Présentation du catalogue global

Les copies partielles en lecture seule des objets qui composent le catalogue global sont décrites comme « partielles » car elles incluent un ensemble limité d’attributs : ceux qui sont requis par le schéma plus ceux qui sont le plus couramment utilisés dans les opérations de recherche d’utilisateur. Ces attributs sont marqués pour inclusion dans le jeu d’attributs partiel dans le cadre de leurs définitions de schéma. Le fait de stocker les attributs les plus souvent recherchés de tous les objets de domaine dans le catalogue global rend les recherches plus performantes pour les utilisateurs sans toutefois affecter les performances réseau avec des références inutiles vers des contrôleurs de domaine et sans exiger qu’un catalogue global ne stocke de grandes quantités de données inutiles.

Lorsque vous installez les services de domaine Active Directory (Active Directory Domain Services), le catalogue global pour une nouvelle forêt est créé automatiquement sur le premier contrôleur de domaine de la forêt. Vous pouvez ajouter la fonctionnalité de catalogue global à des contrôleurs de domaine supplémentaires. Vous pouvez également supprimer le catalogue global d’un contrôleur de domaine.

Un serveur de catalogue global :

• recherche des objets.
  
  Le catalogue global permet aux utilisateurs d’effectuer des recherches d’informations d’annuaire dans tous les domaines d’une forêt, quel que soit l’emplacement de stockage des données. Les recherches dans une forêt sont effectuées avec une rapidité maximale et un trafic réseau minimal.
  
  Lorsqu’un utilisateur recherche des personnes ou des imprimantes à partir du menu Démarrer ou qu’il sélectionne l’option Tout l’annuaire dans une requête, cet utilisateur effectue une recherche dans l’ensemble du catalogue global. Après qu’un utilisateur a entré une demande de recherche, celle-ci est acheminée vers le port 3268 du catalogue global par défaut et envoyée à un serveur de catalogue global en vue de sa résolution.
  
  
• fournit une authentification des noms d’utilisateurs principaux.
  
  Un serveur de catalogue global résout un nom d’utilisateur principal (UPN, User Principal Name) lorsque le contrôleur de domaine authentificateur n’a pas connaissance du compte d’utilisateur. Par exemple, si le compte d’un utilisateur se trouve dans sales1.cohovineyard.com et que l’utilisateur se connecte avec un nom UPN de luis@sales1.cohovineyard.com depuis un ordinateur situé dans sales2.cohovineyard.com, le contrôleur de domaine dans sales2.cohovineyard.com ne peut pas trouver le compte de l’utilisateur et doit contacter un serveur de catalogue global pour effectuer le processus d’ouverture de session.
  
  
• valide les références d’objets dans une forêt.
  
  Les contrôleurs de domaine utilisent le catalogue global afin de valider les références aux objets d’autres domaines dans la forêt. Lorsqu’un contrôleur de domaine détient un objet d’annuaire avec un attribut qui contient une référence à un objet situé dans un autre domaine, le contrôleur de domaine valide la référence en contactant un serveur de catalogue global.
  
  
• fournit des informations sur l’appartenance aux groupes universels dans un environnement à domaines multiples.
  
  Un contrôleur de domaine peut toujours découvrir les appartenances aux groupes globaux et aux groupes locaux de domaine pour tout utilisateur dans son domaine, et l’appartenance à ces groupes n’est pas répliquée dans le catalogue global. Dans une forêt à domaine unique, un contrôleur de domaine peut toujours découvrir les appartenances aux groupes universels. Toutefois, les groupes universels peuvent avoir des membres dans différents domaines. Pour cette raison, l’attribut member des groupes universels, qui contient la liste des membres du groupe, est répliqué dans le catalogue global. Lorsqu’un utilisateur d’une forêt à domaines multiples ouvre une session sur un domaine où les groupes universels ne sont pas autorisés, le contrôleur de domaine doit contacter un serveur de catalogue global afin de récupérer toute appartenance de l’utilisateur aux groupes universels dans d’autres domaines.
  
  Si aucun serveur de catalogue global n’est disponible lorsqu’un utilisateur ouvre une session sur un domaine où des groupes universels sont disponibles, l’ordinateur client de l’utilisateur peut utiliser des informations d’identification mises en cache pour ouvrir une session si l’utilisateur s’est déjà connecté au domaine auparavant. Si l’utilisateur ne s’est encore jamais connecté au domaine, il peut ouvrir une session uniquement sur l’ordinateur local.
  
  

  	Remarques
  	L’Administrateur dans le domaine (le compte Administrateur intégré) peut toujours ouvrir une session sur le domaine, même lorsque aucun serveur de catalogue global n’est disponible.

Sur les contrôleurs de domaine exécutant Windows Server 2003, Windows Server 2008 ou Windows Server 2008 R2 dans un site qui ne possède aucun serveur de catalogue global, vous pouvez utiliser la mise en cache de l’appartenance aux groupes universels afin de réduire la nécessité de contacter un serveur de catalogue global dans un autre site. Lorsque cette fonctionnalité est activée, la première fois qu’un utilisateur ouvre une session sur un domaine où des groupes universels sont disponibles, les informations d’appartenance aux groupes universels de l’utilisateur sont mises en cache sur le contrôleur de domaine. Par la suite, le contrôleur de domaine utilise les appartenances mises en cache pour traiter l’ouverture de session, ce qui lui évite d’avoir à contacter un serveur de catalogue global.