信息 与全局组成员身份不同(存储在每个域中),通用组成员身份只存储在全局编录中。例如,当属于某个通用组的用户登录设置为 Windows 2000 本机域功能级别或更高级别的域时,全局编录在此用户登录到该域的时候会提供此用户帐户的通用组成员身份信息。 如果在用户登录到设置为 Windows 2000 本机功能级别或更高级别的域时全局编录不可用,则如果用户先前曾登录该域,计算机将使用缓存的凭据使该用户登录。如果用户先前未曾登录到该域,则用户只能 登录本地计算机。但是,如果用户以 Administrator 身份(Builtin Administrator 帐户)登录到该域,用户将始终能登录到该域,即使全局编录不可用,也是如此。 有关通用组的详细信息,请参阅。有关通用组和复制的详细信息,请参阅和。注意
- 当林中只有一个域时,用户不必在登录时从全局编录获取通用组成员身份。这是因为 Active Directory 可以检测到林中没有其他域,并将阻止向全局编录查询此信息。
- 验证林内的对象参考 域控制器使用全局编录验证对林内其他域的对象的参考。当域控制器的某个目录对象的属性包含对另一个域中某个对象的参考时,该参考将由全局编录来验证。