Сторінка 4 з 7
31. Чи використовується розклад реплікації зв'язку сайтів (site link) в процесі оновлення кешу універсальних груп? Так, процес оновлення кешу використовує розклад зв'язку сайтів для поновлення членства в глобальних і універсальних групах з обраного GC.
32. Для побудови маркера (повернення списку груп) використовуються дані про членство в групах з кешу або безпосередньо з "рідного" контексту іменування контролера домену? Для побудови маркера (для заповнення PAC-поля квитка TGT в разі аутентифікації Kerberos) використовуються дані з кешу (UGMC). Тому якщо ви, додасте користувача в глобальну або універсальну групу з того ж домена, то ці дані запишуться в БД на DC, далі вони повинні будуть реплицироваться на GC, а потім з цього GC буде вироблено поновлення кешу (відповідно до періодичності оновлення та розкладом реплікації). Тільки після цього ці дані потраплять в маркер користувача (під час входу або поновлення білета- TGT).
34. Що буде якщо вказати сайт для оновлення кешу універсальних груп, в якому немає глобального каталогу або на момент процесу оновлення кешу глобальний каталог недоступний? Використовуватиметься GC з найближчого сайту, відповідно до матрицею вартості сайтів.
35. Як очистити кеш UGMC? Для очищення кешу окремої облікового запису необхідно очистити атрибути msDS- Cached- Membership і msDS-Cached-Membership-Time-Stamp цього облікового запису. Для очищення кешу для всіх облікових записів контролера домену, необхідно встановити значення реєстру Cached Membership Site Stickiness (minutes) = 0 і запустити процес оновлення кешу.
36. Як запустити процес оновлення кешу UGMC? Встановіть значення updateCachedMemberships в 1 об'єкту rootDSE контролера домену або перезавантажте контролер домену.
37. Розглянемо таку ситуацію: є сайт, для нього включений механізм UGMC, в сайті два контролера з різних доменів (DC1 і DC2), користувач вперше входить в домен (DC1). Коли і як буде заповнений UGMC на DC2 для цього користувача? Оскільки в якості кеша використовується атрибут об'єкта користувача (або комп'ютера) і цей атрибут НЕ реплицируется, то на DC2 кеш не поширився і не заповниться. Всі необхідні універсальні групи будуть отримані з кешу DC1, всі інші групи другого домену будуть отримані з локальної бази (в разі запиту служб з домену DC2).
38. Чому не рекомендується призначати права на об'єкти Active Directory з використанням доменно-локальних груп? На глобальний каталог реплицируются всі об'єкти з відповідними дескрипторами безпеки. Якщо користувач буде шукати об'єкти на глобальному каталозі нерідного домену і на ці об'єкти будуть призначені дозволу з використанням доменно-локальних груп, то користувачеві буде відмовлено в доступі (якщо немає дозволів з використанням інших груп або безпосереднього призначення прав користувача). Це відбувається тому, що членство в доменно-локальних групах не реплицируется на глобальний каталог і доменно-локальні групи виключаються з TGT- referal.