通用類別目錄是 Active Directory 網域服務 (AD DS) 樹系中所有物件的集合。通用類別目錄伺服器是一個網域控制站,為其主機網域儲存目錄中所有物件的完整複本,以及為樹系中所有其他網域儲存所有物件的部分、唯讀複本。通用類別目錄伺服器負責回應通用類別目錄查詢。

複寫至通用類別目錄的屬性

組成通用類別目錄之物件的部分、唯讀副本之所以被形容為「部分」,是因為它們包含一組有限的屬性,這些是架構所需的屬性,加上使用者搜尋作業中最常使用的屬性。這些屬性被標示為要包含在部分屬性集 (PAS) 中,做為其架構定義的一部分。將所有網域物件最常被搜尋的屬性儲存在通用類別目錄中,可以讓使用者提高搜尋效率,不會因為不必要地轉介到網域控制站而影響網路效能,也不需要通用類別目錄伺服器來儲存大量不需要的資料。

通用類別目錄功能

當您安裝 AD DS 時,會自動在樹系中的第一個網域控制站上建立新樹系的通用類別目錄。您可以將通用類別目錄功能新增至其他網域控制站。您也可以從網域控制站移除通用類別目錄。

通用類別目錄伺服器:

  • 尋找物件。

    通用類別目錄可讓使用者在樹系中所有網域裡搜尋目錄資訊,不論資料儲存在哪個位置。在樹系中執行搜尋時,會以最快的速度和最小的網路流量執行搜尋。

    當使用者從 [開始] 功能表搜尋人員或印表機,或是在查詢中選取 [整個目錄] 選項時,該使用者搜尋的即是通用類別目錄。在使用者輸入搜尋要求後,該要求會被路由至預設通用類別目錄連接埠 3268,並傳送至通用類別目錄伺服器進行解析。

  • 提供使用者主要名稱驗證。

    當驗證網域控制站不認得使用者帳戶時,通用類別目錄伺服器會解析使用者主要名稱 (UPN)。例如,如果使用者帳戶位於 sales1.cohovineyard.com,而且使用者從位於 sales2.cohovineyard.com 的電腦以 luis@sales1.cohovineyard.com 的 UPN登入,在 sales2.cohovineyard.com 的網域控制站會找不到使用者帳戶,而必須連絡通用類別目錄伺服器才能完成登入程序。

  • 驗證樹系中的物件參照。

    網域控制站使用通用類別目錄來驗證樹系中其他網域的物件參照。當網域控制站所含之目錄物件的屬性包含其他網域物件的參照時,網域控制站會連絡通用類別伺服器來驗證參照。

  • 在多重網域環境中提供萬用群組成員資格資訊。

    網域控制站永遠可以探索其網域中任一使用者的本機群組和網域群組成員資格,而且這些群組的成員資格不會被複寫至通用類別目錄中。在單一網域樹系中,網域控制站也永遠可以探索萬用群組成員資格。不過,萬用群組可以擁有不同網域的成員。因此,包含群組成員清單的萬用群組 member 屬性,會被複寫至通用類別目錄中。當多重網域樹系中的使用者登入允許萬用群組的網域時,網域控制站必須連絡通用類別目錄伺服器,以擷取使用者在其他網域中可能有的任何萬用群組成員資格。

    當使用者登入具有萬用群組的網域但無法使用通用類別目錄伺服器時,只要使用者先前曾經登入網域,使用者的用戶端電腦便可以使用快取的認證來登入。如果使用者先前未曾登入網域,就只能登入本機電腦。

    附註

    網域中的系統管理員 (內建的 Administrator 帳戶) 永遠可以登入網域,即使在無法使用通用類別目錄伺服器的狀況下。

萬用群組成員資格快取

對於位在沒有通用類別目錄伺服器的站台中並執行 Windows Server 2003、Windows Server 2008 或 Windows Server 2008 R2 的網域控制站,您可以使用萬用群組成員資格快取,來降低連絡不同站台中通用類別目錄伺服器的需要。如果啟用此功能,當使用者第一次登入具有萬用群組的網域時,就會在網域控制站上快取使用者的萬用群組成員資格資訊。之後,網域控制站便會使用快取的成員資格來處理登入,而不需要連絡通用類別目錄伺服器。