全局編錄(GC)

全局編錄

更新時間: 2008年12月

應用到: Windows Server 2008, Windows Server 2008 R2

全局編錄是 Active Directory 域服務 (AD DS) 林中所有對象的集合。全局編錄伺服器是一個域控制器，它存儲林中主持域的目錄中所有對象的完全副本，以及所有其他域中所有對象的部分隻讀副本。全局編錄伺服器響應全局編錄查詢。

組成全局編錄的對象的部分、隻讀副本被稱為“部分”，因為它們包括一組有限的屬性，即架構所必需的屬性以及在使用者搜尋操作中最常用到的屬性。将标記這些屬性以作為架構定義的一部分包含在部分屬性集 (PAS) 中。存儲全局編錄中所有域對象的最常搜尋的屬性，使得使用者的搜尋更有效，同時不因為不必要的域控制器引用而影響網絡性能，并且全局編錄伺服器無需存儲大量不需要的資料。

當您安裝 AD DS 時，會在林中的第一個域控制器上自動建立新林的全局編錄。可以将全局編錄功能添加到其他域控制器。也可以從域控制器删除該全局編錄。

全局編錄伺服器：

查找對象。

全局編錄使使用者能夠在林中的所有域上搜尋目錄資訊，無論資料存儲在什麼位置。将以最大的速度和最低的網絡流量在林中執行搜尋。

當某個使用者從“開始”菜單搜尋個人或列印機，或在查詢中選擇“整個目錄”選項時，該使用者會搜尋全局編錄。使用者輸入搜尋請求之後，請求會被路由到預設全局編錄端口 3268，并被發送到全局編錄伺服器進行解析。

提供使用者主體名稱身份驗證。

當驗證域控制器無法識别使用者帳戶時，全局編錄伺服器會解析使用者主體名稱 (UPN)。例如，如果使用者的帳戶位于 sales1.cohovineyard.com 中并且使用者使用 [email protected] 的 UPN 從一台位于 sales2.cohovineyard.com 中的計算機上登入，則在 sales2.cohovineyard.com 中的域控制器将無法查找該使用者的帳戶，它必須與全局編錄伺服器聯系才能完成登入過程。

驗證林中的對象引用。

域控制器使用全局編錄驗證對林中其他域的對象的引用。當域控制器保留其屬性包含對其他域中對象引用的目錄對象時，域控制器将通過與全局編錄伺服器聯系來驗證引用。

提供多域環境中的通用組成員身份資訊。

域控制器可以始終發現其域中任何使用者的域本地組和全局組成員身份，并且這些組的成員身份不被複制到全局編錄。在單域林中，域控制器也可以始終發現通用組成員身份。但通用組可以具有不同域中的成員。是以将通用組的 member 屬性（包含組中成員的清單）複制到全局編錄。在多域林中的使用者登入到允許通用組的域時，域控制器必須與全局編錄伺服器聯系，以檢索使用者可能在其他域中具有的任何通用組成員身份。

如果在使用者登入到通用組可用的域時全局編錄伺服器不可用，使用者的用戶端計算機可以使用緩存憑據登入（如果使用者以前曾登入到該域）。如果使用者以前未曾登入到該域，則使用者隻能登入到本地計算機。

注意

域中的管理者（Builtin Administrator 帳戶）始終可以登入到域，即使全局編錄伺服器不可用也是如此。

在沒有全局編錄伺服器的站點中運作 Windows Server 2003、Windows Server 2008 或 Windows Server 2008 R2 的域控制器上，可以使用通用組成員身份緩存來降低聯系不同站點中全局編錄伺服器的需要。已啟用此功能時，當使用者第一次登入到通用組可用的域時，使用者的通用組成員身份資訊将被緩存到域控制器上。此後，域控制器使用緩存成員身份處理登入，而不必與全局編錄伺服器聯系。

全局編錄（GC主要記錄着帳戶的部分資訊）主要是作用在多域情況下，為了登入時可以提高速度一般在備份DC上提升為GC