Globaler Katalog

1. Der globale Katalog enthält die Informationen, die

erforderlich sind, um den Speicherort eines beliebigen
Objekts in Active Directory zu bestimmen. Der globale
Katalog ermöglicht einem Benutzer die Anmeldung am
Netzwerk durch Angeben von Informationen zur
Mitgliedschaft in universellen Gruppen und
UPN-Domänenzuordnungsinformationen zu einem
Domänencontroller.
2. Außerdem ermöglicht der globale Katalogserver einem
Benutzer das Suchen von Active Directory-Informationen
in der ganzen Gesamtstruktur, und zwar unabhängig vom
Speicherort der Informationen.

 Globaler Katalog und Anmeldevorgang

Wenn Sie sich an einer Domäne im einheitlichen Modus

anmelden, stellt der globale Katalogserver dem
Domänencontroller, der die Benutzeranmelde-
informationen verarbeitet, Informationen zur Mitgliedschaft in
universellen Gruppen für Ihr Konto zur Verfügung und
authentifiziert den UPN.
Globaler Katalog und Mitgliedschaft in universellen
Gruppen
Wenn sich ein Benutzer an einer Domäne im einheitlichen
Modus anmeldet, stellt der globale Katalogserver dem
Domänencontroller, der die Benutzeranmeldeinformationen
verarbeitet, Informationen zur Mitgliedschaft in universellen
Gruppen für das Konto zur Verfügung.

Windows 2000 verwendet zwischengespeicherte

Anmeldeinformationen, um den Benutzer anzumelden,
wenn kein globaler Katalogserver verfügbar ist und der Benutzer
sich zuvor an der Domäne angemeldet hat. Wenn sich der
Benutzer nicht zuvor an der Domäne angemeldet hat, kann sich
der Benutzer nur an der lokalen Domäne anmelden.

Während des Anmeldevorgangs wird dem Benutzer ein

Zugriffstoken zugeordnet, das die Gruppen enthält, zu denen
der Benutzer gehört. Weil die Mitgliedschaft in universellen
Gruppen zentral im globalen Katalog gespeichert
wird, werden globale Katalogserver zum Identifizieren der
universellen Gruppen verwendet, in denen der Benutzer Mitglied
ist.

Globaler Katalog und Authentifizierung

Ein globaler Katalogserver ist auch erforderlich, wenn sich ein
Benutzer mit
einem UPN anmeldet und der authentifizierende
Domänencontroller keine
direkte Kenntnis des Kontos besitzt.

Suzan Fines Konto befindet sich z. B. in contoso.msft. Sie

verwendet einen Computer, der sich in der
Domäne sales.contoso.msft befindet. Sie meldet sich
als suzanf@contoso.msft an.

Wenn der Domänencontroller in

sales.contoso.msft nicht in der Lage ist, das Benutzerkonto für
Suzan Fine zu authentifizieren, muss er Verbindung zu einem
globalen Katalogserver aufnehmen, um den Anmeldevorgang
abzuschließen.

In einem Netzwerk mit einer einzelnen Domäne ist kein globaler

Katalogserver für den Anmeldevorgang erforderlich, weil jeder
Domänencontroller die Informationen enthält, die zum
Authentifizieren eines Benutzers erforderlich sind.

Anmerkung Wenn der Benutzer Mitglied der

Gruppe Domänen-Admins ist,
kann sich der Benutzer selbst dann am Netzwerk anmelden,
 wenn der globale
Katalogserver nicht verfügbar ist.

Erstellen eines globalen Katalogservers

 

Der erste Domänencontroller in einer Gesamtstruktur wird

automatisch als
globaler Katalogserver festgelegt. Sie können einen beliebigen
Domänen-
controller als globalen Katalogserver autorisieren; ein globaler
Katalogserver
ist normalerweise jedoch für jeden Standort sinnvoll.

Zum Deaktivieren oder Aktivieren eines globalen Katalogservers

führen Sie die
folgenden Schritte durch:

1. Erweitern Sie in Active Directory-Standorte und -Dienste in

der Konso-
lenstruktur den Domänencontroller, der den globalen Katalog
ausführt oder
ausführen wird.

2. Klicken Sie mit der rechten Maustaste auf NTDS Settings,

und klicken Sie
dann auf Eigenschaften.

3. Aktivieren oder deaktivieren Sie das

Kontrollkästchen Globaler Katalog.