TechNet
Exporteren (0) Afdrukken
Alles uitvouwen

Replicatie van de globale catalogus

Replicatie van de globale catalogus

Door replicatie van de globale catalogus hebben gebruikers in het hele forest snel toegang tot informatie over elk object in dat forest. De standaardkenmerken in de globale catalogus bieden een basisset van de kenmerken die het meest worden gebruikt bij query's. Deze kenmerken worden naar de globale catalogus gerepliceerd als onderdeel van de normale Active Directory-replicatie.

De replicatietopologie voor de globale catalogus wordt automatisch gegenereerd door de KCC (Knowledge Consistency Checker). De globale catalogus wordt echter alleen gerepliceerd naar andere domeincontrollers die eveneens zijn ingesteld als globale catalogussen. De replicatie van de globale catalogus wordt beïnvloed door zowel de kenmerken die zijn gemarkeerd voor opname in de globale catalogus als door universele groepslidmaatschappen.

Kenmerken toevoegen

In Active Directory wordt een basisset kenmerken voor elk object in de directory gedefinieerd. Alle objecten en sommige kenmerken ervan (zoals universeel groepslidmaatschap) worden opgeslagen in de globale catalogus. Met de module Active Directory-schema kunt u extra kenmerken opgeven voor opname in de globale catalogus.

Als u in Windows 2000-forests een nieuw kenmerk toevoegt aan de globale catalogus, leidt dat tot een volledige synchronisatie van alle objectkenmerken die zijn opgeslagen in de globale catalogus (voor alle domeinen in het forest). In een groot forest met meerdere domeinen kan deze synchronisatie leiden tot veel netwerkverkeer. Tussen domeincontrollers die zijn ingeschakeld als globale catalogussen en waarop Windows Server 2003 wordt uitgevoerd, wordt alleen het nieuw toegevoegde kenmerk gerepliceerd. Zie De globale catalogus aanpassen voor meer informatie over het toevoegen van kenmerken aan de globale catalogus.

Onvoorspelbare toegang tot gegevens in de globale catalogus voorkomen

Bij het opgeven van machtigingen voor domeingegevens die tevens worden gerepliceerd naar de globale catalogus, moet u rekening houden met beveiligingsaspecten. Wanneer een gebruiker verbinding maakt met een globale catalogus, wordt een imitatietoken gemaakt voor deze gebruiker. Dit token wordt gebruikt voor het nemen van beslissingen met betrekking tot het verlenen van toegang tot de globale catalogus. In dit token wordt aangegeven van welke universele, globale en domeingebonden groepen de gebruiker lid is. Er worden in het token van de gebruiker echter alleen domeingebonden groepen opgenomen uit het domein waarvan de gebruiker lid is en waartoe de domeincontroller behoort die als host fungeert voor de globale catalogus (waarmee de gebruiker is verbonden). Domeingebonden groepen in het domein waarvan de gebruiker lid is (en in andere domeinen) worden niet opgenomen in het toegangstoken.

Een globale catalogus bevat een gerepliceerde, alleen-lezen-kopie van alle objecten in het forest en een deelverzameling van de kenmerken van elk object, met inbegrip van de security descriptor van elk object. De security descriptor bevat een DACL (Discretionary Access Control List), waarin machtigingen voor het object zijn opgegeven. Wanneer een gebruiker verbinding maakt met een globale catalogus en probeert toegang te krijgen tot een object, wordt een toegangscontrole uitgevoerd op basis van het token van de gebruiker en de DACL van het object. De DACL van het object kan ook machtigingen bevatten voor domeingebonden groepen die geen deel uitmaken van het domein waartoe de domeincontroller behoort die als host fungeert voor de desbetreffende globale catalogus. Deze machtigingen zijn niet van toepassing, omdat alleen domeingebonden groepen uit het domein van de globale catalogus waarvan de gebruiker lid is, worden weergegeven in het toegangstoken van de gebruiker. Het resultaat is dat een gebruiker mogelijk de toegang wordt geweigerd, terwijl deze gebruiker wel toegang had moeten krijgen, of dat de gebruiker wel toegang krijgt terwijl de toegang had moeten worden geweigerd.

Het verdient aanbeveling het gebruik van domeingebonden groepen te vermijden bij het toewijzen van machtigingen voor Active Directory-objecten. Als u toch domeingebonden groepen wilt gebruiken, moet u hierbij zeer zorgvuldig te werk gaan. Gebruik globale of universele groepen om onbevoegde toegang tot gegevens in de globale catalogus te voorkomen. Zie Groepsbereik voor meer informatie over globale en universele groepen.

Invloed van universele groepen op replicatie van globale catalogus

Groepen met universeel bereik en de leden ervan worden opgenomen in de globale catalogus. Groepen met globaal of domeingebonden bereik worden ook opgenomen in de globale catalogus, maar de leden ervan niet. Hierdoor wordt de globale catalogus kleiner en is er veel minder replicatieverkeer nodig om de globale catalogus actueel te houden. U kunt de netwerkprestaties verbeteren door groepen met globaal of domeingebonden bereik te gebruiken voor directoryobjecten die vaak worden gewijzigd.

Wanneer u voor het eerst een universele groep maakt, kunt u dit doen vanuit een domein dat is ingesteld op het domeinfunctionaliteitsniveau Windows 2000 of hoger. De universele groep staat in de mappartitie van het domein waarin de groep is gemaakt. Deze groep wordt ook naar de globale catalogus gerepliceerd. Updates voor het lidmaatschap van de groep worden daarna gerepliceerd naar het domein en de globale catalogus.

Zie Domein- en forest-functionaliteit voor meer informatie over domeinfunctionaliteitsniveaus.

Community-inhoud

Weergeven:
© 2016 Microsoft