GC - 全局编录控制器

全局编录控制器（GC）

全局编录控制器是 Active Directory 域服务 (AD DS) 林中所有对象的集合。全局编录控制器服务器是一个域控制器，它存储林中主持域的目录中所有对象的完全副本，以及所有其他域中所有对象的部分只读副本。全局编录控制器服务器响应全局编录控制器查询。 复制到全局编录控制器的属性 组成全局编录控制器的对象的部分、只读副本被称为“部分”，因为它们包括一组有限的属性，这些属性是架构所要求的属性加上在用户搜索操作中最常使用的属性。将标记这些属性以作为架构定义的一部分包含在部分属性集 (PAS) 中。存储全局编录控制器中所有域对象的最常搜索的属性，使得用户的搜索更有效，同时不因为不必要的域控制器引用而影响网络性能，并且全局编录控制器服务器无需存储大量不需要的数据。 全局编录控制器功能 当您安装 AD DS 时，会在林中的第一个域控制器上自动创建新林的全局编录控制器。可以将全局编录控制器功能添加到其他域控制器。也可以从域控制器删除该全局编录控制器。 全局编录控制器服务器： 查找对象。 全局编录控制器使用户能够在林中的所有域上搜索目录信息，无论数据存储在什么位置。将以最大的速度和最低的网络流量在林中执行搜索。 当某个用户从“开始”菜单搜索个人或打印机，或在查询中选择“整个目录”选项时，该用户会搜索全局编录控制器。用户输入搜索请求之后，请求会被路由到默认全局编录控制器端口 3268，并被发送到全局编录控制器服务器进行解析。 提供用户主体名称身份验证。 当验证域控制器无法识别用户帐户时，全局编录控制器服务器会解析用户主体名称 (UPN)。例如，如果用户的帐户位于       sales1.cohovineyard.com 中并且用户使用       luis@sales1.cohovineyard.com 的 UPN 从一台位于 sales2.cohovineyard.com 中的计算机上登录，则在       sales2.cohovineyard.com 中的域控制器将无法查找该用户的帐户，它必须与全局编录控制器服务器联系才能完成登录过程。 验证林中的对象引用。 域控制器使用全局编录控制器验证对林中其他域的对象的引用。当域控制器保留其属性包含对其他域中对象引用的目录对象时，域控制器将通过与全局编录控制器服务器联系来验证引用。 提供多域环境中的通用组成员身份信息。 域控制器可以始终发现其域中任何用户的域本地组和全局组成员身份，并且这些组的成员身份不被复制到全局编录控制器。在单域林中，域控制器也可以始终发现通用组成员身份。但通用组可以具有不同域中的成员。因此将通用组的       member属性（包含组中成员的列表）复制到全局编录控制器。在多域林中的用户登录到允许通用组的域时，域控制器必须与全局编录控制器服务器联系，以检索用户可能在其他域中具有的任何通用组成员身份。 如果在用户登录到通用组可用的域时全局编录控制器服务器不可用，用户的客户端计算机可以使用缓存凭据登录（如果用户以前曾登录到该域）。如果用户以前未曾登录到该域，则用户只能登录到本地计算机。 通用组成员身份缓存 在没有全局编录控制器服务器的站点中运行 Windows Server 2003 或 Windows Server 2008  的域控制器上，可以使用通用组成员身份缓存来降低联系不同站点中的全局编录控制器服务器的需要。已启用此功能时，当用户第一次登录到通用组可用的域时，用户的通用组成员身份信息将被缓存到域控制器上。此后，域控制器使用缓存成员身份处理登录，而不必与全局编录控制器服务器联系。

转载于:https://blog.51cto.com/ericl/1250654