Globaler Katalog von Microsoft-Active Directory
Ein so genannter globaler Katalog ist die Kurzbezeichnung für einen Server für globalen Katalog. Ein globaler Katalog enthält einen vollständigen Satz mit Attributen für die Domäne, in der er sich befindet, und eine Teilmenge mit Attributen für alle Objekte in der Microsoft-Active Directory-Gesamtstruktur. Die zwei wichtigsten Funktionen eines globalen Katalogs im Microsoft-Active Directory sind die Anmeldefunktion und die Microsoft-Active Directory-Abfragen.
Ein globaler Katalog in einer Installation von Microsoft-Active Directory mit dem Produkt ist ein einzelnes LDAP-Repository (Lightweight Directory Access Protocol), das eine Teilmenge mit Benutzerinformationen aus allen Domänen in der Gesamtstruktur enthält. Diese Informationen umfassen Benutzer-IDs, Authentifizierungsdaten und Gruppen (jedoch nicht alle Gruppeninformationen).
Sie können den globalen Katalog in jedem Domänencontroller in der Gesamtstruktur verwenden, auch in untergeordneten Domänen. Der globale Katalog bietet eine Lösung für die Einschränkung in WebSphere Application Server, die darin besteht, dass nur eine einzelne Registry genutzt werden kann. Es gibt Einschränkungen für den globalen Katalog. Benutzer des lokalen Domänencontrollers enthalten Informationen zur Gruppenzugehörigkeit (memberOf). Benutzer eines fremden Domänencontrollers enthalten eingeschränkte Informationen zur Gruppenzugehörigkeit, weil die globalen Gruppeninformationen nicht in jedem Domänencontroller repliziert werden.
Verschachtelte globale Gruppen in universellen Gruppen
- Benutzer werden auf mehrere Domänencontrollern in einer Gesamtstruktur verteilt.
- Benutzer werden in globalen Gruppen in ihrem eigenen lokalen Domänencontroller definiert.
- Eine universelle Gruppe enthält die globalen Gruppen. Dies wird durch eine Java™-EE-Rolle (Java Platform Enterprise Edition) widergespiegelt, die einer Gruppe von Benutzern, die auf mehrere Domänencontroller verteilt sind, zugeordnet ist.
Die folgende Abbildung veranschaulicht verschachtelte globale Gruppen in universellen Gruppen.


Bei der einfachsten Methode werden universelle Gruppen verwendet, die Benutzer enthalten. Außerdem wird ein globaler Katalog verwendet, was die Verwendung von Links erfordert. Die folgende Abbildung veranschaulicht diese Methode.


- Wenn Sie WebSphere Application Server so konfigurieren, dass er den globalen Katalog als LDAP-Registry verwendet und Links verwendet, sind die einzelnen Benutzer in jedem Domänencontroller sichtbar. Da ein Benutzer nur einmal in der Registry vorhanden sein darf, schlagen allen Anmeldungen fehl.
- Wenn Sie WebSphere Application Server so konfigurieren,
dass er den globalen Katalog als LDAP-Registry verwendet, keine Links verwendet und die einzelnen Benutzer
sich in globalen Gruppen befinden, ist die Gruppenzugehörigkeit vollständig. Sehen Sie sich die folgende Abbildung an, die diese Einschränkung veranschaulicht. Abbildung 3. Globaler Katalog (ohne die Nutzung von Links). Eine Abbildung eines globalen Katalogs ohne Verwendung von Links
- Wenn Sie WebSphere Application Server so konfigurieren, dass er den globalen Katalog als LDAP-Registry verwendet, keine Links verwendet und Benutzer sich direkt in universellen globalen Gruppen befinden, ist die Gruppenzugehörigkeit vollständig.
