ملزومات Universal Group Membership Caching

Universal security groups میتواند شامل یا حاوی اصول امنیتی security principals مربوط به دومین های دیگر باشد. در طی لاگان کردن یوزر به صورت تعاملی interactive ، دومین کنترولری که احراز هویت را انجام میدهد، SIDs مربوط به کامپیوتر یوزر را که برای ساخت رمز دسترسی access token یوزر احتیاج است را فراخوانی میکند. برای فراخوانی SIDs همه universal groups که یوزر به آنها تعلق دارد، دومین کنترولری که احراز هویت میکند، احتیاج به ارتباط با یک سرور گلوبال کاتالوگ دارد. اگر سرور گلوبال کاتالوگ در زمانی که یوزر به دومین لاگان میکند و در آن دومین universal groups وجود دارد، قابل دسترسی نباشد، کامپیوتر از اعتبارات کش cached credentials برای لاگان یوزر در صورتی که یوزر قبلا با همین کامپیوتر به دومین لاگان کرده باشد، استفاده میکند. اگه قبلا یوزر با این کامپیوتر به دومین لاگان نکرده باشد، یوزر فقط میتواند به صورت لوکال به کامپیوتر لاگان کند .

Universal group memberships در درجه اول ذخیره سازی هستند، چون آنها میتوانند حاوی اکانت های یوزر و global groups از هر دومین در forest هستند و به همین دلیل آنها میتوانند به لیست های دسترسی کنترل access control lists به هر دومینی در forest اضافه شوند. بنابر این یک یوزر که لاگان کرده ممکن است عضو یک universal group که در دومین دیگر است باشد و ممکن است که دسترسی به اشیاء در این دومین داشته باشد چون عضو universal group که در دومین دیگر است میباشد .

در مقابل، یک دومین کنترولر همیشه میتواند عضویت یک یوزر را در گروه های domain local و domain global که مورد نیاز برای مجوز برای دومین خود هستند را مشخص کند. در حالیکه گروه های domain local میتوانند عضو از دومین های دیگر داشته باشند، شما میتوانید گروه های domain local به لیست های کنترل دسترسی access control lists در دومینی که آنها در آن ساخته شدند اضافه کنید. در حالیکه شما میتوانید گروه های domain global به لیست های کنترل دسترسی access control lists در هر دومینی اضافه کنید، گروه domain global فقط میتواند حاوی اکانت هایی باشند که در آن دومین ساخته شده اند. همانطور که گفته شد، گروه domain global میتوانند اعضایی از universal groups که در دومین های مختلف هستند، باشند و یک عضو از یک domain global که خودش یک عضو از یک universal groups میباشد، میتواند به یوزر دسترسی به منابع بدهد در صورتی که نمیتواند این کار را به تنهایی با عضویت تنها در domain global انجام دهد .

در طول پروس لاگان، دومین کنترولری که تصدیق احراز هویت authenticating domain controller میکند، یک لیست از global group SIDs های یوزرهای دومین استخراج میکند و این لیست global group SIDs های را به نزدیکترین سرور گلوبال کاتالوگ میدهد. گلوبال کاتالوگ سرور صفت عضو member attribute مربوط به همه universal groups در forest را استخراج enumerate میکند، همه universal groups ها که شامل مربوط SID به یوزر و همچنین همه universal groups ها که شامل SID مربوط به هر global groups ها که در لیست SID یوزر است، اضافه میکند، سپس این لیست را به دومین کنترولر پس میدهد یا برمیگرداند. دومین کنترولری که تصدیق احراز هویت میکند global group SIDs ها و universal group SIDs ها را که از سرورهای گلوبال کاتالوگ گرفته کش cache میکند و سپس آن لیست از SIDs ها را همراه با local group SIDs های مربوط به یوزر دومین به کامپیوتر یوزر ارسال میکند. کامپیوتر محلی یوزر پروس احراز هویت را با ایجاد access token برای یوزر و اضافه کردن SIDs های برگشتی به access token به اتمام میرسند. تا زمانی که یوزر لاگاف logs off و لاگان logs on کند access token به صورت استاتیک است .

دنیای واقعی: دومین کنترولر عضویت در گروه group membership را هم برای اکانتهای یوزر و هم اکانتهای کامپیوتر کش cache میکند. اگرچه وقتی از واژه کش cache استفاده میکنیم، به نظر میرسد که در حافظه ذخیره میشود، اما عضویت کش شده cached memberships در حقیقت در یک مقدار غیر فرار nonvolatile اکتیو دایرکتوری ذخیره میشود. در نتیجه با خاموش کردن یا ری استارت کردن عضویت کش شده cached memberships از دست نمیرود .


کتاب مشاور جیبی ادمینهای اکتیو دایرکتوری