Så här fungerar den globala katalogen

De partiella skrivskyddade kopiorna av objekt som utgör den globala katalogen beskrivs som partiella därför att de innehåller en begränsad uppsättning attribut som krävs av schemat samt attribut som används oftast i användarsökningar. Attributen har markerats för inkludering i PAS (partial attribute set) som en del schemadefinitionerna. Lagring av de mest vanliga sökattributen för alla domänobjekt i den globala katalogen gör sökningar mer effektiva för användarna utan att de försämrar nätverksprestanda med onödiga referenser till domänkontrollanter och utan att de kräver en global katalogserver för att lagra en stor mängd data som inte behövs.

När du installerar AD DS skapas den globala katalogen för en ny skog automatiskt för den första domänkontrollanten i skogen. Du kan lägga till funktioner för globala kataloger till ytterligare domänkontrollanter. Du kan också ta bort den globala katalogen från en domänkontrollant.

En global katalogserver gör följande:

• Söker objekt.
  
  Med den globala katalogen kan användare söka efter kataloginformation i alla domäner i en skog, oavsett var informationen finns. Sökningar i en skog görs med högsta hastighet och med minimal nätverkstrafik.
  
  När en användare söker efter användare eller skrivare från Start-menyn eller väljer alternativet Hela katalogen görs sökningen i den globala katalogen. När användaren gör en sökbegäran, dirigeras begäran till standardporten 3268 för den globala katalogen och skickas till en global katalogserver för upplösning.
  
  
• Skickar med UPN-autentisering (user principal name).
  
  En global katalogserver löser upp UPN (user principal name) när domänkontrollanten som ska utföra autentiseringen inte känner till användarkontot. Om exempelvis en användares konto finns i sales1.cohovineyard.com och användaren loggar in med UPN luis@sales1.cohovineyard.com från en dator som är placerad i sales2.cohovineyard.com, kommer domänkontrollanten i sales2.cohovineyard.com inte att hitta användarkontot och måste kontakta en global katalogserver för att kunna genomföra inloggningen.
  
  
• Värderar objektreferenser inom en skog.
  
  Domänkontrollanter använder globala kataloger vid värdering av referenser till objekt i andra domäner i skogen. När en domänkontrollant innehåller ett katalogobjekt med ett attribut som innehåller en referens till ett objekt i en annan domän, värderar domänkontrollanten referensen genom att kontakta en global katalogserver.
  
  
• Skickar information om medlemskap i universell grupp i en miljö med flera domäner.
  
  En domänkontrollant kan alltid upptäcka medlemskap i lokala och globala grupper i en domän för alla användare i domänen och medlemskap i dessa grupper replikeras inte till den globala katalogen. I en skog med en domän kan en domänkontrollant alltid upptäcka universella gruppmedlemskap. Universella grupper kan ha medlemmar i olika domäner. Av den anledningen replikeras attributet medlem för universella grupper, som innehåller listan över medlemmarna i gruppen, till den globala katalogen. När en användare i en skog med flera domäner loggar in i en domän där universella grupper tillåts, måste domänkontrollanten kontakta en global katalogserver för att nå alla universella gruppmedlemskap som användaren kan ha i andra domäner.
  
  Om en global katalogserver inte finns tillgänglig när en användare loggar in i en domän som har universella grupper, kan klientdatorn använda cachade autentiseringsuppgifter för att logga in, om användaren tidigare har loggat in i domänen. Om användaren inte har loggat in tidigare, kan användaren endast logga in på den lokala datorn.
  
  

  	OBS
  	Domänadministratören (det inbyggda administratörskontot) kan alltid logga in i domänen, även när en global katalogserver inte finns tillgänglig.

För domänkontrollanter som kör Windows Server 2003 eller Windows Server 2008 eller Windows Server 2008 R2 på en plats som inte har en global katalogserver, kan du använda cachelagring av universellt gruppmedlemskap för att minska behovet av kontakt med en global katalogserver på en annan plats. När den här funktionen är aktiverad kommer informationen om användarens universella gruppmedlemskap att cachas i domänkontrollanten första gången användaren loggar in i domänen. Därefter kommer domänkontrollanten att använda cachade medlemskap vid bearbetning av inloggningar i stället för att kontakta den globala katalogservern.