Funciones del Catálogo Global (Global Catalog)
La funcionalidad de Catálogo Global (Global Catalog) es algo
que pueden cumplir solamente los Controladores de Dominio.
A diferencia de FSMO Roles, esta funcionalidad la pueden
cumplir uno, varios, o inclusive todos los Controladores de Dominio.
Esta función es necesaria para que los usuarios normales
puedan iniciar sesión. Aunque recordemos que por omisión el cliente si puede
utiliza “cached credentials” que permiten el acceso local, esto no funcionará
cuando el usuario quiera acceder a un recurso de red ya que en ese caso el
Controlador de Dominio que lo autentica debe poder consultar a
un Catálogo Global.
Po lo anterior es fundamental que todo Bosque tenga por lo
menos dos Catálogo Global.
¿Qué sucedería si tuviéramos un único Catálogo Global y éste no estuviera
disponible? ¿perderíamos todo? No, de ninguna forma, las cuentas pertenecientes
al grupo Administradores del Dominio (Domain Admins) pueden igualmente iniciar
sesión, indicar a algún Controlador de Dominio como Catálogo Global, y en
cuanto éste disponga de la información necesaria todo funcionará normalmente.
¿Cuál es esa “información necesaria” que nombramos antes?
Bien, un Catálogo Global tiene una copia de sólo-lectura de todos los objetos
del Bosque, aunque no de todos los atributos de cada objeto
¿Entonces para qué se usa un Catálogo Global?
Búsquedas
Supongamos que tenemos un Bosque con varios Dominios, y debemos localizar una
cuenta de usuario o máquina, pero no sabemos en qué Dominio está creada.
La opción de hacer búsquedas en cada uno de los Dominios puede ser laboriosa,
en cambio si hacemos la búsqueda sobre un Catálogo Global, nos proporcionará
fácilmente la ubicación de la cuenta sin importar en qué Dominio del Bosque
esté.
Creación de Cuentas en Active Directory
Cuando un administrador crea una cuenta en Active Directory el sistema debe
asegurarse que se cumplen las reglas de unicidad. Por ejemplo que no exista
otra cuenta con el mismo User Principal Name (UPN usuario@dominio.sufijo)
Si un administrador creara una cuenta mientras no hay acceso al Catálogo Global,
esta cuenta permanecerá desactivada hasta que se pueda comprobar
Requerido para Iniciar Sesión
Cuando un usuario inicia sesión, además de la autenticación y entre otras se
debe asignar la membresía en grupos Universales
Y además, si el usuario iniciara sesión usando su UPN (usuario@dominio.sufijo) habría que
resolver en qué Dominio tiene cuenta el usuario, ya que “dominio.sufijo” podría
corresponder al Dominio Raíz y el usuario tener cuenta en un subdominio, o
inclusive no tener relación con el nombre del Dominio Active Directory, sino
corresponder a su dirección de correo electrónico.
Que en las credenciales de usuario (Access Token) figure la
membresía en los grupos Universales es un requisito para iniciar sesión, ya que
la falta en los mismos podría hacer que escale privilegios, o que los pierda no
pudiendo hacer su labor. Por lo tanto el sistema no permite “logon
incompletos”.
Fuente :https://windowserver.wordpress.com/2011/06/24/funciones-del-catlogo-global-global-catalog/
