全域性編錄的角色

全域性編錄是儲存林中所有 Active Directory 物件的副本的域控制器。全域性編錄儲存林中主持域的目錄中所有物件的完整副本，以及林中所有其他域中所有物件的部分副本.

全域性編錄中包含的所有域物件的部分副本是使用者搜尋操作中最常用的部分。作為其架構定義的一部分，這些屬性被標記為包含在全域性編錄中。在全域性編錄中儲存所有域物件的最常搜尋的屬性，可以為使用者提供高效的搜尋，而不會以不必要的域控制器參考影響網路效能。

可以使用“Active Directory 架構”管理單元在全域性編錄中手動新增或刪除其他物件屬性。詳細資訊，請參閱自定義全域性編錄。

在林中的初始域控制器上，會自動建立全域性編錄。可以向其他域控制器新增全域性編錄功能，或者將全域性編錄的預設位置更改到另一個域控制器上。詳細資訊，請參閱啟用或禁用全域性編錄。

全域性編錄執行如下目錄角色：

• 查詢物件

全域性編錄允許使用者在林中的所有域中搜尋目錄資訊，而不用考慮資料儲存的位置。執行林內的搜尋時可獲得最大的速度併產生最少的網路通訊。

當您從“開始”選單搜尋使用者或印表機時，或者在查詢中選擇了“整個目錄”選項時，您就在搜尋全域性編錄。當您輸入搜尋請求之後，該請求就被路由到預設的全域性編錄埠 3268，並被髮送到某個全域性編錄進行解析。詳細資訊，請參閱查詢目錄資訊和 Microsoft Windows 資源工具包網站上的“Finding information in Active Directory”（在 Active Directory 中查詢資訊）。

• 提供使用者主體名稱身份驗證

當執行身份驗證的域控制器沒有帳戶資訊時，全域性編錄將解析使用者主體名稱 (UPN)。例如，如果使用者的帳戶位於 example1.microsoft.com 中，而使用者決定透過使用者主體名稱 從位於 example2.microsoft.com 的計算機登入，則位於 example2.microsoft.com 的域控制器將找不到使用者的帳戶，因此它將聯絡全域性編錄以完成登入過程。詳細資訊，請參閱 Active Directory 命名。

• 在多域環境中提供通用組成員身份資訊

與全域性組成員身份不同（儲存在每個域中），通用組成員身份只儲存在全域性編錄中。例如，當屬於某個通用組的使用者登入設定為 Windows 2000 本機域功能級別或更高階別的域時，全域性編錄在此使用者登入到該域的時候會提供此使用者帳戶的通用組成員身份資訊。

如果在使用者登入到設定為 Windows 2000 本機功能級別或更高階別的域時全域性編錄不可用，則如果使用者先前曾登入該域，計算機將使用快取的憑據使該使用者登入。如果使用者先前未曾登入到該域，則使用者只能登入本地計算機。但是，如果使用者以 Administrator 身份（Builtin Administrator 帳戶）登入到該域，使用者將始終能登入到該域，即使全域性編錄不可用，也是如此。

有關通用組的詳細資訊，請參閱組作用域。有關通用組和複製的詳細資訊，請參閱全域性編錄複製和全域性編錄和站點。

注意

• 當林中只有一個域時，使用者不必在登入時從全域性編錄獲取通用組成員身份。這是因為 Active Directory 可以檢測到林中沒有其他域，並將阻止向全域性編錄查詢此資訊。


• 驗證林內的物件參考

域控制器使用全域性編錄驗證對林內其他域的物件的參考。當域控制器的某個目錄物件的屬性包含對另一個域中某個物件的參考時，該參考將由全域性編錄來驗證。