Active Directory.pdf - Gattner

364 Kapitel 10: Verwalten von Active Directory-Objekten
Wenn für die Domänenfunktionsebene Windows 2000 einheitlich oder eine höhere Funktionsebene
festgelegt ist, wirken sich universelle Gruppen auch auf das Anmeldeverfahren aus. Während der
Authentifizierung kommuniziert der die Authentifizierung durchführende DC mit dem globalen Katalogserver,
um die Mitgliedschaft in universellen Gruppen zu überprüfen. Diese Kommunikation ist
erforderlich, da der DC nicht über die Mitgliedslisten der universellen Gruppen verfügt, die sich in
anderen Domänen befinden. Wenn auf dem DC Windows 2000 Server ausgeführt wird und er keine
Verbindung mit einem globalen Katalog herstellen kann, führt der DC keine Authentifizierung für den
Benutzer durch, und es werden die zwischengespeicherten Anmeldeinformationen der Arbeitsstation
verwendet. Befinden sich keine zwischengespeicherten Anmeldeinformationen auf der Arbeitsstation,
kann sich der Benutzer nicht an der Domäne anmelden.
Wenn auf einem DC Windows Server 2008 oder Windows Server 2003 ausgeführt wird, kann der DC
universelle Gruppenmitgliedschaften im Zwischenspeicher speichern. Wurde die Option Zwischenspeichern
der universellen Gruppenmitgliedschaft aktiviert, führt der DC eine Zwischenspeicherung
der SIDs universeller und globaler Gruppen im Attribut msDS-Cached-Membership von Benutzerund
Computerobjekten durch. Die Zwischenspeicherung erfolgt bei der ersten Benutzeranmeldung.
Nach der ersten Anmeldung werden die zwischengespeicherten Anmeldeinformationen bei der
Authentifizierung verwendet, daher ist kein Lookup im globalen Katalog erforderlich. Die Anmeldung
ist nicht davon betroffen, wenn ein globaler Katalog nicht verfügbar ist. Wenn ein Benutzer sich
zuvor nicht an der Domäne angemeldet hat und ein globaler Katalog nicht verfügbar ist, kann der
Benutzer keine Anmeldung an der Domäne durchführen.
Hinweis Die Option Zwischenspeichern der universellen Gruppenmitgliedschaft steht auf allen Domänenfunktionsebenen
zur Verfügung. Allerdings muss dieses Feature mithilfe des Verwaltungstools Active Directory-Standorte
und -Dienste für jeden Active Directory-Standort aktiviert werden.
Standardmäßig werden die zwischengespeicherten Gruppenmitgliedschaftsinformationen alle acht
Stunden aktualisiert. Daher werden Änderungen an der Mitgliedschaft in universellen oder globalen
Gruppen unter Umständen erst nach acht Stunden wirksam. Für einen einzelnen Benutzer können Sie
mithilfe des ADSI-Editors die Akutalisierung der zwischengespeicherten Informationen bei der
nächsten Anmeldung erzwingen. Hierfür müssen die Festlegungen der Attribute msDS-Cached-
Membership und msDS-Cached-Membership-Timestamp entfernt werden.
Achtung Wenn die zwischengespeicherten Informationen zur Mitgliedschaft in universellen Gruppen sieben
Tage lang nicht aktualisiert werden kann, werden die Informationen als veraltet betrachtet und nicht
mehr verwendet. In diesem Fall wird die Anmeldung so durchgeführt, als lägen keine zwischengespeicherten
Informationen vor, und während der Anmeldung ist ein globaler Katalog erforderlich.
Durch den Neustart eines Domänencontrollers wird für den Zwischenspeicher der Neustart des Aktualisierungsintervalls
erzwungen, und dabei werden alle zwischengespeicherten Gruppenmitgliedschaften
aktualisiert. Von diesem Neustart können jedoch unter Umständen zahlreiche Dienste in
Ihrem Netzwerk betroffen sein, daher sollte er weitestgehend vermieden werden. Um die zwischengespeicherten
Informationen zu Gruppenmitgliedschaften zu aktualisieren, ohne den Domänencontroller
dafür erneut zu starten, können Sie für das Vorgangsattribut updateCachedmemberships des
Objekts rootDSE mithilfe des Tools Ldp.exe den Wert 1 festlegen. Beide genannten Methoden müssen
auf allen Domänencontrollern in einem Active Directory-Standort durchgeführt werden, um konsistente
Ergebnisse zu erzielen.