Exportar (0) Imprimir
Expandir todo
Personas que lo han encontrado útil: 2 de 2 - Valorar este tema

Replicación del catálogo global

Actualizado: enero de 2005

Se aplica a: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2

Replicación del catálogo global

La replicación del catálogo global asegura que los usuarios de todo el bosque disponen de un acceso rápido a la información de cada objeto del mismo. Los atributos predeterminados que configuran el catálogo global proporcionan una línea de base de los atributos de búsqueda más utilizados. Estos atributos se replican en el catálogo global como parte de la replicación normal de Active Directory.

La topología de replicación del catálogo global la genera automáticamente el Comprobador de coherencia de réplica (KCC). Sin embargo, el catálogo global sólo se replica en otros controladores de dominio designados como catálogos globales. La duplicación del catálogo global se ve afectada por los atributos marcados para su inclusión en el catálogo global, y por las pertenencias al grupo universal.

Agregar atributos

Active Directory define un conjunto básico de atributos para cada objeto del directorio. Cada objeto y algunos de sus atributos (como la pertenencia a grupos universales) se almacenan en el catálogo global. Con el complemento Esquema de Active Directory, se pueden especificar los atributos adicionales que se desea mantener en el catálogo global.

En bosques de Windows 2000, ampliar el atributo parcial al catálogo global produce una sincronización total de todos los datos de dominio en todos los dominios del bosque. En un bosque grande con múltiples dominios, esta sincronización puede ocasionar un tráfico considerable en la red. Entre controladores de dominio habilitados como catálogos globales que utilizan Windows Server 2003, sólo se replican los atributos recién agregados. Para obtener más información acerca de cómo agregar atributos a los catálogos globales, vea Personalizar el catálogo global.

Evitar el acceso impredecible a los datos del catálogo global

Debe tenerse una especial consideración al especificar los permisos de los datos del dominio que también se replican en el catálogo global. Cuando un usuario se conecta a un catálogo global, se crea un símbolo de representación para ese usuario, y se utiliza en las siguiente decisiones de control de acceso al catálogo global. La pertenencia del usuario a dominios de grupos universales, globales y locales aparece incluida en esta representación. Sin embargo, sólo los grupos de dominio locales pertenecientes al dominio de controlador que alberga el catálogo global al que se ha conectado el usuario y del que es miembro aparecen en la representación del usuario. Los grupos de dominio locales del dominio del usuario, y de otros dominios de los que el usuario es miembro, no aparecen en el testigo de acceso.

Un catálogo global almacena una copia replicada de sólo lectura de todos los objetos del bosque, y un conjunto parcial de los atributos de cada objeto, incluido su propio descriptor de seguridad. El descriptor de seguridad contiene una lista de control de acceso discrecional (DACL), que especifica los permisos para el objeto. Cuando un usuario se conecta a un catálogo global e intenta tener acceso a un objeto, se lleva a cabo una comprobación de acceso basada en el identificador del usuario y la lista de control de acceso discrecional del objeto. Todos los permisos especificados en la DACL del objeto para grupos de dominio locales que no son del dominio del controlador que alberga el catálogo global, al que se conectó el usuario, no tendrán efecto, ya que sólo los grupos de dominio locales del dominio del catálogo global al que pertenece el usuario aparecen en el testigo de acceso del usuario. Como resultado, se puede denegar el acceso de un usuario cuando debería haberse concedido, y viceversa.

Se recomienda que evite la utilización de grupos locales a la hora de asignar permisos a los objetos de Active Directory, o en cualquier caso tenga en cuenta las implicaciones de su uso. Para evitar el acceso no autorizado a los datos del catálogo global, utilice grupos globales o universales en su lugar. Para obtener más información acerca de los grupos globales y universales, vea Ámbito de grupo.

Cómo afectan los grupos universales a la replicación de catálogos globales

Los grupos que tienen un ámbito universal y sus miembros están incluidos exclusivamente en el catálogo global. Los grupos de ámbito global o local de dominio también se incluyen en el catálogo global, pero no se incluyen sus miembros. Esto reduce el tamaño del catálogo global y el tráfico de replicación asociado para mantener actualizado el catálogo global. Puede mejorar el rendimiento de la red si utiliza grupos de ámbito global o local de dominio para los objetos del directorio que cambian con frecuencia.

La primera vez que cree un grupo universal, hágalo a partir de cualquier dominio configurado en el nivel funcional de dominio de Windows 2000 o un nivel superior. El grupo universal reside en la partición de directorio de dominio en que se creó y también se replica en el catálogo global. Las actualizaciones de la pertenencia a grupos se replican a partir de entonces tanto en el dominio como en el catálogo global.

Para obtener más información acerca de los niveles funcionales de dominios, vea Funcionalidad de dominios y bosques.

¿Te ha resultado útil?
(Caracteres restantes: 1500)
Gracias por sus comentarios

Adiciones de comunidad

AGREGAR
Mostrar:
© 2014 Microsoft. Reservados todos los derechos.