微软资格认证:域用户的登录过程和GC的关系

1.仿真环境的根域
是contoso.msft，dc是dc1.contoso.msft，dc2.contoso.msft也是GC，位于site1
子域为child.contoso.msft，dc为child-dc.child.contoso.msft，站点site 2不是GC。域child.contoso.msft上有一个用户john来验证这个实验！
2。Gc存储林中所有域的域分区中所有对象的一些属性
，还存储林中所有常规组的成员列表。GC在域用户的登录过程和查询过程中起着重要的作用；或者可以说没有GC域的用户正常情况下是无法登录的。为什么说是正常情况下？因为有特例(后面再说)！
先说一下域用户登录过程和GC的关系:首先，域用户要想成功登录，必须从所在域的dc成功构建一个“安全访问令牌”，没有这个安全访问令牌域用户无法登录；那么本域用户所在域的dc是如何成功为用户建立安全访问令牌的呢？要成功构建安全访问令牌，必须满足三个条件:
A .从dc获取该域用户的SID
b .从DC获取该域用户的权限
C .获取该域用户所属的组:包括本地域组、全局组和通用组；本地组和全局组可以查询dc，但是通用组只能从DC查询到GC，因为只有GC存储通用组的成员列表；无论该用户是否属于常规组，都应该查询GC来确定该用户是否属于常规组。
基于以上三个因素，当GC离线时，即使当前域的dc没问题，当前域的dns也没问题，同一用户也无法登录该域！
一个组合例子是:当contoso.msft中的dc2.contoso.msft(也是GC)宕机时，其子域中的用户john无法登录到他的域child.contoso.msft，即使child-dc.child.comtoso.msft正常！
例外:
a域管理员组成员不受此限制
b登录的客户端可以使用本地缓存登录
如果C2003的域模式是默认的混合模式，这种情况下通用组不可用，此时无需查询GC来确定通用组的情况！
3。通用组成员缓存
如何让域用户即使在GC不在线的情况下也能顺利登录？
解决问题的方法是使用通用的组成员缓存(当然，在各个站点设置GC就不说了，所以要考虑硬件成本。毕竟GC会复制很多信息；除了单域的情况，建议在单域内将所有dc升级为GC，这样不会增加复制流量)；如果GC不在线，域用户可以登录。那么你必须使用cache，客户端的cache(前提是这个用户必须登录这个客户端)或者dc cache(这样这个用户即使不登录这个客户端也可以登录；当然，如果你想拥有缓存的信息，你必须在域中的某个地方登录)；这些缓存在dc上的信息可以在dc上看到。
4。验证
首先在child-dc.child.contoso.msft上新建一个用户john，然后在dc上看一下；该用户的msds-cached-membership属性为空，未设置！该属性用于缓存用户的通用组和全局组信息！
A .首先我们看一下，在哪里设置通用组成员缓存
B .禁用dc2.contoso.msft的网卡(相当于GC不可用)，用域child.contoso.msft中的用户john登录xp客户端，此时你会发现无法登录(即使此时dc和dns都可以)
C .启用GC，登录child-dc.child.contoso.msft 假设修改默认域控制器策略以允许john在本地登录)，以便child-dc.child.contoso.msft可以缓存通用组和用户的
此时，john用户可以登录child-DC . child . contoso . msft； 取消；用administrator登录查看该用户的缓存信息:
D .禁用GC，在xp客户端用john登录！这时你会发现，即使gc不在线，即使用户之前从未登录过xp客户端(他必须在域内的其他地方登录)，它仍然可以成功登录。