Globální katalog je sada všech objektů v doménové struktuře služby AD DS (Active Directory Domain Services). Server globálního katalogu je řadič domény, který ukládá úplné kopie všech objektů v adresáři hostitelské domény a částečné kopie, které jsou jen pro čtení, všech objektů v ostatních doménách v doménové struktuře. Servery globálního katalogu odpovídají na dotazy na globální katalog.
Atributy replikované do globálního katalogu
Částečné kopie (jen pro čtení) objektů, které tvoří globální katalog, jsou označovány jako „částečné“, protože obsahují limitovanou sadu atributů - atributů, které jsou vyžadovány schématem, a atributů, které se nejčastěji používají v operacích hledání. Tyto atributy jsou označeny k zahrnutí do neúplné sady atributů jako součást definic jejich schématu. Díky ukládání nejčastěji hledaných atributů všech objektů v doméně v globálním katalogu je hledání pro uživatele mnohem účinnější a není ovlivněn výkon sítě, protože jsou vyloučeny nepotřebné odkazy na řadiče domény a není nutné, aby server globálního katalogu ukládal velká množství nepotřebných dat.
Funkce globálního katalogu
Když instalujete službu AD DS, vytvoří se globální katalog pro novou doménovou strukturu automaticky na prvním řadiči domény v doménové struktuře. Funkci globálního katalogu můžete přidat k dalším řadičům domény. Také je možné globální katalog z řadiče domény odebrat.
Server globálního katalogu:
-
Vyhledá objekty.
Globální katalog umožňuje uživatelům vyhledávat adresářové informace ve všech doménách v doménové struktuře bez ohledu na to, kde jsou data uložena. Vyhledávání v rámci doménové struktury je prováděno s maximální rychlostí a minimálním zatížením sítě.
Když uživatel hledá osoby nebo tiskárny z nabídky Start nebo vybere v dotazu možnost Celý adresář, hledá v globálním katalogu. Po zadání požadavku na hledání uživatelem je tento požadavek směrován na výchozí port globálního katalogu 3268 a odeslán na server globálního katalogu za účelem vyřešení.
-
Ověřování zaregistrovaného hlavního uživatelského jména
Server globálního katalogu překládá hlavní uživatelské jméno (UPN), když ověřovací řadič domény nezná účet uživatele. Pokud je například účet uživatele umístěn na serveru sales1.cohovineyard.com a uživatel se přihlásí s hlavním uživatelským jménem luis@sales1.cohovineyard.com z počítače, který je umístěný na serveru sales2.cohovineyard.com, řadič domény na serveru sales2.cohovineyard.com nemůže účet tohoto uživatele najít a musí kontaktovat server globálního katalogu, aby bylo možné dokončit proces přihlášení.
-
Ověřování odkazů na objekty v rámci doménové struktury
Řadiče domény používají globální katalog k ověřování referencí na objekty jiných domén v doménové struktuře. Pokud má řadič domény objekt adresáře s atributem obsahujícím odkaz na objekt v jiné doméně, ověří řadič domény tuto referenci kontaktováním globálního katalogu.
-
Poskytování informací o členství v univerzální skupině v prostředí s více doménami
Řadič domény může ve své doméně vždy zjistit pro libovolného uživatele členství v místní skupině domény a globální skupině a členství těchto skupin není replikováno do globálního katalogu. V doménové struktuře s jednou doménou může řadič domény vždy zjistit členství v univerzální skupině. Univerzální skupiny však mohou mít členy v různých doménách. Z tohoto důvodu je atribut univerzálních skupin člen, který obsahuje seznam členů ve skupině, replikován do globálního katalogu. Když se uživatel v doménové struktuře s více doménami přihlásí do domény, kde jsou povoleny univerzální skupiny, musí řadič domény kontaktovat server globálního katalogu, aby získal veškerá členství v univerzální skupině, která může uživatel mít v jiných doménách.
Pokud není server globálního katalogu k dispozici, když se uživatel přihlásí do domény, kde jsou k dispozici univerzální skupiny, může klientský počítač uživatele použít k přihlášení pověření uložená v mezipaměti tehdy, když se uživatel již dříve přihlásil do této domény. Pokud se uživatel k doméně dosud nepřihlašoval, může se přihlásit pouze k místnímu počítači.
Poznámka Správce domény (účet Builtin Administrator) se může do domény přihlásit vždy a to i tehdy, když není server globálního katalogu k dispozici.
Ukládání členství v univerzální skupině do mezipaměti
V řadičích domény se systémem Windows Server 2003, Windows Server 2008 nebo Windows Server 2008 R2 v lokalitě bez serveru globálního katalogu můžete použít ukládání členství v univerzální skupině do mezipaměti, čímž se snižuje potřeba kontaktovat server globálního katalogu v jiné lokalitě. Když je povolena takto funkce, uloží se při prvním přihlášení uživatele do domény, kde jsou k dispozici univerzální skupiny, informace o členství uživatele v univerzální skupině do řadiče domény. Potom použije řadič domény členství v mezipaměti ke zpracování přihlášení a nemusí kontaktovat server globálního katalogu.