Pagina 4 din 7
31. Este utilizat programul de replicare a site-ului în timpul procesului de actualizare a cache-ului universal al grupului? Da, procesul de actualizare a memoriei cache utilizează programul de conectare a site-ului pentru a actualiza calitatea de membru în grupuri globale și universale din GC selectat.
32. Pentru a construi un token (retur o listă de grupuri) sunt datele de membru al grupului din memoria cache sau direct din contextul "nativ" al contextului de numire a controlerului de domeniu? Pentru a construi un jeton (pentru a umple câmpul PAC al biletului TGT în cazul autentificării Kerberos), se utilizează datele din cache (UGMC). Prin urmare, dacă adăugați un utilizator la un grup global sau universal în același domeniu, aceste date pot fi scrise la baza de date pe un DC, etc, acestea trebuie să fie reproduse la GC, și apoi cu acest GC se va face reîmprospătarea cache-ului (în conformitate cu frecvența actualizărilor și a programului replicare). Doar după aceasta, aceste date se vor îndrepta către simbolul utilizatorului (în timpul introducerii sau actualizării biletului-TGT).
34. Ce se întâmplă dacă specificăm un site pentru actualizarea cache-ului de grup universal, care nu are un catalog global sau dacă catalogul global nu este disponibil în momentul procesului de actualizare a cache-ului? GC va fi utilizat de la cel mai apropiat site, în funcție de matricea costurilor site-urilor.
35. Cum pot șterge cache-ul UGMC? Pentru a goli memoria cache a unui cont separat, trebuie să ștergeți atributele msDS-Cache-Membership și msDS-Cache-Membership-Time-Stamp ale acestui cont. Pentru a șterge memoria cache pentru toate conturile de controler de domeniu, trebuie să setați valoarea de registru Cache membership to Stick Stickiness (minute) = 0 și să porniți procesul de actualizare a cache-ului.
36. Cum pornesc procesul de actualizare a cache-ului UGMC? Setați valoarea updateCachedMemberships la 1 obiect rootDSE în controlerul de domeniu sau reporniți controlerul de domeniu.
37. Luați în considerare această situație: există un site, acesta include mecanismul UGMC, există două controlere pe site din domenii diferite (DC1 și DC2), utilizatorul intră mai întâi în domeniu (DC1). Când și cum va fi umplut UGMC cu DC2 pentru acest utilizator? Deoarece atributul obiect al utilizatorului (sau computerul) este folosit ca cache, iar acest atribut nu este reprodus, cache-ul nu se va propaga în DC2 și nu va fi plin. Toate grupurile universale necesare vor fi primite din Cache DC1, toate celelalte grupuri ale celui de-al doilea domeniu vor fi primite din baza de date locală (în cazul solicitării de servicii din domeniul DC2).
38. De ce nu este recomandat să atribuiți drepturi obiectelor Active Directory utilizând grupuri locale? Toate obiectele cu descriptorii de securitate corespunzători sunt reproduse în catalogul global. În cazul în care un utilizator caută obiecte în domeniul director non-native la nivel mondial și aceste facilități vor fi atribuite permisiuni folosind grupuri locale de domeniu, utilizatorul va fi refuzat accesul (dacă nu aveți permisiunea de a utiliza alte grupuri sau atribuirea directă a drepturilor de utilizare). Acest lucru se datorează faptului că apartenența la grupurile de domenii locale nu este reprodusă în catalogul global, iar grupurile locale de domenii sunt excluse din referința TGT.