O catálogo global é o conjunto de todos os objectos numa floresta dos Serviços de Domínio do Active Directory (AD DS). Um servidor de catálogo global é um controlador de domínio que armazena uma cópia completa de todos os objectos no directório para o respectivo domínio anfitrião e uma cópia parcial, só de leitura, de todos os objectos para os outros domínios na floresta. Os servidores de catálogo global respondem a consultas de catálogo global.
Atributos que replicam para o catálogo global
As cópias parciais, só de leitura, dos objectos que constituem o catálogo global são descritas como "parciais", porque incluem um conjunto limitado de atributos - os atributos que são requeridos pelo esquema, acrescidos dos atributos que são utilizados mais frequentemente em operações de pesquisa do utilizador. Estes atributos são marcados para inclusão no conjunto de atributos parciais (PAS), como parte das respectivas definições de esquema. Armazenar os atributos mais frequentemente pesquisados de todos os objectos de domínio no catálogo global, torna as pesquisas mais eficientes para os utilizadores, sem afectar o desempenho da rede com referências desnecessárias a controladores de domínio e sem requerer um servidor de catálogo global, para armazenar grandes quantidades de dados que são necessários.
Funcionalidade de catálogo global
Quando instala o serviço AD DS, o catálogo global para uma floresta nova é criado automaticamente no primeiro controlador de domínio da floresta. Pode adicionar a funcionalidade do catálogo global a controladores de domínio adicionais. Também pode remover o catálogo global a partir de um controlador de domínio.
Um servidor de catálogo global:
-
Localiza objectos.
O catálogo global permite pesquisas do utilizador a informações de directório por todos os domínios numa floresta, independentemente de onde estão armazenados os dados. As pesquisas numa floresta são efectuadas com a velocidade máxima e o mínimo de tráfego na rede.
Quando um utilizador procura pessoas ou impressoras a partir do menu Iniciar ou selecciona a opção Directório inteiro numa consulta, esse utilizador está a pesquisar o catálogo global. Depois do utilizador introduzir um pedido de pesquisa, o pedido é encaminhado para a porta predefinida de catálogo global 3268 e enviado para um servidor de catálogo global para resolução.
-
Fornece autenticação de nome principal de utilizador.
Quando o controlador de domínio autenticador não tem conhecimento da conta do utilizador, um servidor de catálogo global resolve um UPN (User Principal Name). Por exemplo, se a conta de um utilizador está localizada em sales1.cohovineyard.com e o utilizador inicia sessão com um UPN de luis@sales1.cohovineyard.com num computador que está em sales2.cohovineyard.com, o controlador de domínio em sales2.cohovineyard.com não consegue encontrar a conta do utilizador e tem de contactar um servidor de catálogo global, para concluir o processo de início de sessão.
-
Valida referências de objecto dentro de uma floresta.
Os controladores de domínio utilizam o catálogo global para validar referências a objectos de outros domínios na floresta. Quando um controlador de domínio contém um objecto de directório com um atributo que contém uma referência para um objecto noutro domínio, o controlador de domínio valida a referência contactando um servidor de catálogo global.
-
Fornece informação de associação a grupos universais num ambiente de múltiplos domínios.
Um controlador de domínio pode sempre descobrir associações a grupos locais de domínio e a grupos globais para qualquer utilizador no respectivo domínio, e a associação a estes grupos não é replicada para o catálogo global. Numa floresta de um único domínio, um controlador de domínio pode sempre descobrir associações a grupos universais. No entanto, os grupos universais podem ter membros em domínios diferentes. Por isso, o atributo membro dos grupos universais, que contém a lista de membros do grupo, é replicado para o catálogo global. Quando um utilizador numa floresta de múltiplos domínios inicia sessão num domínio onde são permitidos grupos universais , o controlador de domínio tem de contactar um servidor de catálogo global para obter as associações a grupos universais que o utilizador pode ter noutros domínios.
Se não estiver disponível nenhum servidor de catálogo global quando um utilizador inicia sessão num domínio onde existem grupos universais, o computador cliente do utilizador pode utilizar credenciais guardadas em cache para iniciar sessão, se o utilizador tiver iniciado sessão previamente no domínio. Se o utilizador não tiver iniciado previamente sessão no domínio, o utilizador apenas poderá iniciar sessão no computador local.
Nota O Administrador do domínio (a conta Administrador Incorporado) pode iniciar sempre sessão no domínio, mesmo quando não está disponível um servidor de catálogo global.
Cache de membros de grupo universal
Em controladores de domínio com o Windows Server 2003, o Windows Server 2008 ou o Windows Server 2008 R2 num local sem um servidor de catálogo global, pode utilizar a cache de membros de grupo universal para reduzir a necessidade de contactar um servidor de catálogo global noutro local. Quando esta funcionalidade está activa, a primeira vez que um utilizador inicia sessão num domínio onde estão disponíveis grupos universais, a informação de membros de grupo universal do utilizador é colocada na cache no controlador de domínio. A partir daí, o controlador de domínio utiliza membros em cache para processar o início de sessão, em vez de contactar um servidor de catálogo global.